Gesetz ueber die Errichtung des Bundesamtes
fuer Sicherheit in der Informationstechnik
(BSI-Errichtungsgesetz - BSIG)
BSIG
vom 17.12.1990
"BSI-Errichtungsgesetz vom 17. Dezember 1990 (BGBl. I S. 2834), das zuletzt durch
Artikel 15 Abs. 11 des Gesetzes vom 5. Februar 2009 (BGBl. I S. 160) geaendert worden
ist"
Stand: Zuletzt geaendert durch Art. 15 Abs. 11 G v. 5.2.2009 I 160
Fussnote
Textnachweis ab: 1.1.1991
§ 1 Bundesamt fuer Sicherheit in der Informationstechnik
Der Bund errichtet das Bundesamt fuer Sicherheit in der Informationstechnik als
Bundesoberbehoerde. Es untersteht dem Bundesministerium des Innern.
§ 2 Begriffsbestimmungen
(1) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur
Verarbeitung oder Uebertragung von Informationen.
(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die
Einhaltung bestimmter Sicherheitsstandards, die die Verfuegbarkeit, Unversehrtheit oder
Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen
1. in informationstechnischen Systemen oder Komponenten oder
2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.
§ 3 Aufgaben des Bundesamtes
(1) Das Bundesamt hat zur Foerderung der Sicherheit in der Informationstechnik folgende
Aufgaben:
1. Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie
Entwicklung von Sicherheitsvorkehrungen, insbesondere von informationstechnischen
Verfahren und Geraeten fuer die Sicherheit in der Informationstechnik, soweit dies
zur Erfuellung von Aufgaben des Bundes erforderlich ist,
2. Entwicklung von Kriterien, Verfahren und Werkzeugen fuer die Pruefung und Bewertung
der Sicherheit von informationstechnischen Systemen oder Komponenten,
3. Pruefung und Bewertung der Sicherheit von informationstechnischen Systemen oder
Komponenten und Erteilung von Sicherheitszertifikaten,
4. Zulassung von informationstechnischen Systemen oder Komponenten, die fuer
die Verarbeitung oder Uebertragung amtlich geheimgehaltener Informationen
(Verschlusssachen) im Bereich des Bundes oder bei Unternehmen im Rahmen von
Auftraegen des Bundes eingesetzt werden sollen, sowie die Herstellung von
Schluesseldaten, die fuer den Betrieb zugelassener Verschluesselungsgeraete benoetigt
werden,
5. Unterstuetzung der fuer Sicherheit in der Informationstechnik zustaendigen Stellen des
Bundes, insbesondere soweit sie Beratungs- oder Kontrollaufgaben wahrnehmen; dies
gilt vorrangig fuer den Bundesbeauftragten fuer den Datenschutz, dessen Unterstuetzung
-1-
�
im Rahmen der Unabhaengigkeit erfolgt, die ihm bei der Erfuellung seiner Aufgaben
nach dem Bundesdatenschutzgesetz zusteht,
6. Unterstuetzung
a) der Polizeien und Strafverfolgungsbehoerden bei der Wahrnehmung ihrer
gesetzlichen Aufgaben,
b) der Verfassungsschutzbehoerden bei der Auswertung und Bewertung von
Informationen, die bei der Beobachtung terroristischer Bestrebungen oder
nachrichtendienstlicher Taetigkeiten im Rahmen der gesetzlichen Befugnisse nach
den Verfassungsschutzgesetzen des Bundes und der Laender anfallen.
Die Unterstuetzung darf nur gewaehrt werden, soweit sie erforderlich ist, um
Taetigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der
Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik
erfolgen. Die Unterstuetzungsersuchen sind durch das Bundesamt aktenkundig zu
machen,
7. Beratung der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der
Informationstechnik unter Beruecksichtigung der moeglichen Folgen fehlender oder
unzureichender Sicherheitsvorkehrungen.
(2) Im Falle des Absatzes 1 Nr. 2 werden Entscheidungen ueber Kriterien und Verfahren,
die als Grundlage fuer die Erteilung von Sicherheitszertifikaten nach § 4 dienen, im
Einvernehmen mit dem Bundesministerium fuer Wirtschaft und Technologie getroffen.
§ 4 Sicherheitszertifikat
(1) Hersteller und Vertreiber koennen fuer informationstechnische Systeme oder
Komponenten bei dem Bundesamt ein Sicherheitszertifikat beantragen. Die Antraege werden
in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen
werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhaengiger Pruefungsverfahren
eine Pruefung in angemessener Zeit nicht durchfuehren kann und an der Erteilung eines
Sicherheitszertifikats ein oeffentliches Interesse besteht. Der Antragsteller legt
dem Bundesamt die Unterlagen vor und erteilt die Auskuenfte, deren Kenntnis fuer die
Pruefung und Bewertung des Systems oder der Komponente sowie fuer die Erteilung des
Sicherheitszertifikats erforderlich ist.
(2) Das Bundesamt kann im Einvernehmen mit dem Antragsteller sachverstaendige Stellen
mit der Pruefung und Bewertung beauftragen.
(3) Das Sicherheitszertifikat wird erteilt, wenn
1. ein informationstechnisches System oder eine informationstechnische Komponente
den vom Bundesamt festgelegten oder allgemein anerkannten Sicherheitskriterien
entspricht und
2. das Bundesministerium des Innern festgestellt hat, dass ueberwiegende oeffentliche
Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik
Deutschland, der Erteilung nicht entgegenstehen.
(4) Sicherheitszertifikate anderer anerkannter Pruefstellen aus dem Bereich der
Europaeischen Gemeinschaft werden vom Bundesamt anerkannt, soweit sie eine den
Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen.
§ 5 Ermaechtigung
(1) Das Bundesministerium des Innern bestimmt nach Anhoerung der betroffenen
Wirtschaftsverbaende und im Einvernehmen mit dem Bundesministerium fuer Wirtschaft und
Technologie durch Rechtsverordnung das Naehere ueber das Verfahren der Erteilung von
Sicherheitszertifikaten nach § 4 und deren Inhalt.
(2) Fuer Amtshandlungen nach diesem Gesetz und nach den zur Durchfuehrung dieses Gesetzes
erlassenen Rechtsverordnungen werden Gebuehren und Auslagen erhoben. Die Hoehe der
Gebuehren richtet sich nach dem mit den Amtshandlungen verbundenen Verwaltungsaufwand.
Das Bundesministerium des Innern bestimmt im Einvernehmen mit dem Bundesministerium
-2-
�
der Finanzen durch Rechtsverordnung die gebuehrenpflichtigen Tatbestaende und die
Gebuehrensaetze.
§ 6 (weggefallen)
-
§§ 7 und 8
-
§ 9 Rueckkehr zum einheitlichen Verordnungsrang
Die auf den §§ 7 und 8 beruhenden Teile der dort geaenderten Verordnungen koennen
aufgrund der jeweils einschlaegigen Ermaechtigungen durch Verordnung geaendert werden.
§ 10 Inkrafttreten
Dieses Gesetz tritt am 1. Januar 1991 in Kraft.
-3-
�