206-7-2
18
Bundesgesetzblatt Jahrgang 2022 Teil I Nr. 2, ausgegeben zu Bonn am 19. Januar 2022
Verordnung
zur Gewährleistung der IT-Sicherheit der im Portalverbund
und zur Anbindung an den Portalverbund genutzten IT-Komponenten
(IT-Sicherheitsverordnung Portalverbund ITSiV-PV)
Vom 6. Januar 2022
Auf Grund des § 5 Satz 1 des Onlinezugangsgeset
zes vom 14. August 2017 (BGBl. I S. 3122, 3138), der
zuletzt durch Artikel 77 der Verordnung vom 19. Juni
2020 (BGBl. I S. 1328) geändert worden ist, in Verbin
dung mit § 1 Absatz 2 des Zuständigkeitsanpassungs
gesetzes vom 16. August 2002 (BGBl. I S. 3165) und
dem Organisationserlass vom 8. Dezember 2021
(BGBl. I S. 5176) verordnet das Bundesministerium
des Innern und für Heimat:
§1
Begriffsbestimmungen
(1) Soweit in dieser Verordnung Begriffe Verwen
dung finden, die in § 2 des Onlinezugangsgesetzes de
finiert werden, finden die dortigen Begriffsbestimmun
gen auch für den Geltungsbereich dieser Verordnung
Anwendung.
(2) Soweit in dieser Verordnung Begriffe Verwen
dung finden, die in § 2 des BSI-Gesetzes definiert wer
den, finden die dortigen Begriffsbestimmungen auch
für den Geltungsbereich dieser Verordnung Anwen
dung.
(3) IT-Sicherheit der IT-Komponenten im Sinne die
ser Verordnung bezeichnet die Einhaltung bestimmter
Sicherheitsstandards, welche die Verfügbarkeit, Inte
grität oder Vertraulichkeit von Informationen sicherstel
len, die durch IT-Komponenten im Portalverbund und
in IT-Komponenten zur Anbindung an den Portalver
bund verarbeitet werden.
(4) IT-Komponenten zur Anbindung an den Portal
verbund im Sinne dieser Verordnung sind
1. die von Bund und Ländern betriebenen informa
tionstechnischen Systeme, die unmittelbar Daten
mit dem Portalverbund austauschen, und
2. mittelbar an den Portalverbund angebundene infor
mationstechnische Systeme öffentlicher Stellen, die
sich für die Anbindung der Dienste der in Nummer 1
genannten Stellen bedienen.
§2
Portalverbund und
unmittelbar angebundene IT-Komponenten
(1) Für den Portalverbund und für IT-Komponenten
nach § 1 Absatz 4 Nummer 1 sind zur Gewährleistung
der IT-Sicherheit Maßnahmen nach dem Stand der
Technik zu treffen.
(2) Die Einhaltung des Standes der Technik im Sinne
von Absatz 1 wird vermutet, wenn die in der Anlage
aufgeführten Standards in Form von Technischen
Richtlinien des Bundesamtes für Sicherheit in der In
formationstechnik in der jeweils geltenden Fassung
eingehalten werden. Die jeweils geltende Fassung der
Anlage wird im Bundesanzeiger durch Verweis auf die
Internetseite des Bundesamtes für Sicherheit in der In
formationstechnik bekanntgegeben. Bei Fortschrei
bung einer Technischen Richtlinie gilt die Vermutung
nach Satz 1 für zwei Jahre ab Bekanntgabe der Fort
schreibung im Bundesanzeiger fort, soweit durch das
Bundesministerium des Innern und für Heimat keine
andere Umsetzungsfrist vorgegeben wird.
(3) Weitere Technische Richtlinien sowie neuere
Versionen von Technischen Richtlinien nach Absatz 2
werden durch das Bundesamt für Sicherheit in der In
formationstechnik im Benehmen mit den Ländern erar
beitet. Die erarbeiteten Technischen Richtlinien sind
dem Bundesministerium des Innern und für Heimat
zur Zustimmung vorzulegen. Nach der Zustimmung
durch das Bundesministerium des Innern und für Hei
mat erfolgt eine Bekanntgabe der Technischen Richt
linien durch das Bundesamt für Sicherheit in der Infor
mationstechnik nach Absatz 2 Satz 2.
(4) Die genutzten IT-Komponenten müssen einem
Informationssicherheitsmanagementsystem unterlie
gen, welches die Vorgaben der aktuell gültigen Leitlinie
für die Informationssicherheit in der öffentlichen Ver
waltung des IT-Planungsrates umsetzt.
(5) Die für die genutzten IT-Komponenten verant
wortlichen Stellen erstellen und setzen ein IT-Sicher
heitskonzept um, das den Standards 200-1, 200-2
und 200-3 des Bundesamtes für Sicherheit in der
Informationstechnik
oder
den
Vorgaben
der
ISO/IEC 27001 in der jeweils geltenden Fassung ent
spricht. Mindestanforderung ist die Umsetzung der
Standard-Absicherung nach BSI Standard 200-2.
(6) IT-Komponenten, die über eine technische
Schnittstelle unmittelbar mit dem Internet verbunden
sind, und alle sonstigen IT-Komponenten mit einem
nach BSI IT-Grundschutz hohen oder sehr hohen
Schutzbedarf in mindestens einem der Schutzziele
Vertraulichkeit, Integrität oder Verfügbarkeit sind vor
Anbindung an den Portalverbund einem Penetrations
test und einem Webcheck nach den Vorgaben des
Bundesamtes für Sicherheit in der Informationstechnik
zu unterziehen. Zu den IT-Komponenten nach Satz 1
zählen insbesondere Nutzerkonto, elektronischer Be
zahldienst, Postfach und Datensafe.
(7) Penetrationstests und Webchecks sind spätes
tens nach drei Jahren oder bei größeren Änderungen
der in Absatz 6 genannten IT-Komponenten zu wieder
holen.
(8) Penetrationstests und Webchecks für IT-Systeme
der Bundesverwaltung werden vom Bundesamt für
Sicherheit in der Informationstechnik oder durch vom
Bundesgesetzblatt Jahrgang 2022 Teil I Nr. 2, ausgegeben zu Bonn am 19. Januar 2022
Bundesamt für Sicherheit in der Informationstechnik
zertifizierte IT-Sicherheitsdienstleister durchgeführt.
IT-Systeme der Länder werden durch Fachbehörden
für Informationssicherheit der Länder oder durch vom
Bundesamt für Sicherheit in der Informationstechnik
zertifizierte IT-Sicherheitsdienstleister einem Penetrati
onstest und einem Webcheck unterzogen.
(9) IT-Sicherheitsdienstleister, die über keine Zertifi
zierung durch das Bundesamt für Sicherheit in der
Informationstechnik verfügen, können von der für die
IT-Komponente verantwortlichen Stelle ersatzweise
mit der Prüfung beauftragt werden, sofern zertifizierte
IT-Sicherheitsdienstleister nicht zur Verfügung stehen
und der Penetrationstest und der Webcheck nach
den Vorgaben des Bundesamtes für Sicherheit in der
Informationstechnik durchgeführt werden.
(10) Das Bundesamt für Sicherheit in der Informa
tionstechnik, die Fachbehörden für Informationssicher
heit der Länder oder die beauftragten IT-Sicherheits
dienstleister haben die Prüfberichte spätestens sechs
Wochen nach Durchführung des Penetrationstests
oder Webchecks der jeweiligen verantwortlichen Stelle
zur Kenntnis zu bringen.
(11) Die genutzten IT-Komponenten müssen einem
IT-Notfallmanagement unterliegen, das die Anforde
rungen der Leitlinie für die Informationssicherheit in
der öffentlichen Verwaltung des IT-Planungsrates in
der jeweils geltenden Fassung erfüllt.
(12) Die Umsetzung der Vorgaben der Absätze 1
bis 11 obliegt der für die jeweilige IT-Komponente ver
antwortlichen Stelle. Werden IT-Komponenten von
Dienstleistern betrieben, bleibt die auslagernde Stelle
verantwortlich für die Erfüllung der Anforderungen die
ser Verordnung. Die Umsetzung der Maßnahmen ist für
die IT-Komponenten im Portalverbund durch eine jähr
liche Eigenerklärung der für die jeweilige IT-Kompo
nente verantwortlichen Stelle zu dokumentieren. Ein
verbindliches Erklärungsmuster wird durch das Bun
desministerium des Innern und für Heimat bereitge
stellt. Die jeweils geltende Fassung des Erklärungs
musters wird im Bundesanzeiger durch Verweis auf
die Internetseite des Bundesamtes für Sicherheit in
der Informationstechnik bekanntgegeben.
(13) Verantwortliche Stellen des Bundes übermitteln
die Eigenerklärung bis zum 1. Januar eines Kalender
jahres der zentralen Stelle des Bundes. Verantwortliche
19
Stellen in den Ländern hinterlegen die Erklärung bis
zum 1. Januar eines Kalenderjahres bei der jeweiligen
zentralen Stelle des Landes. Die zentrale Stelle für den
Bund und das Verfahren zur Abgabe der Erklärungen
im Bund werden durch das Bundesministerium des In
nern und für Heimat bestimmt. Die Länder legen die für
ihren jeweiligen Zuständigkeitsbereich zentrale Stelle
und das Verfahren zur Abgabe der Erklärungen fest.
§3
Mittelbar angebundene IT-Komponenten
Stellen nach § 1 Absatz 4 Nummer 2 sind auf der
Grundlage angemessener Nutzungsbedingungen an
zubinden. Sie erstellen und setzen für die zum Daten
austausch mit dem Portalverbund eingesetzten
IT-Komponenten ein Sicherheitskonzept um, das den
Standards 200-1, 200-2 und 200-3 des Bundesamtes
für Sicherheit in der Informationstechnik in der jeweils
geltenden Fassung oder einem vergleichbaren vom
Land anerkannten Standard entspricht. Mindestanfor
derung ist die Umsetzung der Basis-Absicherung nach
BSI Standard 200-2.
§4
Übergangsregelung
(1) Für IT-Komponenten im Portalverbund und für
IT-Komponenten zur unmittelbaren Anbindung an den
Portalverbund nach § 1 Absatz 4 Nummer 1, die zum
Zeitpunkt des Inkrafttretens dieser Verordnung in Be
trieb sind oder bis zum 30. Juni 2022 in Betrieb ge
nommen werden,
1. kann bis zum 31. Dezember 2022 von den Vorgaben
des § 2 Absatz 6 abgewichen werden,
2. kann in begründeten Fällen bis zu zwei Jahre nach
Inkrafttreten dieser Verordnung von den Regelun
gen der in der Anlage zu dieser Verordnung genann
ten Technischen Richtlinien abgewichen werden.
(2) Die Abweichungen sind zu dokumentieren.
§5
Inkrafttreten
Diese Verordnung tritt am Tag nach der Verkündung
in Kraft.
Berlin, den 6. Januar 2022
Die Bundesministerin
des Innern und für Heimat
Nancy Faeser
20
Bundesgesetzblatt Jahrgang 2022 Teil I Nr. 2, ausgegeben zu Bonn am 19. Januar 2022
Anlage
(zu § 2 Absatz 2)
1. BSI TR-03160 Servicekonten
2. BSI TR-03107-1 Elektronische
E-Government Teil 1
Identitäten
und
Vertrauensdienste
im
3. BSI TR-03147 Vertrauensniveaubewertung von Verfahren zur Identitätsprü
fung natürlicher Personen
4. BSI TR-03116-4 Kryptographische Vorgaben für Projekte der Bundesregie
rung Teil 4