Garantieerklärung §9b BSIG
KRITIS und NIS2-Betreiber müssen bei bestimmten kritischen Komponenten in ihren Anlagen und Einrichtungen eine Garantieerklärung der Hersteller beim Innenministerium einreichen. Nach §9b BSIG kann das BMI nach der aktuellen KRITIS-Regulierung den Einsatz dieser Komponenten verbieten, was mit §41 BSIG-E in der deutschen NIS2-Umsetzung ab Ende 2025 erweitert wird.
Vorgaben für kritische Komponenten sind seit 2021 konkret im Telekommunikationssektor definiert, seit 2025 in Umrissen im Energiesektor. Der Antragsprozess zum Innenministerium ist im Gesetz eher konkret definiert. Für die Garantieerklärung gibt es keine Vorlage aber Anforderungen aus einer Veröffentlichung des BMI aus 2021.
Erklärung für Kritische Komponenten
Garantieerklärung für KRITIS
Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers nach §9b (3) BSIG eingesetzt werden. Die Erklärung muss die Anforderungen des Innenministeriums erfüllen und ist dem Innenministerium vor Einsatz vorzulegen.
Die nachstehende Liste hat Das Innenministerium per Allgemeinverfügung nach §9b (4) BSIG im Bundesanzeiger vom November 2021 formell für den TK-Sektor festgelegt:
| Anforderung | Inhalt |
|---|---|
| 1. Kooperation & Audits | Kooperation mit Betreibern, BSI und BNetzA; Audits des ISMS der Komponente zulassen. |
| 2. Sicherheitsüberprüfung | Unterstützung bei Sicherheitsüberprüfungen und Penetrationstests. |
| 3. Change-Transparenz | Geplante Änderungen an Herstell-/Bereitstellungsprozessen sicherheitsrelevanter Systemanteile vorab anzeigen; Entwicklungsangaben auf Anfrage. |
| 4. Disclosure | Unverzügliche, detaillierte Meldung von Schwachstellen an den Betreiber. |
| 5. ISMS und Archiv | Einsatz eines geeigneten ISMS; manipulationssichere Archivierung von Firmware-/Software-Versionen; relevante Produkt-/Prozessinfos dokumentieren und vorhalten. |
| 6. Drittstaateneinfluss | Darlegung, ob/wie Unternehmensstruktur oder ausländische Gesetze staatliche Einflussnahme ermöglichen könnten. |
| 7. Unternehmen | Vollständige Firmendaten (Sitz, Struktur, Register-/Steuernr., EORI, Organe/Vertretungen mit Klardaten); Namen auch in Originalschriftzeichen. |
| 8. Vertraulichkeit | Fähigkeit, Offenlegungen vertraulicher Betreiberinfos abzulehnen (Ausnahme: gesetzliche Pflichten ggü. deutschen Behörden); ausländische Pflichten angeben. |
| 9. Wegfall Einhaltung | Unverzügliche Information an BMI und Betreiber, wenn die Einhaltung der Erklärung nicht mehr gewährleistet ist. |
Den geplanten erstmaligen Einsatz müssen Betreiber vor Inbetriebnahme der Komponenten beim Innenministerium anzeigen – und fügen dazu die Garantieerklärung des Herstellers bei. §9b (1)(3)
Das Innenministerium muss sein Prüfverfahren dieser Komponente und Erklärung innerhalb von zwei Monaten abzuschließen, in Ausnahmefällen um weitere zwei Monate verlängert. §9b (2) BSIG
Während der Prüffrist ist der Einsatz der Komponente nicht gestattet. Erfolgt keine Untersagung durch das BMI (Negativbescheid), ist der Einsatz nach Fristende zulässig. Spätere sowie auf Typ oder Hersteller erweiterte Untersagungen bleiben möglich. §9b (4) BSIG
Garantieerklärung für NIS2
Mit der NIS2-Umsetzung führt § 41 BSIG-E den Anzeige- und Untersagungsprozess für kritische Komponenten im Kern fort. Betreiber von KRITIS-Anlagen müssen den geplanten erstmaligen Einsatz weiterhin beim Innenministerium anzeigen, welches innerhalb von zwei (vier) Monaten prüft. §41 (1)(2)
Für die Garantieerklärung ergeben sich gegenüber der KRITIS-Regelung in § 9b BSIG aktuell keine Änderungen: Stillhaltepflicht, Fristen, Indikatoren für fehlende Vertrauenswürdigkeit sowie spätere, erweiterte Untersagungen. § 41 (4-7) Neu ist die sektorübergreifende Reichweite über den TK-Sektor hinaus, aktuell speziell im Energiesektor.
Bis das Innenministerium Vorgaben für NIS2-Garantieerklärungen macht, bleiben die oben skizzierten Vorgaben für KRITIS-Garantieerklärungen als Orientierung für Betreiber und Hersteller hilfreich.
Weitere Informationen
Quellen
- Allgemeinverfügung zu § 9b BSIG Mindestanforderungen an die Garantieerklärung, Bundesministerium des Innern, für Bau und Heimat, Bekanntmachung BAnz AT 12.11.2021 B1