Garantieerklärung §9b BSIG

Audit work picture

KRITIS-Betreiber mussten bis 2025 bei bestimmten kritischen Komponenten in ihren Anlagen eine Garantieerklärung der Hersteller beim Innenministerium einreichen. Das Innenministerium kann den Einsatz dieser Komponenten nach §41 BSIG und früher §9b BSIG verbieten, der Ablauf hat sich mit NIS2 jedoch deutlich verändert.

  1. Garantieerklärung (KRITIS)
  2. Garantieerklärung (NIS2)

Vorgaben für kritische Komponenten sind seit 2021 konkret im Telekommunikationssektor definiert, seit 2025 in Umrissen im Energiesektor. In der alten KRITIS-Regulierung bis 2025 musste der Einsatz mit einer Garantiererklärung angezeigt werden, für die es Anforderungen aus einer Veröffentlichung des BMI aus 2021 gab. Mit der NIS2-Umsetzung von Dezember 2025 fällt die Garantierklärung weg.

Erklärung für Kritische Komponenten

Garantieerklärung für KRITIS

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers nach §9b (3) BSIG eingesetzt werden. Die Erklärung muss die Anforderungen des Innenministeriums erfüllen und ist dem Innenministerium vor Einsatz vorzulegen.

Die nachstehende Liste hat Das Innenministerium per Allgemeinverfügung nach §9b (4) BSIG im Bundesanzeiger vom November 2021 formell für den TK-Sektor festgelegt:

Mindestinhalte Garantieerklärung nach § 9b (3) BSIG, Quelle: Allgemeinverfügung 2021
Anforderung Inhalt
1. Kooperation & Audits Kooperation mit Betreibern, BSI und BNetzA; Audits des ISMS der Komponente zulassen.
2. Sicherheitsüberprüfung Unterstützung bei Sicherheitsüberprüfungen und Penetrationstests.
3. Change-Transparenz Geplante Änderungen an Herstell-/Bereitstellungsprozessen sicherheitsrelevanter Systemanteile vorab anzeigen; Entwicklungsangaben auf Anfrage.
4. Disclosure Unverzügliche, detaillierte Meldung von Schwachstellen an den Betreiber.
5. ISMS und Archiv Einsatz eines geeigneten ISMS; manipulationssichere Archivierung von Firmware-/Software-Versionen; relevante Produkt-/Prozessinfos dokumentieren und vorhalten.
6. Drittstaateneinfluss Darlegung, ob/wie Unternehmensstruktur oder ausländische Gesetze staatliche Einflussnahme ermöglichen könnten.
7. Unternehmen Vollständige Firmendaten (Sitz, Struktur, Register-/Steuernr., EORI, Organe/Vertretungen mit Klardaten); Namen auch in Originalschriftzeichen.
8. Vertraulichkeit Fähigkeit, Offenlegungen vertraulicher Betreiberinfos abzulehnen (Ausnahme: gesetzliche Pflichten ggü. deutschen Behörden); ausländische Pflichten angeben.
9. Wegfall Einhaltung Unverzügliche Information an BMI und Betreiber, wenn die Einhaltung der Erklärung nicht mehr gewährleistet ist.

Den geplanten erstmaligen Einsatz müssen Betreiber vor Inbetriebnahme der Komponenten beim Innenministerium anzeigen – und fügen dazu die Garantieerklärung des Herstellers bei. §9b (1)(3)

Das Innenministerium muss sein Prüfverfahren dieser Komponente und Erklärung innerhalb von zwei Monaten abzuschließen, in Ausnahmefällen um weitere zwei Monate verlängert. §9b (2) BSIG

Während der Prüffrist ist der Einsatz der Komponente nicht gestattet. Erfolgt keine Untersagung durch das BMI (Negativbescheid), ist der Einsatz nach Fristende zulässig. Spätere sowie auf Typ oder Hersteller erweiterte Untersagungen bleiben möglich. §9b (4) BSIG

up

Garantieerklärung für NIS2

Mit der NIS2-Umsetzung führt § 41 BSIG den Anzeige- und Untersagungsprozess für kritische Komponenten im Kern fort, dreht den Ablauf aber um: Das Bundesinnenministerium kann Betreibern kritischer Anlagen müssen den Einsatz kritischer Komponenten untersagen. §41 (1)(2)

Die Garantieerklärungen, die noch in Entwürfen der deutschen NIS2-Umsetzung beschrieben wurden, fallen mit der finalen deutschen NIS2-Umsetzungen weg, in §41 sind diese nicht mehr vorhanden.

up

Weitere Informationen

Quellen

  1. Allgemeinverfügung zu § 9b BSIG Mindestanforderungen an die Garantieerklärung, Bundesministerium des Innern, für Bau und Heimat, Bekanntmachung BAnz AT 12.11.2021 B1