「サイバー安全保障分野での対応能力の向上に向けた有識者会議」「通信情報の利用に関するテーマ別会合 第１回」の資料が公開されています。サイバー安全保障分野での対応能力の向上に向けた有識者会議 において、第2回 の資料5-1 ないし資料5-6が、その有識者会議の資料です。具体的には、

• 御議論いただきたい事項(資料5-1)
• 事務局資料(資料5-2)
• 能動的サイバー防御に関連する論点(土屋大洋)(資料5-3)
• 参考資料(サイバー攻撃の情勢とこれまでの政府の取組)(資料5-4)
• 英国調査権限法2016(資料5-5)
• 「通信の秘密」の日独比較(資料5-6)

1 問題点

これらの資料に目を通したときに、日本において「能動的サイバー防御」において、 「国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃」に有効な対策を講ずるため、どのような範囲・方式の通信情報の利用が特に必要と考えられるか。」という仕組みが構想されようとしていますが、憲法の「通信の秘密」との関係ばかり議論されていて、実際に、どのような仕組みが必要になるのか、という点については、はっきりしていないように思います。

特に個人的に疑問に思うのは、政府が24時間 モニタリングする組織を作るという観点から考えるのか、それとも、「国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃」が生じうる場合において、政府がプロバイダーと協力して、対応するために必要な情報を収集する仕組みを考えているのか、というのがはっきりしないところです。資料5-6では、連邦情報局にフォーカスがなされていますが、実際のネットワークプロバイダーと国との関係が見逃されているように思っています。

2 ISPに対する緊急時の情報共有・対処命令の観点

実際のネットワークへの政府の干渉(interference )を考えてみると次のようになるかと思います。

上の矢印が、ついているところが、社会的法益と国家的法益の区切りのところです。英国的には、社会的法益については、NCSCの担当で、国家的法益については、GCHQの担当になるという感じでわかれているところです。

ところが、有識者会議は、「国家安全保障戦略」について議論しているので、国家的法益についてのみかというとそうでもないようです。上の有識者会議の資料1-3をみると、国家主権の侵害におよばないような場合に対しても議論の対象になっているように思えます。

平時におけるネットワークセキュリティを考えたときに、ISPのネットワーク管理がきわめて大きな役割を果たしていることはいうまでもないことです。主権侵害時に対抗するための24時間のモニタリング(観測-Surveilance)もポイントになるのは、否定するわけではありません。ドイツでの連邦情報局が、そのような業務をおこなっており、その透明性・比例性の確保というのは、ひとつのポイントです。

が、通信データ(traffic dataとアカウントデータ)の観測は、ネットワークプロバイダがいつもやっているので、これを有事に政府が共有するというのも議論の議論の方向性としてあるように思います。平時においても、国家主権侵害のおそれが高まっている場合には、むしろ、そのようなISPのネットワーク管理でえられているデータを活用するとともに、ネットワークにおける障害に対応するというのがきわめて重要ですし、そのための法的な体制の整備を図るほうがきわめて実践的であるように思います。日本にもGCHQを作るべきですというのは、そう思うのですが、結局、そのような有事対応のプロバイダーの活動の延長線上に、情報機関の活動も位置づけられていると思うので、むしろ、有事対応の活動をどう政府のインテリジェンスにつなげていくのか、という方向性で考えるのが先だろう思っています。

#個人的には、双方が必要だと思っていますが、情報機関の構築というのは、なかなかハードルが高いのではないかな、サイバーだけの情報機関といってみても仕方がないだろう、情報機関は、まさに種々の情報取得(コンテンツも含む)・分析が任務で通信データ部分だけでは役に立たないというのも個人的な考えだったりします。

だから、憲法は、国際通信には、直接適用されないし、そこでの「通信(Communication)」は、「意思伝達」とされるべきものでコンテンツしか意味しないと解釈されるべきなんです。誰も触れないんだよね。> 有識者

まあ、高橋一人説をっいっても仕方がないので、有事におけるインターネットサービスプロバイダーの情報の共有と対応についての政府の命令権限という観点を考えてみたいと思います。

3 ITセキュリティ法2.0って何？

3.1 改正のオムニバス構成

この点で、興味深いのが、ドイツでのITセキュリティ法2.0といわれている「情報技術システムの安全性の向上に関する第2法」です。この法律は、2021年5月18日に 連邦議会によって可決されたのですが、

第1条　 BSI法の改正

2020 年 6 月 19 日の条例（連邦法公報 I p. 1328）の第 73 条により最終改正された 2009 年 8 月 14 日の BSI 法（連邦法公報 I p. 2821）は、以下のように改正されるものとする。

となっており、以下

• 第2条 電気通信法の改正
• 第3条 エネルギー事業法の改正
• 第4条 対外貿易支払条例の改正
• 第5条 社会法典第10条の改正
• 第6条 評価

となっています。でもって、興味深い条文が条項があります。

3.2 電気通信の秘密との関係

まずは、BSI 法の「第 11 条 基本的権利の制限」です。この規定は、

電気通信の秘密（基本法第10条）は、第4a条、第5～5c条、第7b条および第7c条によって制限される。

としています。具体的な条文の内容を記していくと

• 第4a条 連邦通信技術の管理、アクセスの権利
• 第5条 連邦通信技術へのマルウエア・脅威からの防御
• 第5a条 内部機関のロギング・データの処理
• 第5b条 例外的事案におけるセキュリティ・情報技術システムの再構築
• 第5c条インベントリデータ情報
• 第7b条ネットワークおよびITセキュリティに対するセキュリティリスクおよび攻撃手法の検出
• 第7c条 サービスプロバイダに対する連邦庁の命令

になります。具体的な内容については、以下の条文全訳に委ねるとして、第5条 連邦通信技術へのマルウエア・脅威からの防御/第5a条 内部機関のロギング・データの処理/第5b条 例外的事案におけるセキュリティ・情報技術システムの再構築 については、連邦機関の内部のデータ(なお、ロギングデータというのは、「情報技術システム内の技術的事象または状態の記録」)ということになるので、我が国と比較したときに、「電気通信事業者の『取扱中にかかる』通信」という要件の関係で、法的な問題はあまり生じないような気がするのでパスします。また、第7b条ネットワークおよびITセキュリティに対するセキュリティリスクおよび攻撃手法の検出も、ポートスキャンの手法なので、これもパスします。

ということで、 第5c条インベントリデータ情報 と第7c条 サービスプロバイダに対する連邦庁の命令をみます。

3.3 第5c条インベントリデータ情報

第5c条インベントリデータ情報の規定は、

(1) 連邦情報セキュリティ局は、第3条第1項第1文第1号、第2号、第14号、第17号または第18号に基づく法定義務を履行するため、電気通信法第3条第6号に基づくインベントリデータおよび電気通信法第172条（電気通信法第174条第1項第1文）に基づき収集されたデータに関する情報を、電気通信サービスを商業ベースで提供しまたは提供に参加する者に対して要求することができる。

情報技術システムのセキュリティまたは機能の障害を防止するために、第1文に基づく情報は、第2条第10パラ・第2文号1の分野における住民の供給または公共の安全を保護するためにのみ要求することができる。

1.重要インフラまたは
2.特別な公益事業

は、特定可能なインフラストラクチャまたは企業の情報技術システムを標的とする事象が、少なくともその性質が具体的であり、時間的に予見可能であると結論付けることができる事実があり、かつ、本障害の第4項に従って情報主体に警告するため、情報主体に通知するため、または情報主体に助言するため、または情報主体を支援するために、情報に含まれるデータが個々のケースにおいて必要である場合は、これを回避するため。

となっています。連邦情報セキュリティ局は、

(1) 法定義務

• 第3条第1項第1文第1号(連邦政府の情報技術に対する脅威の防止)
• 同第2号(セキュリティ・リスクおよびセキュリティ予防策に関する情報を収集・評価・利用)
• 同第14号(関係者に対する助言、情報提供、警告)
• 同第17号 (重要インフラ、デジタルサービス、特に公益性の高い企業の情報技術セキュリティの中心的機関としての、第8a条から第8c条までおよび第8f条に基づく任務)または
• 同第18号(第5a条に従い、例外的に情報技術システムのセキュリティまたは機能の回復を支援)

に基づく法定義務を履行するため、

(2)インベントリデータ等

電気通信法(Telekommunikationsgesetzes)第3条第6号に基づくインベントリデータおよび電気通信法第172条（電気通信法第174条第1項第1文）に基づき収集されたデータに関する情報を、

(3)対象者

電気通信サービスを商業ベースで提供しまたは提供に参加する者に対して

(4)要求

要求することができる。

となっています。ここで、インベントリーデータというのは、

「インベントリデータ」とは、電気通信サービスの契約関係の確立、内容設計、変更または終了に必要なエンドユーザーのデータを意味する；

となるので、英国風にいうと、アカウントデータということになります。

また、「電気通信法第172条（電気通信法第174条第1項第1文）に基づき収集されたデータ」になりますか、TKG172条は、(なお、1項のみ)

(1)番号利用式対人電気通信サービス、インターネット接続サービスまたは信号の伝送を全部または主とするサービスを提供し、その際に電話番号その他の接続識別子を付与し、または他者が付与した電話番号その他の接続識別子のための電気通信接続を提供する者は、運用上必要ない場合であっても、第173条および第174条の規定による情報手続きに必要な以下のデータを開通前に収集し、速やかに保管しなければならない：
1.電話番号
2.本人が割り当てたその他の接続識別子、
3.接続名義人の氏名および住所、
4.自然人の場合は生年月日、
5.固定電話の場合は、接続先の住所、
6.携帯電話回線に加えて携帯電話端末が提供されている場合は、当該端末の端末番号、7.
7.電話番号が割り当てられた日、異なる場合は契約開始日。
電話番号が割り当てられなくなった日付、および異なる場合は契約が終了した日付も、判明した時点で保存しなければならない。第1項および第2項は、データがエンドユーザーディレクトリに登録されていない場合にも適用される。第174条に基づく情報手続きでは、データの保存形式は任意である。

となっています。なので、通信データ部分(メタ・データ部分)となります。

「電気通信サービス」は、BSI法には、定義はありませんが、TKG(電気通信法)には、

「電気通信サービス」とは、電気通信ネットワークを通じて通常報酬を得て提供される役務をいい、電気通信ネットワーク及び役務を通じてコンテンツを提供し又はコンテンツに対する編集上の支配を行使する役務を除き、次の役務を含む：
a)インターネット・アクセス・サービス
b)対人電気通信サービス
c)機械間通信や放送に使用される伝送サービスなど、信号の伝送を完全または主とするサービス；

と定義がなされています。

BSIは、政府の局になるので、これが、プロバイダーに対して通信データの要求権があるということを定める場合には、通信の秘密を侵害しないよ、という規定を定めているということになります。

3.4 第7c条 サービスプロバイダに対する連邦情報セキュリティ局の命令

BSI法第7c条 サービスプロバイダに対する連邦情報セキュリティ局の命令の規定は、

連邦情報セキュリティ局は、第2項にいう保護目的に対する具体的かつ重大な脅威を回避するために、10万人以上の顧客を有する電気通信法にいう電気通信サービスの提供者（サービス提供者）に対し、以下の事項を命ずることができる。
1.電気通信法第169条第6項および第7項に規定される措置を講じる、または
2.マルウェアを駆除するための技術的コマンドを、影響を受ける情報技術システムに配布する、

サービスプロバイダーが技術的に可能であり、かつ経済的に合理的である限りにおいて。連邦情報セキュリティ局が第1項第1号または第2号に基づく措置を命じる前に、連邦ネットワーク庁との間で合意が成立していなければならない。

連邦情報セキュリティ局が第1項第2号に従って措置を命じる前に、連邦データ保護・情報自由委員会とも合意に達しなければならない。

第1項第2号に基づく措置によりアクセスされるデータは、命令において指定されなければならない。

第5条第7項第2文から第8文が適用される。

第1項に基づく命令に対する異議および取消訴訟は、効力を停止されない。

となっています。

第2項にいう保護目的

これは、第2項にいう保護目的に対する具体的かつ重大な脅威を回避するためとなっています。第2項とは

第1項第1文に基づく保護目的は、以下にかかる可用性、完全性又は秘密性である。
1.連邦政府、重要インフラ事業者、特別公益企業またはデジタルサービス提供者の通信技術、
2.情報または通信サービス または
3.可用性、完全性または機密性が、相当数のユーザーの電気通信システムまたは情報技術システムへの不正アクセスによって制限されている場合の情報。

となっています。

電気通信法第169条第6項および第7項に規定される措置

ここで、電気通信法第169条第6項および第7項をみます。

(6) 障害が発生した場合、電気通信役務の提供者は、電気通信役務の提供者、第4項にいう利用者又は他の利用者の電気通信及びデータ処理システムの障害を除去し、又は防止するために必要な場合であって、利用者が自ら直ちに障害を除去しないとき、又は利用者が自ら直ちに障害を除去しないと予測されるときは、障害が終了するまでの間、電気通信役務の利用を制限し、迂回させ、又は防止することができる。

(7) 電気通信役務の提供者は、利用者の電気通信およびデータ処理システムの障害を回避するために必要な範囲において、干渉源(sources of interference)との間のデータ・トラフィックを制限し、方向転換し、または防止することができる。

となります。第6項は、利用の制限・迂回・防止になります。第7項は、パケットのブラックホールへの迂回となります。これらについては、日本においてもいずれも、電気通信サービスの約款の基づいて、プロバイダーは、自主的になしうるかと思います。「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」でも許容されているものと思います。

もっとも、これについて政府が命令をなしうるというのは、また、別個のレベルの問題であって、上の第7c条は、これをBSIが命令としてなしうるという点に特徴があります。

マルウェアを駆除するための技術的コマンドを、影響を受ける情報技術システムに配布する

これは、俗にホワイトワームといわれています。ボットネットなどが、脆弱性を悪用されてハーダーにコントロールされているのであれば、その脆弱性をふさいでしまえば、もはや攻撃の手先とはならないのですから、防衛のためには、これで十分であるようにも思えます。

そうはいっても、このような技術的コマンドは、かならずしも、そのコントロールされているシステムの管理者に意思にそっているとはいえないわけでしょうから、このような形で、プロバイダーに命令を下すことで、その行為の適法性を確かににする必要かあるといえるでしょう。

4 結論

結局、ドイツのBSI法で、通信の秘密についての適法性確認規定を考えていくと、日本においても電気通信事業法において、政府機関に対しての提出・接続命令という形で定めるとともに、適法性確認規定を置くことが必要に思います。

日本の有識者会議が、情報機関の活動としての24時間7日の観測を念頭においているものの、むしろ、実際のネットワーク管理という観点からするときに、プロバイダーがおこなっている活動と国の機関との連携連携のための規定を整備するという観点が抜け落ちているように思います。

もし,有識者会議の議論が、国家安全保障に限定されることなく一般の社会の安全をも議論しているのあれば、むしろ、上述のプロバイダーへの通信データ提出命令・利用者の切断・迂回等命令・ホワイトワーム命令の規定を整備するほうが、より実質的で実効性のある制度のように思えます。そのうえで、そのような情報をもとに、その他の情報ともあわせて、分析、取扱、対応を決定する中央情報機関を構築するというのが順番というものであろうと思います。

#このように考えると、情報機関の取得する情報は、国際通信については、内容についても取得できるようにしないとあまり意味がないように思います。

おまけ 改正後のBSI法全文

BSI法は、改正後をまとめて翻訳したことがなかったのでこれを機械に翻訳してみます。

§1は、以下のように表現されるものとする。

1 　連邦情報セキュリティ局

連邦情報セキュリティ局（Bundesamt für Sicherheit in der Informationstechnik, Bundesamt）は、連邦内務省建設内務局の管轄下にある連邦上級機関である。国家レベルの情報セキュリティの中央機関である。連邦局は、科学的・技術的知見に基づき、連邦省庁に対して業務を遂行する。”

となっています。(なお、BSIは、各省の外局なのかというとそうではないようなので、局の訳をあてます。)な改正後のBSI法は、こちら (英語 公式訳)。 基本的には、個人の勉強のためという感じではあります。

第1条 連邦情報セキュリティ局

連邦情報セキュリティ局（Bundesamt für Sicherheit in der Informationstechnik, Bundesamt）は、連邦内務省建設内務局の管轄下にある連邦上級機関である。国家レベルの情報セキュリティの中央機関である。連邦局は、科学的・技術的知見に基づき、連邦省庁に対して業務を遂行する。

 第2条 定義

(1) この法律にいう情報技術には、情報を処理するためのすべての技術的手段が含まれる。

(2) 情報および情報処理システム、コンポーネントおよびプロセスは、特に保護に値する。これらへのアクセスは、権限を与えられた者またはプログラムにのみ許可される。この法律にいう情報技術におけるセキュリティおよびそれに伴う攻撃や不正アクセスに対する情報および情報処理システムの保護には、情報技術の基本的価値および保護目的を保証するための一定のセキュリティ基準の遵守が必要である。この法律にいう情報技術におけるセキュリティとは、セキュリティ上の予防措置を通じて、以下における情報の可用性、完全性または機密性に関する一定のセキュリティ基準に準拠することを意味する。

1.情報技術システム、コンポーネントまたはプロセス、または

2.情報技術システム、コンポーネントまたはプロセスの適用

(3) この法律にいう連邦通信技術とは、1つまたは複数の連邦当局によって、または1つまたは複数の連邦当局に代わって運営され、連邦当局内、連邦当局間、または連邦当局と第三者との間の通信またはデータ交換のために使用される情報技術をいう。連邦憲法裁判所、連邦裁判所、連邦議会、連邦大統領および連邦会計検査院の通信技術は、公法に基づく行政事務を行わない限り、その管轄区域内のみで運用される限り、連邦通信技術ではない。

(4) この法律にいう連邦通信技術のインターフェイスとは、連邦通信技術内、およびこれと個々の連邦当局、連邦当局のグループ、または第三者の情報技術との間のセキュリティ関連のネットワーク移行をいう。ただし、第3項第2文にいう裁判所および憲法制定機関の単独の管轄下で運用されるネットワーク移行コンポーネントには適用されない。

(5) この法律にいうマルウェアとは、権限を持たずにデータを使用もしくは削除する目的を果たす、または権限を持たずに他の情報技術プロセスに影響を与える目的を果たす、プログラムその他の情報技術ルーチンおよび手順をいう。

(6) この法律でいうセキュリティ・ギャップとは、プログラムその他の情報技術システムの特性であって、悪用された場合、第三者が、権限のある者の意思に反して他人の情報技術システムにアクセスすること、又は情報技術システムの機能に影響を及ぼすことを可能にするものをいう。

(7) この法律にいう認証とは、製品、プロセス、システム、保護プロファイル（セキュリティ認証）、人（人認証）またはITセキュリティ・サービス・プロバイダが一定の要件を満たしていると認証機関が判断することをいう。

(8) この法律でいうプロトコルデータとは、データ伝送のための情報技術プロトコルの制御データであり、通信プロセスの内容とは無関係に伝送されるか、通信プロセスに関与するサーバーに保存され、受信者と送信者の間の通信を確保するために必要なものである。プロトコルデータには、電気通信法第3条第70号に基づくトラフィックデータおよび電気通信・テレメディア・データ保護法第2条第2項第3号に基づく利用データが含まれる場合があります。

(8a) この法律にいうロギングデータとは、情報技術システム内の技術的事象または状態の記録である。

(9) この法律にいうデータトラフィックとは、技術プロトコルを使用して送信されるデータをいう。データトラフィックには、電気通信およびテレメディア情報保護法第3条第1項に基づく電気通信コンテンツおよび電気通信およびテレメディア情報保護法第2条第2項第3号に基づく利用データが含まれることがある。

(9a) この法律にいうIT製品とは、ソフトウェア、ハードウェア、および情報技術を使用して情報を処理するすべての個別または相互接続されたコンポーネントをいう。

(9b)この法律にいう攻撃検知システムとは、情報技術システムに対する攻撃を検知するための、技術ツールおよび組織的統合に支えられたプロセスをいう。攻撃検知は、情報技術システムで処理されるデータを、攻撃を示す情報および技術パターンと比較することによって行われる。

(10) この法律にいう重要インフラとは、以下のような施設、設備またはその一部をいう。

1.エネルギー、情報技術および電気通信、輸送および交通、保健、水、食料、金融および保険、ならびに自治体の廃棄物管理のセクターに属するもので、かつ
2.その故障や障害が重大な供給ボトルネックや公共の安全に対する脅威をもたらすため、地域社会の機能にとって非常に重要である。

本法にいう重要インフラは、第10条第1項に基づく法令により詳細に定義される。

(11) この法律の意味におけるデジタルサービスとは，情報社会サービスに関する技術的規制及び規則の分野における情報提供のための手続を定めた2015年9月9日の欧州議会及び理事会の指令（EU）2015/1535（OJ L 241, 17.9.2015, p.1）の第1条(1)(b)の意味におけるサービスであり，かつ、政府の重要な機能を保護するために設立または使用されていないものであって、次のとおりのものをいう

1.消費者紛争の裁判外紛争解決及び規則(EC) No 2006/2004及び指令2009/22/EC（消費者の裁判外紛争解決に関する指令）の改正に関する2013年5月21日付欧州議会及び理事会指令2013/11/EU（消費者の裁判外紛争解決に関する指令）（OJ L 165, 18.6.2013, p.63）の第4条(1)(a)又は(b)の意味における消費者又は取引者が、これらのサービスのウェブサイト又はこれらのサービスによって提供されるコンピューティングサービスを利用する取引者のウェブサイト（オンラインマーケットプレイス）のいずれかにおいて、取引者と販売契約又はサービス契約を締結できるようにすること；
2.利用者が、キーワード、単語群、またはその他の入力形式で任意のトピックに関するクエリを使用して、すべてのウェブサイトまたは特定の言語のウェブサイトで検索を行い、クエリに対応するコンテンツにアクセスできるリンクを表示できるようにすること（オンライン検索エンジン）；
3.スケーラブルで弾力性のある共有コンピューティング・リソース・プールへのアクセスを提供する（クラウド・コンピューティング・サービス）、

(12) 本法において「デジタル・サービス・プロバイダー」とは、デジタル・サービスを提供する法人をいう。

(13) 本法にいう重要コンポーネントとは、IT製品をいう、

1.重要インフラで使用されるIT製品、
2.可用性、完全性、真正性、および機密性が破壊されることにより、重要インフラの機能の障害または重大な障害につながる可能性がある場合、または公共の安全が脅かされる可能性がある場合であって、かつ
3.以下の規定を参照する法律に基づくものである。
a)重要コンポーネントとして特定されること/または
b)法律により重要であると判断された機能を実装すること

第10項第1文第1号に掲げる部門の一つについて、この規定を参照する法律に基づいて、重要な構成要素及び重要な構成要素を導き出すことができる重要な機能が決定されない場合、この法律の意味において、この部門には重要な構成要素は存在しない。

(14) 特に公益性の高い事業とは、第10項に定義される重要インフラの事業者でない事業であり、以下のものを指す。

1.現在適用されているバージョンの外国貿易条例第60条第1項第1号および第3号に従い、商品を製造または開発する事業、
2.国内付加価値額においてドイツで最大級の企業であり、したがってドイツ連邦共和国にとって経済的に相当重要であるか、または独自のセールスポイントによりそのような企業のサプライヤーとして重要である場合。
3.現在適用されているバージョンの重大事故条例の意味における上位クラスの営業区域の運営者であるか、または重大事故条例第1条第2項に従ってそのように扱われる者。

第1項第2号に従い、特に公共の利害に関わる企業は、第10項第5号に基づく法的命令によって決定される。この命令では、第2号の意味において企業がドイツで最大の企業のひとつであることの決め手となる経済指標と、そのような企業にとって不可欠な重要性を持つサプライヤーの決め手となる独自のセールスポイントが規定されている。

第 3 条 連邦情報セキュリティ局の任務

(1)連邦情報セキュリティ局は、情報およびその処理の可用性、完全性、機密性を確保することを目的として、情報技術セキュリティを推進する。この目的のため、連邦情報セキュリティ局は公益のために以下の重要な任務を遂行する：

1.連邦政府の情報技術のセキュリティに対する脅威を防止する；
2.セキュリティ・リスクおよびセキュリティ予防策に関する情報を収集・評価し、得られた知識を、他の機関の業務遂行に必要な限りにおいて、および第三者のセキュリティ上の利益を保護するために必要な限りにおいて、他の機関が利用できるようにする；
3.連邦政府の任務の遂行に必要な限りにおいて、情報技術の応用におけるセキュリティー・リスクの調査およびセキュリティー予防策、特に情報技術プロセスおよび情報技術におけるセキュリティー用装置（ITセキュリティー製品）の開発；
4.情報技術システムまたはコンポーネントのセキュリティを試験・評価し、ITセキュリティ分野における適合性を試験・評価するための基準、手順、ツールを開発すること；
5.情報技術システムまたはコンポーネントのセキュリティを試験・評価し、セキュリティ証明書を発行すること；
5a.サイバーセキュリティ認証の国内当局として、ENISA（欧州連合サイバーセキュリティ機関）及び情報通信技術のサイバーセキュリティ認証に関する2019年4月17日付欧州議会及び理事会規則（EU）2019/881の第58条（7）及び（8）に規定され、規則（EU）No 526/2013（サイバーセキュリティ法、OJ L 151、2019.6.7、15頁）を廃止する任務を遂行し、権限を行使すること；
6.情報技術システムおよびコンポーネントのITセキュリティ分野における連邦庁の技術ガイドラインへの適合性の試験および確認；
7.連邦領域内または連邦契約の枠組み内の企業による、秘密保持法第4条に基づく公式秘密情報の処理に使用される情報技術システムまたはコンポーネントの試験、評価および承認；
8.国家機密保護の分野で使用される、または関係当局の要請によりその他の分野で使用される連邦情報セキュリティシステムの鍵データの作成、暗号およびセキュリティ管理システムの運用；
9.組織的および技術的なセキュリティ対策に関する支援および助言、ならびに秘密保持法第 4 条に従い、無権限者によるアクセスから公式秘密情報を保護するための技術テストの実施；
10.連邦政府が使用する情報技術に関するセキュリティ要件、および特別な保護要件を持つ情報技術分野の請負業者の適性に関するセキュリティ要件の策定；
11.連邦政府機関向けの IT セキュリティ製品の提供；
12.これは主に連邦データ保護委員に適用され、その支援は、連邦データ保護法に基づく職務遂行において連邦データ保護委員が受けるべき独立性の枠内で提供される；
12a.情報技術セキュリティに関する問題について連邦政府機関に助言し、支援する；
13.以下の支援
a)警察および法執行当局の法定任務の遂行を支援する、
b) 連邦・州憲法保護法またはMAD法に基づく法的権限の枠内で、テロ活動または諜報活動の監視中に得た情報の評価・査定において、憲法保護局および軍防諜局を支援する、
c)連邦情報局の法定任務の遂行。
支援は、情報技術の安全保障に反する活動または情報技術を利用して行われる活動を防止または調査するために必要な範囲でのみ認められる。支援の要請は、連邦事務局によって記録されなければならない；
13a.州当局の要請に応じて、情報技術セキュリティへの脅威の防止に関連する問題において、州当局を支援する；
14.連邦当局、州当局、製造業者、販売業者、利用者に対し、情報技術セキュリティーに関連する問題について、特にセキュリティー上の予防措置の欠落や不備がもたらす可能性のある結果を考慮に入れて、助言、情報提供、警告を行う；
14a.情報技術セキュリティの分野における消費者保護および消費者情報の提供。特に、情報技術セキュリティの問題について消費者に助言・警告し、セキュリティ上の予防措置の欠落または不備がもたらす可能性のある結果を考慮する；
15.危機の早期発見、危機対応、危機管理のための適切なコミュニケーション体制の確立、および民間部門と連携した重要インフラにおける情報技術のセキュリティ保護のための協力の調整；
16.他の機関の特定の責務を損なうことなく、海外の所轄官庁との協力に関して、情報技術セキュリティ分野の中心的機関としての任務を果たす；
17.重要インフラ、デジタルサービス、特に公益性の高い企業の情報技術セキュリティの中心的機関としての、第8a条から第8c条までおよび第8f条に基づく任務；
18.第5a条に従い、例外的に情報技術システムのセキュリティまたは機能の回復を支援すること；
19.情報セキュリティに関する、本人確認および認証手続きの推奨と、これらの手続きの評価；
20.既存の規範および基準を考慮し、関連業界団体を巻き込んだ、IT製品の安全要件に関する最新技術の説明および公表。

(2) 連邦情報セキュリティ局は、要請に応じて、各州の情報技術の安全確保を支援することができる。

(3) 連邦情報セキュリティ局は、重要インフラの運営者の要請に応じて、情報技術の安全確保について助言し、支援し、または適格なセキュリティサービス提供者を紹介することができる。

第3a条 個人情報の処理

(1) 連邦情報セキュリティ局による個人情報の処理は、その処理が公益上の任務遂行のために必要である場合に許される。

(2) 連邦情報セキュリティ局による個人データの当初の収集目的以外の目的での処理は、個人データの処理に関する自然人の保護および当該データの自由な移動に関する/指令95/46/EC（一般データ保護規則）を廃止する2016年4月27日の欧州議会および理事会の規則（EU）2016/679（2016年5月4日付OJ L 119, p. 1; L 314 of 22 November 2016, p. 72; L 127 of 23 May 2018, p. 2)(注 GDPR)の第6条4項を損なうことなく許容され、連邦データ保護法第23条に以下の場合に適用する。

1.処理が必要な場合
a)情報技術のセキュリティリスクまたはセキュリティ予防措置に関する情報の収集、評価または調査のため、または
b)情報技術セキュリティに関する問題に関するサポート、助言、警告を提供するため。
2.データ主体の正当な利益がデータ主体の利益を上回ると想定する理由がない場合。

(3) 規則(EU) 2016/679の第9条(1)の適用除外により、連邦データ保護法第22条(1)を損なうことなく、連邦事務局は以下の場合に特別カテゴリーの個人データを処理することができる。

1.ネットワーク、データまたは情報のセキュリティに対する重大な脅威を回避するために処理が必要な場合、
2.これらのデータを処理から除外することにより、連邦事務局の業務の遂行が不可能になるか、または著しく危険にさらされる場合。
3.処理からこれらのデータを除外することがデータ主体の正当な利益を上回ると想定する理由がないこと。

(4) 連邦情報セキュリティ局は、連邦データ保護法第22条第2項第2文に従い、データ主体の利益を保護するための適切かつ具体的な措置を講じるものとする。

第 4 条 連邦政府情報技術セキュリティ中央報告局

(1) 連邦情報セキュリティ局は、情報技術セキュリティに関する連邦当局間の協力のための中央報告窓口である。

(2) この任務を遂行するため、連邦事務局は次のことを行う。

1.情報技術セキュリティに対する脅威を回避するために必要なあらゆる情報、特に、セキュリティギャップ、マルウェア、発生または未遂に終わった情報技術セキュリティに対する攻撃、およびこれらの場合に観察された手順に関する情報を収集し、評価すること、
2.連邦当局に対し、1.に基づく情報および発見された状況を遅滞なく通知すること。

(3) 他の連邦当局が、第2項(1)に基づき、他の当局の業務の遂行または情報技術のセキュリティに関連する情報を知った場合、他の規定がこれを妨げる場合を除き、2010年1月1日から遅滞なくその旨を連邦事務局に通知すること。

(4) 第2項(2)および第3項に基づく通知義務の対象外となるのは、秘密保持規定または第三者との協定により開示することができない情報、または開示することにより連邦議会議員もしくは憲法上の機関の憲法上の地位または個々の機関の法的に規制された独立性に抵触する情報である。

(5) 個人情報の保護に関する規定は、影響を受けない。

(6) 連邦内務・建築・内務省は、連邦政府IT委員会理事会の承認を経て、第3項の実施のための一般行政規則を発行する。

第4a条 連邦通信技術の管理、アクセス権

(1) 連邦情報セキュリティ局は、連邦通信技術およびその構成要素（連邦通信技術の運用に必要な技術基盤を含む）のセキュリティを監視する権限を有する。このため、連邦情報セキュリティ局は、特に連邦通信技術に関する技術的詳細、戦略、計画および規則について、第3条第1項第2文第1号および第14号に基づく任務の遂行に必要な情報の提供を要求することができるほか、各連邦通信技術の運営者または運営サービスの提供を委託された第三者が所有する文書およびデータ媒体を検査し、第2文にいう運営者の秘密保持上の利益または優先的な安全保障上の利益に抵触しない限り、電子形式を含め、これらの文書のコピーの無償開示を要求することができる。

(2) 連邦情報セキュリティ局は、第1項に規定する目的を達成するために必要な限りにおいて、当該施設がそれぞれの業務上または運営上の使用のために通常利用可能である時間帯に、連邦通信技術に使用されるデータ処理システムおよび設備を含む施設および事業所への立入りを認められるものとする。

(3) 連邦政府の通信技術とのインタフェースを有する第三者の施設の場合、連邦情報セキュリティ局は、第三者の同意がある場合に限り、施設のインタフェース側でインタフェースのセキュリティを確認することができる。このため、連邦情報セキュリティ局は、第三者の同意を得て、その任務を遂行するために必要な情報、特に、技術的詳細、戦略、計画および規則、ならびに、運営者の文書およびデータ保存装置を検査し、電子的形式を含め、無料でコピーを作成することができる。

(4) 連邦情報セキュリティ局は、第1項から第3項までの規定に基づく検査の結果を、検査を受けた事業者に、また連邦公的機関の場合は管轄の法律・技術監督当局に通知しなければならない。通知には、情報セキュリティの改善、特に指摘された欠陥の解消に向けた提案を含めるものとする。

(5) 第 1 項から第 3 項に基づく権限から除外されるのは、専ら外国に所在し、又は外国若しくは外国の利用者のために運用される限りにおいて、外務法第 9 条第 2 項にいう外国の情報通信技術の管理である。ドイツ国内における連邦政府の通信技術のインターフェースに関する規定は影響を受けない。第1項の詳細は、連邦内務・建築・内務省と連邦外務省との間の行政協定によって規定される。

(6) 第1項から第3項までの権限は、連邦国防省の責任範囲内では、軍隊が独自の目的で使用する情報通信技術または軍事防諜機関が使用する情報通信技術の管理には適用されない。ただし、第三者、特にITサービス・プロバイダーが使用する情報通信技術については、それが軍隊の目的にのみ使用されるものでない限り、この限りでない。連邦通信技術のインターフェースに関する規定は、第1項および第2項の影響を受けない。さらなる詳細は、連邦内務・建築・内務省および連邦国防省間の行政協定によって規定される。

 第 4b 条 情報技術セキュリティに関する一般報告事務所

(1) 連邦情報セキュリティ局は、第3条に基づく業務を遂行するため、第三者からの報告の一元窓口として、情報技術におけるセキュリティリスクに関する情報を受領し、当該情報を評価する。

(2) 連邦情報セキュリティ局は、第1項の任務を遂行するため、セキュリティ・ギャップ、マルウェア、実行されまたは試みられた情報技術セキュリティへの攻撃、およびこれらの場合に観察された手続きに関する情報を受領する。連邦情報セキュリティ局は、この目的のために適切な報告オプションを設定する。報告は匿名で行うことができる。報告が匿名で行われない場合、報告者は報告時または後に、個人情報が匿名でのみ提供されることを要求できる。ただし、第5条第5項および第6条第1項の場合はこの限りではない。第5条第5項および第6条第1項に該当する場合であっても、連邦情報セキュリティ局が、保護に値する報告者の利益が、個人情報の伝達における公共の利益を上回ると判断した場合には、個人情報を伝達してはならない。報告者が情報を入手した方法も考慮されなければならない。第6項に基づく決定は、連邦庁の公的なデータ保護担当官および司法権を有する連邦庁の他の職員に提出され、事前に審査されなければならない。

(3) 連邦情報セキュリティ局は、第2項に従って報告された情報を次の目的のために使用しなければならない。

1.セキュリティ上の利益を保護するために必要である限りにおいて、既知のセキュリティ・ギャップ、マルウェア、情報技術セキュリティに対する攻撃の発生または未遂について第三者に通知するため、
2.第7条に従って、一般市民または影響を受ける当事者に警告し、通知するため、
3.第4条第2項第2号に従い、連邦当局にそれらに関する情報を通知すること、
4.第 8b 条第 2 項第 4 文章 a に従い、重要インフラの運営者および公益企業にそれらに関する情報を通知すること。

(4) 第2項の規定により報告された情報が次のいずれかに該当する場合には、第3項第1号、第2号又は第4号の規定による開示は行わない。

1.第三者の営業秘密及び企業秘密が含まれている場合であって、これらの営業秘密及び企業秘密を開示しなければ第三項の措置を実施することができないとき。
2.連邦事務局と第三者との間の協定により、情報を伝達することができない場合。

(5) その他の法定報告義務、秘密保護に関する規則、法定送信障害および送信規則は影響を受けない。

第5条 連邦通信技術に対するマルウェアおよび脅威に対する防御

(1) 連邦通信技術に対する脅威を回避するために、連邦情報セキュリティ局は以下のことを行うことができる。

1.連邦通信技術または連邦情報技術に対する攻撃の検知、制限、除去に必要な限りにおいて、連邦通信技術の運用中に生じるプロトコルデータを収集し、自動的に評価すること、
2.マルウェアの検出および防御に必要な範囲で、連邦政府の通信技術のインターフェイスで生成されたデータを自動的に評価する。

次の各項がそれ以上の使用を許可しない限り、このデータの自動評価は直ちに実施されなければならず、比較が実施された後は、直ちに痕跡を残さずに削除されなければならない。使用に関する制限は、ログデータには適用されないが、これには個人データや通信の秘密の対象となるデータは含まれない。連邦当局は、第1項に基づく措置において連邦事務局を支援し、第1項第1号に基づく内部ログデータおよび第1項第2号に基づくインターフェースデータへの連邦事務局のアクセスを確保する義務を負う。連邦裁判所のログデータは，連邦裁判所の同意がある場合にのみ収集することができる。

(2) 第1項第1文番号1に基づくログデータは、第1項第1文番号1に基づく自動評価に必要な期間を超えて、ただし、第3項第2文に基づく疑いが確認された場合に、発見されたマルウェアによってもたらされる危険を回避するため、または他のマルウェアを検出して回避するために必要であることを示す実際の兆候がある場合に限り、最長18ヶ月間保存することができる。本項に従って保存されたデータが自動的に評価され、連邦政府がマルウェアプログラムの影響を受けていることが実際に判明した場合にのみ、3ヶ月を超えて保存されたデータにアクセスできるよう、組織的および技術的な措置が講じられなければならない。自動処理が可能な場合、データは仮名化されなければならない。自動化されない処理は、以下の項に従ってのみ許可される。この目的のために仮名化されたログデータの復元が必要な場合、これは連邦官庁の総裁または官庁の代表者が命じなければならない。その決定は文書化されなければならない。

(2a) 第 2 項に従って仮名化され保管される前に、エラーのない自動評価を確実にするために、ログデー タを手作業で処理することができる。重大な誤りのために誤りのない自動評価がより困難になることが示唆される場合、個々の事案において必要であれば、誤りのない自動評価を確実にするために、ログデータへの個人的参照を回復することができる。この場合、第2項第3文から第6文が適用される。

(3) 第 1 項および第 2 項を超える個人データの利用は、具体的な事実が以下の疑いを生じさせる場合に限り、許容されるものとする。

1.マルウェアが含まれていること、
2.悪意のあるプログラムによって送信された場合
3.マルウェアの証拠を提供する可能性がある、

また、その疑いを確認または反証するためにデータ処理が必要な場合に限る。確認の場合、以下の範囲で個人データのさらなる処理が許可される

1.マルウェアを防御するため、
2.検出されたマルウェアによる危険を回避するため。
3.他のマルウェアを検出し、防御するため。

悪意のあるプログラムは、削除または機能しないようにすることができる。第1文および第2文に基づくデータの非自動的利用は、司法職の資格を有する連邦庁の職員のみが命じることができる。

(4) 悪意のあるプログラムまたは悪意のあるプログラムによってもたらされる危険が特定され、回避された後、それらが判明している場合、または不相応な追加調査なしにその特定が可能な場合、および第三者の正当な利益に優先するものがない場合、通信プロセスに関与する者は、遅くとも通知されなければならない。本人に軽微な影響しかなく、通知されることに関心がないと考えられる場合は、通知を省略することができる。連邦情報セキュリティ局は、通知を控えるケースを、連邦情報セキュリティ局の公式データ保護担当官および司法権を有する別の連邦情報セキュリティ局職員に提出し、審査を受けるものとする。データ保護担当官が連邦事務局の決定に反対する場合、通知を行わなければならない。通知しない決定は、文書化しなければならない。文書はデータ保護監視の目的でのみ使用することができる。書類は12ヶ月後に削除しなければならない。第5項および第6項に規定する場合には、当該当局に適用される規定に従って、当該当局が通知を行うものとする。これらに通告義務に関する規定がない場合には、刑事訴訟法の規定が準用される。

(5) 連邦情報セキュリティ局は、刑法第202a条、第202b条、第303a条または第303b条に基づくマルウェアを使用して行われた犯罪を起訴する目的で、第3項に従って使用された個人情報を法執行当局に送信することができる。また、以下のデータも送信することができる。

1.悪意のあるプログラムによって直接もたらされる公共の安全に対する脅威を回避するために、連邦警察および州警察に送信する場合、
2.連邦国防省の責任範囲内にある個人、部局、機関に対する活動である場合、外国の安全保障を脅かす活動や諜報活動を示す事実を、連邦憲法保護局および軍事防諜局に通知するため、
3.ドイツ連邦共和国にとって極めて重要な場合において、ITシステムの機密性、完全性または可用性に対するマルウェアまたはこれに匹敵する有害な情報技術手段による国際的な犯罪、テロリストまたは国家による攻撃を示す事実を連邦情報局に通知すること。

(6) その他の目的のために、連邦情報セキュリティ局は以下のデータを送信することができる。

1.特に刑事訴訟法第100a条第2項に規定される犯罪など、個々の事案であっても重要な刑事犯罪の訴追のために、法執行当局にデータを提供すること、
2.国家の存立もしくは安全に対する脅威、または人の生命、身体もしくは自由に対する脅威、または重要な価値を有する財産に対する脅威を回避するために、連邦警察および州警察に提供される場合、
3.ドイツ連邦共和国において、連邦憲法保護法第 3 条第 1 項又は MAD 法第 1 条第 1 項に規定する保護対象物品に対す る暴力の行使又はその準備行為が実際に行われていることを示す事実がある場合には、連邦及 び州の憲法保護当局並びに軍事防諜局に通報すること、
4.第10条法第3条第1項第8号に基づき、何者かが犯罪を計画し、犯し、または犯したと疑うに足る実際の兆候があり、かつ、これがドイツ連邦共和国にとって外交および安全保障政策上重要である場合、連邦情報局に送信すること。

第1項第1号および第2号に基づく送信には、裁判所の事前の同意が必要である。第1項第1号及び第2号に基づく手続には，家事事件手続法及び任意管轄事件手続法の規定が準用される。連邦情報セキュリティ局が所在する地域の裁判所が責任を負う。第1項第3号及び第4号に基づく伝達は，連邦内務省の同意の後に行われる。

(7) 前各項に定める目的以外のためにコンテンツを分析すること、および個人情報を第三者に提供することは認められない。可能な限り、私生活の中核的分野に関するデータが収集されないよう、技術的措置を講じなければならない。第1項から第3項までの措置の結果、私生活の中核的領域からの情報または規則（EU）2016/679の第9条第1項に規定されるデータが取得された場合、これを使用することはできない。私生活の中核的領域からの情報は直ちに削除されなければならない。これは疑わしい場合にも適用される。情報が入手され、削除された事実は文書化されなければならない。記録はデータ保護管理の目的にのみ使用することができる。これらの目的のために必要でなくなった時点で、遅くとも文書化された年の翌年の暦年の末日までに削除しなければなりません。第4項または第5項の枠内で、刑事訴訟法第53条第1項第1文に言及された者の通信内容または状況が送信され、言及された者の証拠提出拒否権が及ぶ場合、刑事手続における証拠目的でこれらのデータを使用することは、当該刑事手続の主題が、少なくとも5年の禁固刑に処せられる犯罪である限りにおいてのみ許される。

(8) 連邦情報セキュリティ局は、データの収集と利用を開始する前に、データの収集と利用のコンセプトを作成し、連邦データ保護・情報公開委員会の検査に供しなければならない。このコンセプトは、政府通信の保護に対する特別な必要性を考慮したものでなければならない。自動評価に使用される基準は文書化されなければならない。連邦データ保護・情報自由委員はまた、連邦データ保護法第16条に従い、その検査結果を連邦政府IT委員評議会に報告しなければならない。

(9) 連邦事務局は、毎年、報告年の翌年の6月30日までに、以下の事項を連邦情報保護・自由委員会に報告しなければならない。

1.第5条第1項、第5条第2項第1号または第6条第1項に従ってデータが送信された操作の件数を、個々の送信権限ごとに分類して、
2.第3項第1文に従い、疑義が否定された個人評価の件数、
3.第4項第2文又は第3文に従い、連邦国内官庁が関係者への通知を差し控えた件数の内訳。

(10) 連邦事務局は、ドイツ連邦議会内務委員会に対し、暦年ごとに、報告年の翌年の6月30日までに、この規定の適用について報告しなければならない。

第5a条 内部機関の記録データの処理

連邦通信技術およびその構成要素（連邦通信技術の運用に必要な技術インフラを含む）に対する脅威を回避するために、連邦当局は、連邦通信技術の運用によって生成されたロギングデータを処理することができる。ただし、連邦通信技術または連邦情報技術に対する攻撃の混乱、エラーまたはセキュリティインシデントを検出、制限または排除するために必要であり、関係機関の秘密保持上の利益または優先的な安全保障上の利益に抵触しない場合に限る。連邦当局は、連邦事務局が第1項に従って措置を講じるのを支援し、第1項に従って連邦事務局が内部機関の記録データにアクセスできるようにする義務を負う。このため、連邦当局は、関連する記録データを連邦事務局に送信することができる。第5条第1項第5文、第2項から第4項まで、第8項および第9項が適宜適用される。第4a条第6項は、第2項に従って義務に適用される。

 第5b条 例外的な場合における情報技術システムのセキュリティまたは機能の回復

(1) 連邦政府機関、重要インフラストラクチャーの運営者または企業の情報技術システムのセキュリティまたは機能が、特に公共の利害に関わる例外的な場合に損なわれた場合、連邦情報セキュリティ局は、当該機関または運営者の要請に応じて、当該情報技術システムのセキュリティまたは機能を回復するために必要な措置をとることができる。連邦情報セキュリティ局が被害を限定し、現場での緊急運用を確保するための初期措置を講じた場合、連邦事務局の作業に対する手数料または費用は請求されない。これは、資格のある第三者に依頼するための費用には影響しない。

(2) 第1項に基づく例外的なケースは、特に、攻撃が特殊な技術的性質を有する場合、又は当該情報技術システムのセキュリティ若しくは機能の迅速な回復が特に公共の利益に資する場合に存在するものとする。

(3) 連邦情報セキュリティ局は、第1項に基づく措置をとる場合、当該情報技術システムのセキュリティまたは機能を回復するために必要かつ適切な範囲で、個人データまたは通信の秘密の対象となるデータを収集し、処理することができる。当該データは、情報技術システムのセキュリティまたは機能を回復する必要がなくなり次第、直ちに削除されなければならない。第 4 項に該当する場合において、法定義務を履行するためにデータが他の当局に引き渡され たときは、連邦事務局は、第 2 項の規定から逸脱して、当該当局の支援がなくなるまでデータの処理を 継続することができる。その他の目的での使用は認められない。第5条第7項が準用される。

(4) 連邦情報セキュリティ局は、この規定に基づいて入手した情報を、請求者の同意がある場合に限り、開示することができる。ただし、その情報によって請求者の身元について結論を導くことができない場合、または第5条(5)項および(6)項に従って情報を伝達することができる場合を除く。第三者は、第1項に基づく手続において保管されるファイルへのアクセスを認められない。

(5) 連邦情報セキュリティ局は、当該情報技術システムのセキュリティまたは機能の適時または完全な回復のために必要な場合、請求者の同意を得て、第1項に基づく措置について適格な第三者の援助を求めることができる。この場合に発生する費用は、要請者の負担とする。連邦事務局はまた、要請者に適格な第三者を紹介することができる。連邦事務局および要求者または連邦事務局が第1項に従って委託した第三者は、要求者の同意を得て、第1項に基づく措置のために相互にデータを送信することができる。この場合、第3項が準用される。

(6) 情報技術システムのセキュリティまたは機能の回復に必要な範囲において、連邦情報セキュリティ局は、情報技術システムの製造者に対し、セキュリティまたは機能の回復に協力するよう求めることができる。

(7) 連邦情報セキュリティ局は、正当な個別事案において、要請があり、かつ、当該事案が第2項にいう例外的事案である場合には、第1項にいう機関以外の機関に対しても措置をとることができる。正当な個別事例は、一般に、一国の機関が影響を受ける場合に存在する。

(8) 原子力法に基づく許可を必要とする施設または活動の場合、第1項、第4項、第5項および第7項に該当する場合には、連邦情報セキュリティ局が措置をとる前に、連邦および各州の適切な原子力規制当局と協議を行わなければならない。原子力法に基づく許可を必要とする施設または活動の場合、第5b項に基づき連邦情報セキュリティ局が講じる措置については、原子力法の要件が優先する。

第5c条 インベントリデータ情報

(1) 連邦情報セキュリティ局は、第3条第1項第1文第1号、第2号、第14号、第17号または第18号に基づく法定義務を履行するため、電気通信法第3条第6号に基づくインベントリデータおよび電気通信法第172条（電気通信法第174条第1項第1文）に基づき収集されたデータに関する情報を、電気通信サービスを商業ベースで提供しまたは提供に参加する者に対して要求することができる。情報技術システムのセキュリティまたは機能の障害を防止するために、第1文に基づく情報は、第2条第10パラ・第2文号1の分野における住民の供給または公共の安全を保護するためにのみ要求することができる。

1.重要インフラまたは
2.特別な公益事業

特定可能なインフラストラクチャまたは企業の情報技術システムを標的とする事象が、少なくともその性質が具体的であり、時間的に予見可能であると結論付けることができる事実があり、かつ、本障害の第4項に従って情報主体に警告するため、情報主体に通知するため、または情報主体に助言するため、または情報主体を支援するために、情報に含まれるデータが個々のケースにおいて必要である場合は、これを回避するため。

(2) 第1項に基づく情報は、特定の時点で割り当てられたインターネット・プロトコル・アドレスに基づいて要求することもできる（電気通信法第174条第1項第3文、第177条第1項第3号）。情報請求の法的根拠及び事実的根拠を記録しなければならない。

(3) 情報要求に対して情報提供義務を負う者は、情報提供に必要なデータを迅速かつ完全に提供しなければならない。

(4) 連邦情報セキュリティ局は、情報提供後、関係する重要インフラの運営者または特別の公益を有する関係企業に対し、それらに影響を及ぼすおそれのある障害について通知するものとする。可能な場合、連邦局は、当該重要インフラの運営者または特別の公益を目的とする関係企業に、当該重要インフラの運営者または特別の公益を目的とする関係企業が特定された障害を自ら除去することができる技術的手段を通知するものとする。

(5) 連邦情報セキュリティ局は、第5条(5)および(6)に従い、この規定の枠内で処理する個人情報を送信することができる。

(6) 第 2 項に規定する場合には、本人に通知するものとする。第5条第5項に従って情報が伝達される場合、または第5条第5項に従って情報を伝達するための条件が満たされると仮定することが正当化される事実がある場合、第三者の優先する正当な利益が反対である限り、関係者には通知されない。第2項に従って通知を延期または放棄する場合は、その理由を記録しなければならない。

(7) 連邦情報セキュリティ局は、報告年度の翌年の6月30日までに、以下の事項を連邦情報保護・自由委員会に通知しなければならない。

1.第1項または第2項に従ってデータが連邦情報セキュリティ局に送信された取引の総件数、および
2.第5項に基づく送信

(8) 連邦情報セキュリティ局は、提供された情報について、義務者に補償する。補償の額は、司法報酬及び補償法第23条及び附属書3に従って決定されるものとし、司法報酬及び補償法第2条第1項及び第4項の制限に関する規定が準用される。

 第 6 条 情報主体の権利の制限

規則(EU) 2016/679に含まれる例外に加え、連邦府に対する情報主体の権利には以下の制限が適用される。この法律にデータ主体の権利に関する制限がない、または少ない範囲では、連邦データ保護法の規定が制限に加えて適用される。

第 6a 条 個人データ収集時の情報提供義務

(1) 規則(EU)2016/679の第13条(4)および第14条(5)に規定される例外に加え、規則(EU)2016/679の第13条および第14条に基づく情報提供義務は、以下の場合には適用されない：

1.情報の提供が、連邦情報セキュリティ局の責任の範囲内にある業務の適切な遂行を危うくする場合。
2.情報の提供が、公共の安全もしくは秩序、またはネットワークおよび情報セキュリティの保証を危うくする場合、または連邦政府もしくは国家の福利を害する場合。

したがって、情報提供における情報主体の利益が優先されなければならない。

(2) データ主体が第1項に従って情報を提供されない場合、連邦局は、データ主体の正当な利益を保護するために、規則(EU)2016/679の第13条(1)および(2)ならびに第14条(1)および(2)に規定される情報を、簡潔で透明性があり、分かりやすく、容易にアクセス可能な形で、明確かつ平易な言語を用いて公開することを含む、適切な措置を講じるものとする。連邦情報セキュリティ局は、情報主体に通知しなかった理由を書面で記録するものとする。

第 6b 条 情報主体の情報の権利

(1) 規則(EU)2016/679の第15条(1)および(2)に基づく情報を得る権利は、以下の場合およびその範囲においては適用されない。

1.情報の提供が連邦情報セキュリティ局の権限内の業務の適切な遂行を危うくする場合、
2.情報の提供が、

a)公共の安全もしくは秩序、またはネットワークおよび情報セキュリティの保証を危うくする場合、または
b)連邦または国家の福祉を害する場合。

3.情報の提供が犯罪捜査または犯罪の訴追を危うくする場合。

従って、情報主体が情報を受領することの利益は無視されなければならない。

(2) 連邦データ保護法第34条第2項から第4項が準用される。

第 6c 条 修正の権利

(1) 規則(EU)2016/679の第16条に基づくデータ主体の修正および完了の権利は、データ主体の権利の履行が連邦庁の権限内の業務の適切な遂行を危うくする場合およびその程度において適用されないものとし、したがって、これらの権利を行使するデータ主体の利益が優先されなければならない。

(2) 第 1 項の場合、情報主体は、公正かつ透明な処理に必要であることを条件として、処理期間中、情報とともに回答する権利を有する。

第 6d条 データ消去の権利

(1) 自動化されていない処理の場合、連邦情報セキュリティ局は、規則(EU) 2016/679の第17条(1)および(2)に従い、第17条(3)で言及される例外に加え、以下の場合には個人情報を消去する義務を負わないものとする。

1.保存の特殊性により、消去が不可能であるか、または不相応な努力でしか不可能である場合。
2.データ対象者の削除に対する利益が低いと考えられる場合。

この場合、削除は規則（EU）2016/679の第18条に従った処理の制限に置き換えられる。第1項および第2項は、個人データが違法に処理された場合には適用されない。

(2) 第5条(3)に従った措置の司法審査の可能性のためだけに削除が延期される場合、データはデータ主体の同意なしにこの目的にのみ使用することができ、その他の目的での処理は制限されなければならない。その他の目的での処理は制限されなければならない。

第 6e 条 処理を制限する権利

規則(EU) 2016/679の第18条第1項aに基づく連邦情報セキュリティ局の処理制限義務は、以下の場合、個人情報の正確性の検証期間中は適用されない。

1.処理またはさらなる処理が本法律により明示的に規制されている場合、または
2.処理が制限されることにより、情報技術セキュリティの脅威に対する防御が危険にさらされる場合。

従って、処理制限に対するデータ主体の利益が優先されなければならない。

第 6f 条 異議申し立ての権利

規則（EU）2016/679の第21条第1項に基づくデータ主体の異議申し立ての権利は、以下の場合には適用されないものとする。

1.データ主体の利益に優先するやむを得ない公共の利益が処理に存在する場合、または
2.法的規定が連邦情報セキュリティ局にデータ処理を義務付けている場合。

また、連邦情報セキュリティ局は、データ主体の利益、権利および自由を凌駕するやむを得ない正当な理由があるかどうかを確認するまで、規則（EU）2016/679の第21条第1項第2文に加えて個人データを処理することができる。

第7条 警告

(1) 連邦情報セキュリティ局は、第 3 条第 1 項第 2 文第 14 号および第 14a 号に基づく業務を遂行するために、以下の事項を行う。

1.公衆または関係者に対する以下に関する警告や情報の提供

a)情報技術製品およびサービスにおけるセキュリティの脆弱性に関する警告、
b)マルウェアに関する警告
c)データの紛失や不正アクセスに関する警告
d)製品のセキュリティ関連IT特性に関する情報。
2.セキュリティ対策および特定のセキュリティ製品の使用を推奨する。

連邦情報セキュリティ局は、効果的かつタイムリーな警告を確保するために必要な場合、第1項の業務の遂行に第三者を関与させることができる。

(1a) 影響を受ける製品の製造者は、警告が公表される前に、適時に通知されなければならない。この通知義務は、以下の場合には適用されない。

1.その措置が追求する目的の達成を危うくする場合。
2.製造者が事前に通知することに関心がないと合理的に推測できる場合。

発見されたセキュリティ・ギャップやマルウェアが、それ以上の普及や違法利用を防ぐために、あるいは連邦情報セキュリティ局が第三者に対して守秘義務を負うために、一般に知られてはならない場合、連邦情報セキュリティ局は警告対象者を限定することができる。第3項に従って警告されるべき人々のグループを選択する基準は、特に特定の施設に対する特定のリスク又は受信者の特定の信頼性である。

(2) 連邦情報セキュリティ局は、第3条第1項第2文第14号および第14a号に基づく任務を遂行するため、情報技術製品およびサービスのセキュリティ・ギャップおよびマルウェアについて、情報技術セキュリティにリスクをもたらす十分な兆候がある場合には、当該製品およびサービスの名称および製造者を明示して国民に警告し、またはセキュリティ対策および特定の情報技術製品およびサービスの使用を推奨することができる。その後、一般に提供された情報が誤りであることが判明した場合、または根本的な状況が誤って伝えられた場合は、直ちに公表しなければならない。

第7a条 情報技術におけるセキュリティの調査

(1) 連邦情報セキュリティ局は、第3条第1項第2文第1号、第14号、第14a号、第17号または第18号に基づく任務を遂行するため、市場で入手可能な、または市場での入手が意図されている情報技術製品およびシステムを調査することができる。その際、当該製品およびシステムの製造者の正当な利益に反しない限り、第三者の支援を求めることができる。

(2) 必要な場合、連邦捜査局は、第1項に従い、情報技術製品およびシステムの製造者に対し、特に技術的な詳細に関するすべての必要な情報を要求することができる。連邦捜査局は、情報要求において、法的根拠、情報要求の目的および要求される情報を明示し、かつ、情報の送信について合理的な期限を定めるものとする。情報要求には、第14条に定める制裁措置への言及も含まなければならない。

(3) 連邦情報セキュリティ局は、調査によって得られた情報および調査結果を、管轄の連邦監督当局に、または監督当局が存在しない場合は、その職務を遂行するために必要であるとの指摘があれば、関連部署に、直ちに転送しなければならない。

(4) 調査によって得られた情報および調査結果は、第3条第1項第2号、第1号、第14号、第14a号、第17号および第18号に基づく職務を遂行するためにのみ使用することができる。連邦局は、第3条(1)項第2号、第1号、第14号、第14a号、第17号および第18号に基づく業務を遂行するために必要な範囲で、調査結果を伝達し、公表することができる。当該製品及びシステムの製造者には、まず、意見を述べるための適切な期間が与えられなければならない。

(5) 製造者が第2項第1文に基づく連邦情報セキュリティ局の要請に応じない場合，又は不十分な場合，連邦情報セキュリティ局はその旨を公 表することができる。その際、製造者名、当該製品またはシステムの名称を明記し、製造者がどの程度情報提供義務を怠ったかを説明することができる。製造者にはまず、適切なコメント期間を与えなければならない。第7条第2項第2文が適用される。

第 7b 条 ネットワーク及び IT セキュリティのセキュリティリスク及び攻撃手法の検出

(1) 連邦情報セキュリティ局は、第3条第1項第2文第1号、第2号、第14号または第17号に基づく任務の範囲内において、連邦機関または第2条第10項、第11項および第14項にいう企業において、第2項の意味において保護されていない可能性があり、したがってそのセキュリティまたは機能が危険にさらされている可能性があるという仮定を正当化する事実がある場合、セキュリティ・ギャップおよびその他のセキュリティ・リスクを検出するために、公にアクセス可能な情報技術システムと公衆電気通信網とのインターフェースにおける措置（ポート・スキャン）を実施することができる。この措置は、情報技術システムに定期的に割り当てられるインターネット・プロトコル・アドレスのうち、事前に決定された範囲に関するものでなければならない。

1.連邦政府または
2.重要なインフラ、デジタルサービス、特に公共性の高い企業。

割り当てられている（ホワイトリスト）。ホワイトリストは、1および2で指定された場所へのインターネットプロトコルアドレスの割り当ての変更を考慮するため、適切なチェックを通じて継続的に更新されなければならない。連邦情報セキュリティ局が基本法第10条により保護される情報を入手した場合、第5条第5項および第6項に従い、送信を目的とする処理のみを行うことができる。第5条第5項および第6項の要件が満たされない場合、基本法第10条により保護される情報は直ちに削除されなければならない。第1項に基づく措置は、司法職の資格を有する連邦庁の職員のみが命ずることができる。

(2) 情報技術システムが、公に知られたセキュリティ・ギャップを含む場合、またはその他の明らかに不十分なセキュリティ予防措置のために、権限を有しない第三者がシステムにアクセスすることができる場合、第1項の意味において保護されていない。

(3) 第1項に基づく措置により、情報技術システムにセキュリティ・ギャップその他のセキュリティ・リスクがあることが判明した場合、情報技術システムの責任者は直ちにその旨を通知されなければならない。連邦情報セキュリティ局は、既存の改善策を指摘しなければならない。連邦情報セキュリティ局が責任者を把握していない場合、またはその特定が不相応な労力を要する場合、もしくは第5c項に基づくインベントリ・データ照会によってのみ可能な場合、それに反する優先的なセキュリティ上の利益がなければ、各ネットワークまたはシステムを運用するサービス・プロバイダに直ちに通知しなければならない。連邦情報セキュリティ局は、第1項に従って講じた措置の数を、翌年の6月30日までに連邦情報保護・自由委員会に報告しなければならない。連邦情報セキュリティ局は、四半期ごとに、第1項第3文に基づくホワイトリストを連邦情報保護・自由委員会に提出し、閲覧に供さなければならない。

(4) 連邦情報セキュリティ局は、その職務を遂行するため、マルウェアその他の攻撃方法の使用を記録し評価するために、攻撃者に成功した攻撃をシミュレートするシステムおよび手順を使用することができる。連邦情報セキュリティ局は、マルウェアおよび攻撃方法の機能を評価するために必要なデータを処理することができる。

第 7c 条 連邦情報セキュリティ局のサービス提供者に対する命令

(1) 連邦情報セキュリティ局は、第2項にいう保護目的に対する具体的かつ重大な脅威を回避するために、10万人以上の顧客を有する電気通信法にいう電気通信サービスの提供者（サービス提供者）に対し、以下の事項を命ずることができる。

1.電気通信法第169条第6項および第7項に規定される措置を講じる、または
2.マルウェアを駆除するための技術的コマンドを、影響を受ける情報技術システムに配布する、

サービスプロバイダーが技術的に可能であり、かつ経済的に合理的である限りにおいて。連邦情報セキュリティ局が第1項第1号または第2号に基づく措置を命じる前に、連邦ネットワーク庁との間で合意が成立していなければならない。連邦情報セキュリティ局が第1項第2号に従って措置を命じる前に、連邦データ保護・情報自由委員会とも合意に達しなければならない。第1項第2号に基づく措置によりアクセスされるデータは、命令において指定されなければならない。第5条第7項第2文から第8文が適用される。第1項に基づく命令に対する異議および取消訴訟は、効力を停止されない。

(2) 第1項第1文に基づく保護目的は、可用性、完全性又は秘密性である。

1.連邦政府、重要インフラ事業者、特別公益企業またはデジタルサービス提供者の通信技術、
2.情報または通信サービスの
3.情報の可用性、完全性または機密性が、相当数のユーザーの電気通信システムまたは情報技術システムへの不正アクセスによって制限されている場合。

(3) 連邦局は、第1項第1文第1号に基づく措置を命じた場合、サービスプロバイダに対し、連邦局が指定する接続識別子にデータトラフィックをリダイレクトするよう命じることもできる。

(4) 連邦情報セキュリティ局は、情報技術システムにおけるマルウェアまたはその他のセキュリティリスクに関する情報を取得するために、第1項第1文第1号および第3項に従ってサービスプロバイダによってリダイレクトされたデータを処理することができる。送信されたデータは、第1項に記載された目的を達成するために必要な期間、連邦情報セキュリティ局により保管されることがあるが、最大3ヶ月間とする。第5条第7項第2文から第8文が準用される。連邦情報セキュリティ局は、翌年の6月30日までに、命令されたデータ再送信の総件数を連邦情報保護・自由委員会に通知するものとする。

第7d条 テレメディアサービスのプロバイダーに対する連邦情報セキュリティ局の命令

連邦情報セキュリティ局は、正当な個別事案において、電気通信・テレメディア・データ保護法第2条第2項第1号にいうテレメディア・プロバイダが提供するテレメディアが、電気通信・テレメディア・データ保護法第19条第4項にいう技術的および組織的な予防措置が不十分であり、したがって以下の事項に対する十分な保護が提供されていないことから生じる、多数の利用者の情報技術システムに対する特定の重大なリスクを回避するために、以下の事項を行うことができる。

1.これらのテレメディア・サービスに使用される技術的設備への不正アクセスまたは
2.外部からの攻撃による妨害、

電気通信・テレメディア・データ保護法第2条第2項第1号に規定されるテレメディアの提供者に対し、そのテレメディアの提供が適切であることを保証するために必要な技術的・組織的措置を講じるよう命じること。州の監督当局の管轄権は影響を受けない。

第8条 連邦情報セキュリティ局の要件

(1) 連邦情報セキュリティ局は、各省庁と協議の上、連邦情報技術のセキュリティに関する最低基準を定める。

1.連邦政府機関
2.関連する連邦最高当局が命じる範囲において、連邦レベルでの法的形態にかかわらず、公法に基づく法人、機関、財団およびそれらの団体、ならびに
3.連邦政府が過半数を所有し、連邦行政のためにITサービスを提供する公企業、

が実装される。最低基準からの逸脱は、客観的に正当な場合にのみ認められ、文書化され、正当性が証明されなければならない。連邦情報セキュリティ局は、最低基準の実施および遵守について、要請に応じて第1項に記載された機関に助言する。第2条第3項第2文に記載された裁判所および憲法機関については、第1文の規定は勧告的性格を有する。第4a条第6項の例外は、第1項の義務にも適用される。

(1a) 連邦内務・建築・内務省は、各省のIT担当官会議と協議の上、重要な最低基準の遵守を監視・管理するよう連邦情報セキュリティ局に命じることができる。連邦情報セキュリティ局は、検査結果を、検査対象機関、所管監督官庁および各省IT担当官会議に報告する。連邦通信技術へのインターフェースは、設置に責任を負う機関が、公法または私法に基づき組織された機関が最低基準を遵守することを契約により保証する場合に限り、公法または私法に基づき組織された他の機関のために設置することができる。連邦情報セキュリティ局は、第三者と合意の上、最低基準の遵守を確認・管理することができる。

(2) 連邦情報セキュリティ局は，第3条第1項第2文10号に基づく業務の範囲内において，調達手続の 実施のための請負業者（適合性）及びIT製品（仕様）に対する適切な要件を策定するための枠組み として連邦当局が考慮しなければならない技術的指針を提供する。調達法の規定及び秘密の保護は影響を受けないものとする。

(3) 第11条第1項第2文に従い連邦局が行うITセキュリティ製品の提供は、自社開発を通じて、または対応する必要性の決定に基づき調達手続を実施した後に行われる。ITセキュリティ製品は、正当化された例外的な場合にのみ、連邦庁による自社開発を通じて利用可能となる。調達法の規定は影響を受けない。連邦政府がITセキュリティ製品を提供する場合、連邦政府機関またはその委託を受けた第三者は、連邦政府からこれらの製品を入手することができる。連邦政府IT委員会の決議により、連邦当局はこれらの製品を連邦庁から入手する義務があると決定することができる。この場合、他の連邦当局による自社調達が認められるのは、特定の要件プロフィールが異なる製品の使用を要求する場合に限られる。第5文及び第6文は，第2節第3項第2文に掲げる裁判所及び憲法上の機関には適用されない。

(4) 連邦政府の主要なデジタル化プロジェクトの計画および実施において情報技術セキュリティを確保するため、責任機関は、早い段階から連邦政府官庁を関与させ、連邦政府官庁に意見を述べる機会を与えるべきである。

第8a条 重要インフラの情報技術におけるセキュリティ

(1) 重要インフラの運営者は、第10条(1)に基づく法令に基づき、重要インフラの運営者としての資格を初めて取得した後、または繰り返し取得した後の最初の営業日までに、運営する重要インフラの機能にとって重要な情報技術システム、コンポーネント、またはプロセスの可用性、完全性、真正性、および機密性の中断を回避するために、適切な組織的および技術的予防措置を講じる義務を負う。この点に関しては、最新技術を遵守すべきである。組織的および技術的な予防措置は、必要とされる労力が、当該重要インフラストラクチャの故障または障害の結果に不釣り合いでなければ、適切である。

(1a) 第1項第1文に基づく適切な組織的・技術的予防措置を講じる義務には、2023年5月1日以降の攻撃検知システムの使用も含まれる。使用される攻撃検知システムは、継続的なオペレーションから適切なパラメータと特性を継続的かつ自動的に記録・評価しなければならない。攻撃検知システムは、継続的に脅威を特定・防止し、発生した混乱に対して適切な救済措置を提供できるものでなければならない。第1項第2文および第3文が適宜適用される。

(2) 重要インフラの運営者およびその業界団体は、第1項および第1a項の要件を確保するために、業界固有のセキュリティ基準を提案することができる。申請があった場合、連邦情報セキュリティ局は、これらが第1項および第1a項に基づく要件を確保するのに適しているかどうかを判断する。その判断は次のように行われる。

1.連邦国民保護・災害支援局と協議の上、決定する、
2.所轄の連邦監督当局と協議の上。

(3) 重要インフラの運営者は、第1項で指定された日から2年後以降2年ごとに、第1項および第1a項に基づく要件を満たしている証拠を連邦情報セキュリティ局に提出しなければならない。証明は、セキュリティ監査、試験または認証によって行うことができる。事業者は、確認されたセキュリティ上の欠陥を含め、実施された監査、試験または認証の結果を連邦情報セキュリティ局に提出しなければならない。連邦情報セキュリティ局は、審査の根拠となった文書の提出を求めることができる。セキュリティ上の不備があった場合、連邦当局は、所轄の連邦監督当局と合意して、またはその他の所轄監督当局と協議して、セキュリティ上の不備の解消を要求することができる。

(4) 連邦情報セキュリティ局は、重要インフラの運営者が第1項および第1a項に基づく要件を遵守していることを確認することができる。重要インフラの運営者は、連邦情報セキュリティ局およびその代理を務める者が、検査のために通常の業務時間中に事業および運営施設に立ち入ることを許可し、要求に応じて、適切な方法で関連記録、文書およびその他の資料を提示し、情報を提供し、必要な支援を提供しなければならない。連邦情報セキュリティ局は、第1項および第1a項に基づく要求事項の遵守に関して正当な疑念を生じさせるような指摘に基づいて連邦情報セキュリティ局が措置を講じた場合に限り、重要インフラの各運営者に対して、検査のための手数料および費用を請求する。

(5) 第3項に基づく安全監査、試験および認証の手続きを設計するため、連邦局は、関係事業者および事業者団体の代表と協議した上で、試験の実施方法、これに関して発行される証拠、試験機関の技術的および組織的要件に関する要件を定めることができる。

第 8b 条 重要インフラの情報技術セキュリティ中央事務局

(1) 連邦情報セキュリティ局は、情報技術セキュリティに関する事項について、重要インフラの事業者のための中央報告窓口である。

(2) この任務を遂行するため、連邦情報セキュリティ局は次のことを行う。

1.情報技術セキュリティに対する脅威に対する防御に不可欠な情報、特に、セキュリティギャップ、マルウェア、情報技術セキュリティに対する攻撃が行われた、または試みられたこと、およびこれらの場合に遵守された手続きに関する情報を収集し、評価すること、
2.関連監督当局および連邦市民保護・災害支援局と協力して、重要インフラの可用性に及ぼす潜在的影響を分析する、
3.重要インフラや公共性の高い企業の情報技術のセキュリティに関する状況を継続的に更新すること。
4.直ちにを教えること。

a)重要インフラの運営者および特定の公益企業に対し、1～3に基づくそれらに関する情報を提供すること、
b)所轄の監督当局およびその他の所轄の連邦当局に対し、1～3項の義務を果たすために必要な情報を提供すること、
c)各州の管轄監督当局、または各州がこの目的のための中央窓口として連邦情報セキュリティ局に指定した当局。
d)第4項に基づいて報告された、または同等の取り決めに基づいて報告された、当該加盟国に影響を及ぼす重大な騒乱について、欧州連合の他の加盟国の管轄当局に

(3) 重要インフラの運営者は、第10条(1)に基づく法令に従い、重要インフラの運営者として初めてまたは繰り返し分類された後の最初の営業日までに、その運営する重要インフラを連邦庁に登録し、窓口を指名する義務を負う。重要インフラの運営者が登録義務を果たさない場合、連邦情報セキュリティ局は重要インフラの運営者自身を登録することもできる。連邦情報セキュリティ局が自ら登録を行う場合、連邦情報セキュリティ局は、該当する連邦監督機関にその旨を通知しなければならない。事業者は、連邦情報セキュリティ局が指名または指定する連絡先を通じて、常に連絡が取れるようにしなければならない。連邦局は、第2項第4号に基づく情報をこの連絡先に伝達する。

(3a) 事業者が第3項に基づく登録義務を履行していないと仮定することを正当化する事実がある場合、事業者は、要求があれば、秘密保持上の利益または優先的な安全保障上の利益に抵触しない限り、連邦情報セキュリティ局が評価に必要とみなす記録、文書およびその他の資料を適切な方法で連邦情報セキュリティ局に提出し、情報を提供しなければならない。

(4) 重要インフラの運営者は、次のような障害が発生した場合、直ちに窓口を経由して連邦情報セキュリティ局に報告しなければならない：

1. 情報技術システム、コンポーネント、またはプロセスの可用性、完全性、真正性、および機密性が破壊され、その結果、運営する重要インフラの障害が発生した場合、またはその機能が著しく損なわれた場合、
2.情報技術システム、コンポーネント、またはプロセスの可用性、完全性、真正性、および機密性に対する重大な混乱であって、それらが運用する重要インフラの障害または重大な機能障害につながる可能性のあるもの。

報告書には、障害、国境を越えた影響の可能性、および技術的枠組み条件に関する情報、特に、疑われる原因または実際の原因、影響を受けた情報技術、影響を受けた施設またはシステムの種類、提供された重要サービス、およびこのサービスに対する障害の影響に関する情報が含まれていなければならない。事業者は、混乱が実際に重要インフラの障害または機能障害につながった場合にのみ、その名前を記載する必要がある。

(4a) 第4項第1文第2号、第8条f、第7項第1文第2号、または第8項第1文第2号に基づく重大な障害中、連邦局は、関連する連邦監督当局と合意の上、影響を受ける重要インフラの事業者または特別な公益を目的とする企業に対し、個人データを含む障害に対処するために必要な情報の提供を求めることができる。重要インフラの運営者および特別な公益を担う企業は、第4項第1文第2号、第8f条、第7項第1文第2号、または第8項第1文第2号に従って重大な障害に対処するために必要な限りにおいて、要請に応じて、個人情報を含む障害に対処するために必要な情報を連邦情報セキュリティ局に提供する権限を有する。

(5) 第3項に基づく連絡窓口に加え、同一セクターに属する重要インフラの事業者は、共通の包括的連絡窓口を任命することができる。このような連絡窓口が任命された場合、連絡窓口と連邦情報セキュリティ局との間の情報交換は、通常、共通の連絡窓口を介して行われるものとする。

(6) 必要な場合、連邦情報セキュリティ局は、当該情報技術製品及びシステムの製造者に対し、第4項又は第8f条第7項若しくは第8項に従い、障害の排除又は防止に協力するよう求めることができる。第1項は、第8d条第3項にいう事業者および免許保持者に影響を及ぼす障害に準用される。

(7) 個人情報がこの規定の範囲内で処理される限りにおいて、前各項に規定された目的以外の目的のための処理は許可されない。第5条第7項第3文から第8文が適宜適用される。

第 8c 条 デジタルサービスのプロバイダに対する特別要件

(1) デジタルサービスのプロバイダーは、欧州連合内でデジタルサービスを提供するために使用するネットワークおよび情報システムのセキュリティに対するリスクに対処するため、適切かつ相応の技術的および組織的措置を講じなければならない。また、欧州連合内で提供されるデジタル・サービスに対するセキュリティ・インシデントの影響を防止または最小化するための措置を講じるものとする。

(2) 第1項前段に従い、ネットワークおよび情報システムのセキュリティに対するリスクを管理するための措置は、最新の状況を考慮し、既存のリスクに見合ったネットワークおよび情報システムのセキュリティレベルを確保しなければならない。以下の点を考慮しなければならない：

1.システムおよび機器の安全性
2.セキュリティ・インシデントの検出、分析、封じ込め、
3.事業継続管理、
4.モニタリング、チェック、テスト
5.国際基準の遵守

必要な措置は、指令（EU）2016/1148の第16条（8）に従い、欧州委員会の実施行為によってさらに規定されるものとする。

(3) デジタルサービスの提供者は、欧州連合内で提供するデジタルサービスの提供に重大な影響を及ぼすセキュリティインシデントが発生した場合、直ちに連邦情報セキュリティ局に報告しなければならない。セキュリティインシデントの影響が重大である条件は、特に以下のパラメータを考慮して、指令（EU）2016/1148の第16条（8）に従い、欧州委員会の実施行為により詳細に規定されるものとする：

1.セキュリティインシデントにより影響を受ける利用者の数、特に自らのサービスを提供するためにサービスを必要とする利用者の数、
2.セキュリティインシデントの期間
3.セキュリティインシデントの影響を受ける地理的地域、
4.サービス提供の中断の程度、
5.経済・社会活動への影響の程度。

セキュリティ・インシデントの報告義務は、プロバイダーが、セキュリティ・インシデントの影響を第2項のパラメータに照らして評価するために必要な情報に十分にアクセスできない場合には、適用されない。指令(EU) 2016/1148の第16条第9項に基づく欧州委員会の実施行為に別段の定めがない限り、報告書の内容には第8b条第4項が適宜適用される。連邦情報セキュリティ局は、第1文に従って報告されたセキュリティ・インシデントのうち、欧州連合の他の加盟国に影響を及ぼすものについて、欧州連合の他の加盟国の所轄官庁に通知しなければならない。

(4) デジタルサービスプロバイダが、指令(EU) 2016/1148の第16条(8)に基づく欧州委員会の実施行為と併せて第1項、および指令(EU) 2016/1148の第16条(9)に基づく欧州委員会の実施行為と併せて第2項の要件を満たしていないとの指摘がある場合、連邦局はデジタルサービスプロバイダに対し、以下の措置を講じるよう求めることができる：

1.そのネットワークおよび情報システムのセキュリティを評価するために必要な情報の送信（セキュリティ対策の証拠を含む）、
2.第 1 項および第 2 項に定める要件の履行における不備の解消。

この証拠は、欧州連合の他の加盟国の管轄当局が連邦情報セキュリティ局に提出した調査結果からも得ることができる。

(5) デジタルサービスの提供者が、欧州連合の他の加盟国に本社、代理店またはネットワークおよび情報システムを有する場合、連邦情報セキュリティ局は、第4項に基づく業務の遂行において、当該加盟国の管轄当局と協力する。この協力には、第4項第1文第1号および第2号の措置をとるよう要請することを含むことができる。

第8d条 適用範囲

(1) 第8a条および第8b条は、零細・中小・中堅企業の定義に関する2003年5月6日の欧州委員会勧告2003/361/EC（OJ L 124, 20.5.2003, p.36）にいう零細企業には適用されない。同勧告の附属書第 3 条(4)は適用されない。

(1a) 第8f条は，勧告2003/361/ECの意味における零細企業及び小企業には適用されない。勧告附属書第3条(4)は適用しない。

(2) 第8a条は，次のものには適用されない。

1.公共電気通信網を運営し又は公に利用可能な電気通信サービスを提供する限りにおいて、重要インフラの運営者、
2.2005年7月7日付エネルギー産業法（連邦官報I号1970頁、3621頁）（2015年7月17日付法（連邦官報I号1324頁）第3条により最終改正）の意味におけるエネルギー供給ネットワークまたはエネルギープラントの運営者、
3.社会法典第 5 編第 306 条第 1 項第 3 文に基づくテレマティクス協会、社会法典第 5 編第 311 条第 6 項および第 325 条に基づき承認されたサービスに関するテレマティクス・インフラストラクチャのサービス運営者、および社会法典第 5 編第 327 条第 2 項から第 5 項に基づき確認されたアプリケーションのためにテレマティクス・インフラストラクチャを使用するサービスの運営者、
4.1985年7月15日に公表された版（連邦法公報I 1565頁）の原子力法第7条第1項に基づく免許保有者（最終改正は2015年7月17日の法律第2条（連邦法公報I 1324頁））。
5.重要インフラのその他の事業者は、第8a項に定める要件と同等またはそれ以上の広範な要件を満たすことが法律で義務付けられている限りにおいて、その事業者。

(3) 第8b条第4項および第4a項は、以下には適用されない。

1.公共電気通信網を運営し、または公に利用可能な電気通信サービスを提供する限りにおいて、重要インフラの運営者、
2.エネルギー産業法第11条の規定に従う限りにおいて、エネルギー供給ネットワークまたはエネルギープラントの運営者、
3.社会法典第 5 編第 306 条第 1 項第 3 文に基づくテレマティクス協会、社会法典第 5 編第 311 条第 6 項及び第 325 条に基づき承認されたサービスに関するテレマティクス・インフラストラクチャのサービス運営者、及び社会法典第 5 編第 327 条第 2 項から第 5 項に基づき確認されたアプリケーションのためにテレマティクス・インフラストラクチャを使用するサービスの運営者、
4.原子力法第 7 条第 1 項に基づく免許の範囲における免許保有者。
5.その他の重要インフラの運営者で、法律上の規定により、第8b条第4項に基づく要件と同等またはそれ以上の広範な要件を満たさなければならない者。

(4) 第 8c 条第 1 項から第 3 項は，勧告 2003/361/EC にいう零細企業及び小規模企業には適用されない。第 8c 条第 3 項は，事業者には適用されない、

1.欧州連合の他の加盟国に本社を置く事業者、または
2.欧州連合加盟国に設立されていない場合、デジタルサービスが提供される欧州連合加盟国に代表者を置いているプロバイダー。

第2項によるプロバイダーについては、ドイツ連邦共和国においてネットワークおよび情報システムを運用し、欧州連合内でデジタルサービスを提供するために使用する場合に限り、第8c条第4項が適用されるものとする。

第8e条 情報の要求

(1) 連邦局は、以下の場合に限り、要求に応じて、第8a条(2)および(3)、第8c条(4)および第8f条に基づき受領した情報ならびに第8b条(4)、(4a)および(4b)ならびに第8c条(4)に基づく報告に関する情報を第三者に提供することができる。

1.重要インフラの運営者、特別公益企業、デジタルサービスの提供者の正当な利益と矛盾しない場合。
2.情報が安全保障上の利益に有害な影響を及ぼさない場合。

個人情報へのアクセスは認められない。

(2) 第8a条から第8c条および第8f条に基づく事項に関する連邦庁のファイルへのアクセスは、行政手続法第29条の要件が満たされる場合に限り認められる。

1.重要インフラの運営者、特別公益企業、またはデジタル・サービスの提供者の正当な利益がこれに抵触しないこと。
2.ファイルへのアクセスがセキュリティ上の利益を損なうことがないこと。

(3) 第 1 項および第 2 項は、第 8d 条第 2 項および第 3 項に基づく事業者に準用される。

(4) 環境情報法に基づく情報請求権は、この規定の影響を受けない。

第8f条 特別公益企業の情報技術セキュリティ

(1) 第2条(14)第1項第1号および第2号に基づく特定公益企業は、第2条(14)第1項第1号または第2号に基づく特定公益企業に初めてまたは繰り返し分類された後の最初の営業日までに、そしてその後は少なくとも2年ごとに、ITセキュリティに関する自己宣言書を連邦情報セキュリティ局に提出することが義務付けられており、その内容は以下の通りである：

1.過去2年間にITセキュリティ分野のどの認証が実施されたか、そのためにどのような試験基準および範囲が定義されたか、
2.過去 2 年間に実施された IT セキュリティ分野のその他のセキュリティ監査またはテストの内容、そのテスト根拠およびテスト範囲、または、以下の内容を記載する。
3.企業にとって特に保護に値する情報技術システム、コンポーネント、プロセスが適切に保護されていることをどのように保証しているか、また、最新技術が遵守されているかどうか。

(2) 連邦情報セキュリティ局は、第1項の自己宣言に使用する書式を導入することができる。

(3) 連邦情報セキュリティ局は、第1項に基づく自己申告に基づき、第1項(3)に基づき、最新技術の遵守を確保するための適切な組織的及び技術的予防措置に関する情報を提供することができる。

(4) 第2条(14)第1項第1号に基づく特別公益企業については、2023年5月1日以前は、第1項に基づく義務は適用されない。第2条(14)項第2号に基づく特別公益企業については、この義務は、第10条(5)項に基づく法的命令の発効後、最短で2年後に適用される。

(5) 第2条第14項第1文第1号及び第2号に基づく特定公益企業は、第1項に基づくITセキュリティに関する最初の自己申告書の提出と同時に連邦庁に登録し、通常の営業時間内に連絡可能な窓口を指定する義務を負う。連邦情報セキュリティ局は、第8b条第2項第4号に基づく情報をこの連絡先に伝達する。

(6) 第2項第14文第3号に基づき特に公共の利害を有する企業は、連邦情報セキュリティ局に自発的に登録し、通常の営業時間内に連絡可能な連絡先を指定することができる。連邦情報セキュリティ局は、第8b条第2項第4号に基づく情報をこの連絡先に伝達する。

(7) 第2(14)項第1文第1号および第2号に基づき特に公共の利害を有する企業は、第1項に基づきITセキュリティに関する自己申告書を提出する義務が生じた時点から、第5項に基づき指定された機関を通じて、以下の障害を直ちに連邦情報セキュリティ局に報告しなければならない：

1.情報技術システム、コンポーネントまたはプロセスの可用性、完全性、真正性、機密性が破壊され、価値創造の提供に障害または重大な障害が生じた場合、
2.情報技術システム、コンポーネントまたはプロセスの可用性、完全性、真正性、機密性に重大な障害が発生し、それが障害または価値創造の提供の重大な障害につながる可能性がある場合。

報告書には、障害、技術的状況、特に疑われる原因または実際の原因、影響を受けた情報技術、影響を受けた施設またはシステムの種類に関する情報が含まれていなければならない。

(8) 第2条(14)第1項第3号に基づき特に公益性の高い企業は、遅くとも2021年11月1日までに、以下の障害を遅滞なく連邦情報セキュリティ局に報告しなければならない：

1.情報技術システム、コンポーネント、またはプロセスの可用性、完全性、真正性、および機密性に対する障害で、現在適用されているバージョンの重大事故条例に基づくインシデントにつながったもの、
2.情報技術システム、コンポーネント、またはプロセスの可用性、完全性、真正性、および機密性に対する重大な障害で、現在適用されているバージョンの重大事故条例に基づく事故につながる可能性があるもの。

報告書には、障害、技術的状況、特に疑われる原因または実際の原因、影響を受けた情報技術、影響を受けた施設またはシステムの種類に関する情報が含まれていなければならない。

(9) 事業者が、第2条第14項第1文第2号に基づき特別の公益を目的とする事業であると仮定することを正当化する事実があるにもかかわらず、第5項に基づく義務を履行しない場合、連邦局は以下を要求することができる：

1.第10条第5項に基づく法的命令に定められた計算方法に従い、企業が国内付加価値額を算出している場合。
2.第10項第5号に基づく法的命令に定められた計算方法に従い、企業が第2項第14節第1文第2号に基づく特別公益企業でないことの公認監査法人による確認。

第9条 認証

(1) 連邦情報セキュリティ局は、ITセキュリティに関する連邦管理局の国家認証機関である。

(2) 特定の製品またはサービスについては、セキュリティ認証、個人認証、またはITセキュリティ・サービス・プロバイダーとしての認証を連邦情報セキュリティ局に申請することができる。申請書は、受理された順に処理される。保留中の審査手続の数および量により連邦情報セキュリティ局が妥当な時間内に審査を実施できず、かつ証明書の発行に公共の利益がある場合は、これを免除することができる。申請者は、システムもしくはコンポーネントまたは人の適性の審査および評価、ならびに証明書の発 行に必要な書類を連邦情報セキュリティ局に提出し、情報を提供しなければならない。

(3) 審査および評価は、連邦情報セキュリティ局が認めた専門機関が行うことができる。

(4) 以下の場合、セキュリティ証明書が発行されるものとする。

1.情報技術システム、コンポーネント、製品または保護プロファイルが連邦庁の定める基準を満たし、かつ
2.連邦内務省が第4a項に従って証明書の発行を禁止していない場合。

安全証明書を発行する前に、連邦局は、第4a項に従い、案件を連邦内務・建築・内務省に提出し、審査を受けるものとする。

(4a) 連邦内務・建築・内務省は、優先する公共の利益、特にドイツ連邦共和国の安全保障政策上の利益が証明書の発行を妨げる場合には、個々の事案について第4項に基づく証明書の発行を禁止することができる。

(5) 第4項は、個人およびITセキュリティ・サービス・プロバイダーの認証にも適用されるものとする。

(6) 第3項の承認は、以下の場合に付与されるものとする。

1.適合性評価機関の物的および人的資源ならびに技術的資格および信頼性が、連邦情報セキュリティ局の定める基準に適合している場合。
2.連邦内務省が，優先すべき公共の利益，特にドイツ連邦共和国の安全保障政策上の懸念が，許可の付与と矛盾しないと判断した場合。

連邦局は、第1項に基づく要件の存続が定期的に見直されるよう、必要な措置を講じるものとする。

(7) 欧州連合内の他の公認認証機関が発行したセキュリティ証明書は、連邦庁のセキュリティ証明書と同等のセキュリティレベルを証明し、連邦庁がその同等性を立証した場合に限り、連邦庁が認めるものとする。

第9a条 サイバーセキュリティ認証の国家機関

(1) 連邦情報セキュリティ局は、規則(EU) 2019/881の第58条(1)の意味におけるサイバーセキュリティ認証の国家機関である。

(2) 連邦情報セキュリティ局は、申請により、規則(EU) 2019/881の第54条または本法第9条に基づくサイバーセキュリティ認証の関連欧州スキームの要件を満たす場合、規則(EU) 2019/881および本法第9条の範囲内で活動する適合性評価機関に、そのような活動を行う権限を付与することができる。適合性評価機関は、連邦府による権限の付与がなければ、規則（EU）2019/881の範囲内で活動することはできない。

(3) 連邦情報セキュリティ局は、規則(EU)2019/881第58条(7)及び本法第9条に基づく業務の遂行に必要な範囲において、第2項に基づき権限を付与された適合性評価機関、欧州サイバーセキュリティ証明書の保有者及び規則(EU)2019/881第56条(8)の意味におけるEU適合宣言書の発行者に対し、必要な情報及びその他の支援、特に文書又はサンプルの提出を要求することができる。認定機関法第3条第1項第1文及び第3文が適宜適用される。

(4) 連邦情報セキュリティ局は、規則(EU) 2019/881のタイトルIIIの規定の遵守を確認するために、規則(EU) 2019/881の第58条(8)(b)に従い、第2項に従って権限を付与された適合性評価機関、欧州サイバーセキュリティ証明書の保有者、および規則(EU) 2019/881の第56条(8)の意味におけるEU適合宣言の発行者に対して、監査の形で調査を実施することができる。認定機関法第3条第1項第1文から第3文が適宜適用される。

(5) 連邦情報セキュリティ局は、規則(EU)2019/881の第58条(7)及び本法第9条に基づく業務を遂行するために必要な限りにおいて、第2項に従って認可を付与された適合性評価機関及び規則(EU)2019/881の第56条(8)にいう欧州サイバーセキュリティ認証書の保有者の敷地、事業所及び運営室に、当該敷地がそれぞれの事業上又は運営上の使用のために通常利用可能な時間帯に立ち入り、検査し、査察する権限を有する。認定機関法第3条第1項第1文から第3文が適宜適用される。

(6) 連邦局は、同局が発行したサイバーセキュリティ認証書、または規則（EU）2019/881第56条(6)に基づき第2項の権限を付与された適合性評価機関が発行したサイバーセキュリティ認証書を取り消すか、または規則（EU）2019/881の意味におけるEU適合宣言を無効と宣言することができる、

1.当該証明書又は EU 適合宣言が、規則（EU）2019/881 又は規則（EU）2019/881 第 54 条に基づく欧州サイバーセキュリティ認証スキームの要件を満たしていない場合。
2.欧州サイバーセキュリティ認証書の保有者またはEU適合宣言書の発行者が第3項に基づく協力義務を遵守していないため、または第4項に基づく連邦情報セキュリティ局の権限の行使を妨げたため、または欧州サイバーセキュリティ認証書の保有者の場合は第5項にも基づくため、連邦情報セキュリティ局が第1項に基づく適合を判断できない場合。

(7) 連邦情報セキュリティ局は、第2項に基づき付与された権限を取り消すことができる、

1.規則（EU）2019/881の第54条または本法第9条に基づくサイバーセキュリティ認証の関連する欧州スキームの要件が満たされない場合、または
2.適合性評価機関が第3項に基づく協力義務を果たさなかったため、または連邦情報セキュリティ局が第4項および第5項に基づく権限の行使を妨げたため、連邦情報セキュリティ局がこれらの要件が満たされていると判断できない場合。

第 9b 条 重要部品の使用禁止

(1) 重要インフラの運営者は、重要部品の使用前に、第2条第13項に従って、重要部品の最初の使用計画を連邦内務省に通知しなければならない。通知には、重要部品および使用予定の種類を明記しなければならない。重要インフラストラクチャーの運営者が、第1項に従い、同種の別の重要部品を同種の用途に使用することを既に届け出ており、かつ、その使用を禁止されていない場合は、第1項は適用されない。

(2) 連邦内務・建築・内務省は、第10条(1)に掲げる関係省庁および連邦外務省と協議の上、重要インフラの事業者が計画する重要部品の最初の使用を、その使用がドイツ連邦共和国の公の秩序または安全に影響を及ぼす可能性がある場合、第1項の届出受領後2ヶ月まで禁止し、または命令を発することができる。公序良俗または安全保障に影響を及ぼす可能性を評価する場合、以下の点を特に考慮することができる。

1.製造者が、第三国の政府機関または軍隊を含む政府によって直接的または間接的に管理されている場合、
2.製造者が、ドイツ連邦共和国、欧州連合、欧州自由貿易連合、北大西洋条約機構の他の加盟国、またはそれらの機関の公序良俗や安全保障に悪影響を及ぼすような活動をすでに行っているか、または行っている場合。
3.重要部品の配備が、ドイツ連邦共和国、欧州連合または北大西洋条約の安全保障政策目的に合致している場合。

第1項による通知後2ヶ月を経過するまでの使用は認められない。連邦内務・建築・内務省は、審査の結果、事実上または法律上、特に困難なことが判明した場合、事業者に対し、さらに2ヶ月の期間延長を行うことができる。

(3) 第2条第13項に基づく重要部品は、製造者が重要インフラの運営者に対して、その信頼性の宣言（保証宣言）を行った場合に限り、使用することができる。保証宣言書は、第1項に基づく届出に同封しなければならない。保証宣言書には、製造者が、その重要部品が、重要インフラのセキュリティ、機密性、完全性、可用性、機能性、特に破壊工作、スパイ活動、テロリズムの目的に不適切な影響を与えるのに適した技術的特性を有していないことを、どのように保証するかを示さなければならない。連邦内務・建築・内務省は、第10条第1項に列挙された関係省庁および連邦外務省と合意の上、保証宣言の最低要件の詳細を一般法令で規定し、連邦官報に掲載しなければならない。保証宣言の最低要件の詳細は、重要インフラの安全性、機密性、完全性、可用性または機能性の保護目的から導かれるものでなければならず、特に第2項第2文の意味において、重要部品の製造者の領域、特にその組織構造に起因する公共の安全と秩序に対する脅威の回避に対処するものでなければならない。第1項および第2項は、第5項による一般命令の発表以降にのみ適用され、それ以前に既に使用されていた重要部品には適用されない。一般的な命令に変更が加えられた場合、本項に基づき既に行われた保証宣言には無関係である。

(4) 連邦内務・建築・内務省は、使用を継続することによりドイツ連邦共和国の公の秩序または安全が損なわれる可能性がある場合、特に重要部品の製造者が信頼に値しない場合、第10条(1)に掲げる関係省庁および連邦外務省と合意の上、重要インフラの運営者に対し、重要部品の使用継続を禁止し、または命令を発することができる。第2項第2文が準用される。

(5) 重要部品の製造者が特に信頼できないのは、以下のような十分な兆候がある場合である。

1.保証宣言書に記載された義務に違反した場合、
2.保証書に記載された事実が真実でない場合、
3.自社製品および生産環境におけるセキュリティ監査および侵入分析を、必要な範囲内で適切にサポートしていない、
4.脆弱性や操作に気づいた後、直ちにそれを排除し、重要インフラの運営者に報告しなかった場合、
5.重要なコンポーネントの欠陥により、重要インフラのセキュリティ、機密性、完全性、可用性、または機能が悪用される可能性がある、またはその可能性がある場合。
6.重要なコンポーネントが、重要なインフラのセキュリティ、機密性、完全性、可用性または機能性に不適切な影響を与えるよう特別に設計された技術的特性を有している、または有していた場合。

(6) 第 4 項に基づき重要部品の継続使用が禁止された場合、連邦内務省、建築・内務省は、第 10 項第 1 号に記載された関係省庁および連邦外務省と協力する、

1.同一型式、同一製造元の重要部品の使用計画を禁止する。
2.合理的な予告期間をもって、同一型式・同一製造元の重要部品のさらなる使用を禁止する。

(7) 第5項に基づく信頼性の欠如が深刻な場合、連邦内務省、建築・内務省は、第10項第1号に掲げる関係省庁および連邦外務省と合意の上、当該製造業者のすべての重要部品の使用を禁止することができる。

第9c条 自主的ITセキュリティラベル

(1) 連邦情報セキュリティ局は、連邦情報セキュリティ局が定める特定の製品分類に属する製品のITセキュリティについて消費者に知らせるため、統一的なITセキュリティ・ラベルを導入する。ITセキュリティ・ラベルは、データ保護に関する製品の特性について何ら表明するものではない。

(2) ITセキュリティ・ラベルは、以下の内容で構成されるものとする。

1.製品が一定の期間、一定のITセキュリティ要件を満たすという製造者またはサービス提供者の保証（製造者の宣言）、および
2.製品のセキュリティに関連するIT特性に関する連邦情報セキュリティ局からの情報（セキュリティ情報）。

(3) 製造者の宣言が言及するITセキュリティ要件は、各製品カテゴリーをカバーする規範もしくは標準、または業界固有のITセキュリティ要件から生じる。ただし、連邦情報セキュリティ局が第10条(3)に基づく法的命令によって規定された手続きにおいて、当該規範もしくは標準、または業界固有のITセキュリティ要件が、当該製品カテゴリーに対する十分なITセキュリティ要件を反映するのに適していると判断した場合に限る。この決定を受ける権利はない。第 1 項に従った決定がない場合、IT セキュリティ要件は、連邦情報セキュリティ局が公表した技術ガイドラ インから生じる。ある製品が、適切であると判断された複数の既存の規範、規格、業界固有の IT セキュ リティ仕様または技術指針の対象となる場合、要件は、適切であると判断されたより具体的な既存の規 範、規格、業界固有の IT セキュリティ仕様または技術指針に基づく。

(4) ITセキュリティ・ラベルは、連邦情報セキュリティ局が当該製品のITセキュリティ・ラベルを承認した場合にのみ、当該製品に使用することができる。連邦情報セキュリティ局は、製造者またはサービス提供者の要請に応じて、製品に対するITセキュリ ティラベルの承認を確認する。申請書には、製品の製造者宣言書および製造者宣言書の情報を立証するすべての書類を添付しなければならない。連邦情報セキュリティ局は申請書の受領を確認し、添付書類を用いて製造者宣言の妥当性をチェックする。もっともらしいかどうかのチェックは、連邦局が委託した資格のある第三者が行うこともできる。連邦庁は，申請の処理に管理手数料を課すことができる。

(5) 連邦情報セキュリティ局は、以下の場合、各製品にITセキュリティラベルを発行する。

1.製品が、連邦官報に掲載された一般命令によって連邦情報セキュリティ局が公表した製品分類の一つに属する場合、
2.製造者の宣言がもっともらしく、添付書類によって十分に立証されている。
3.請求される管理手数料が支払われていること。

承認は、第10条第3項に基づく法的規則に定められた合理的な期間内に、書面にて行われる。申請手続及び添付書類の正確な手続は、第10条第3項に基づく法的規則に規定される。

(6) 連邦情報セキュリティ局が承認を与えた場合、製品の性質上可能であれば、ITセキュリ ティラベルを各製品またはその外装に貼付しなければならない。ITセキュリティ・ラベルは、電子的に公表することもできる。製品の性質上、貼付できない場合は、ITセキュリティ・ラベルを電子的に公表しなければならない。ITセキュリティ・ラベルは、製造者の宣言と安全情報にアクセスできる連邦庁のウェブサイトを参照している。正確な手順と参照先のデザインは、第10条第3項に従って法的命令に明記される。

(7) 第3項第5文もしくは第6文に規定された期間の満了後、または製造者もしくはサービス提供者が連邦情報セキュリティ局に対して撤回を宣言した後、承認は失効する。連邦局は、安全性情報に承認の失効に関する言及を含めるものとする。

(8) 連邦情報セキュリティ局は、製品のITセキュリティラベルの発行要件が満たされているかどうかを確認することができる。検査の結果、製造者の宣言からの逸脱またはセキュリティ・ギャップが発見された場合、連邦情報セキュリティ局は、ITセキュリティ・ラベルに対する消費者の信頼を保護するため、特に以下のような適切な措置を講じることができる。

1.逸脱またはセキュリティ・ギャップに関する情報を、安全性情報の中で適切な方法で公表する。
2.ITセキュリティ・ラベルの公表を取り消す。

第7項第2文が適宜適用される。

(9) 連邦情報セキュリティ局は、第8項に基づく措置を講じる前に、製品の安全性に関わる重大な理由により直ちに措置を講じる必要がある場合を除き、製造者またはサービス提供者に対し、合理的な期間内に特定された逸脱またはセキュリティギャップを解消する機会を与えなければならない。第7項に従って警告を発する連邦情報セキュリティ局の権限は、引き続き影響を受けないものとする。

第10条 法的規制を発行する権限

(1) 連邦内務・建築・内務省は、連邦経済・エネルギー省、連邦司法・消費者保護省、連邦財務省、連邦労働・社会問題省、連邦食品・農業省の合意の下、科学界、関係事業者、関係事業者団体の代表者の意見を聴取した上で、連邦理事会の承認を必要としない法的命令を発するものとする、 連邦保健省、連邦運輸・デジタルインフラ省、連邦国防省、連邦環境・自然保護・原子力安全省は、本法にいう重要インフラとみなされる施設、設備、またはその一部を決定し、その重要性により第2条第10項第1文第2号に関して各分野で重要とみなされるサービス、および重要とみなされる供給レベルを特定する。センテンス1に従って重要であるとみなされる供給レベルは、その重要性により重要であるとみなされる各分野の各サービスについて、業界固有の基準値に基づいて決定される。本規則の作成または修正に関するファイルへのアクセスは認められない。

(2) 連邦内務・建築・内務省は、関係事業者団体と協議の上、連邦経済・エネルギー省と合意の上、連邦参議院の承認を必要としない法的命令により、第9条に基づく安全証明書および認定書の発行手続きの詳細およびその内容を決定する。

(3) 連邦内務・建築・内務省は、連邦参議院の承認を必要としない法的命令により、関係事業者団体の意見を聴取した後、連邦経済・エネルギー省および連邦司法・消費者保護省と合意の上、デザインの詳細を決定する、 また、業界固有のITセキュリティ仕様の適否を判断するための手続きや、関連する期限や添付書類を含む承認申請手続きの詳細、セキュリティ情報への言及の手続きやデザインについても決定する。

(4) 指令(EU) 2016/1148の第16条(8)項および(9)項に基づく欧州委員会の実施行為が、第8c条(2)項に基づきデジタルサービスのプロバイダーが講ずべき措置、第8c条(3)項第2文に基づきセキュリティインシデントの影響の重大性を評価するためのパラメータ、または第8c条(3)項第4文に基づき報告の書式および手続きに関する決定的な規定を含まない限りにおいて、これらの規定は連邦政府によって作成されるものとする、 これらの規定は、連邦参議院の承認を必要としない法律上の命令により、連邦内務省が関係省庁の同意を得て作成する。

(5) 連邦内務・建築・内務省は、連邦参議院の承認を必要としない法律上の命令により、科学界、関係企業および関係事業者団体の代表者の意見を聴取した後、連邦経済・エネルギー省、連邦司法・消費者保護省、連邦保健省、連邦運輸・デジタルインフラストラクチャー省と合意する、 連邦国防省、連邦交通・デジタルインフラ省、連邦環境・自然保護・原子力安全省は、国内付加価値の算出にどの経済指標を使用するか、直接付加価値方式を使用してどのように算出するか、また、第2条第1項第2号に規定されるドイツ国内最大企業のひとつとなるには、どの基準値が決め手となるかを決定する。連邦内務・建築・自治省は、第1文に規定された条件に従い、国内での価値創造という点で、ドイツで最大級の企業である企業にとって、第2条第14項第1文第2号の意味において、サプライヤーにとって決定的に重要な独自のセールスポイントを、法律上の命令によって決定することができる。

第 11 条 基本的権利の制限

電気通信の秘密（基本法第10条）は、第4a条、第5～5c条、第7b条および第7c条によって制限される。

第12条 連邦政府IT委員会評議会

連邦政府のIT委員評議会が解散した場合、連邦政府が指定する後継組織がその代わりを務める。IT委員評議会の同意は、全連邦省庁の合意によって置き換えることができる。IT委員会評議会が代替なしに解散した場合、全連邦省庁の同意がその代わりとなる。

第13条 報告義務

(1) 連邦情報セキュリティ局は、その活動を連邦内務・建築・内務省に報告する。

(2) 第1項に従って提供される情報は、連邦内務・建築・内務省が情報技術セキュリティに対する脅威を国民に知らせるためにも役立つものであり、少なくとも年1回、要約報告書として提供されなければならない。第7条第1項aが準用される。

(3) 連邦内務・建築・自治省は、ドイツ連邦議会の内務・自治委員会に対し、当該年の翌年の6月30日までに、本法の適用について報告しなければならない。その際、関連する連邦法のさらなる発展についても言及しなければならない。

(4) 連邦情報セキュリティ局は、2018年11月9日までに、およびその後2年ごとに、以下の情報を欧州委員会に提出しなければならない：

1.重要インフラの事業者を特定するための国内措置；
2.指令(EU) 2016/1148の付属書IIに言及されているセクター、その重要性により第2条(10)第1項第2号に従って重要であるとみなされるサービス、および重要であるとみなされる供給レベルのリスト；
3.指令（EU）2016/1148の附属書IIに記載されたセクターにおいて特定された、ポイント2で言及されたセクターの事業者の数値リスト。

送信には、個々の事業者の特定につながる情報を含んではならない。連邦情報セキュリティ局は、第1文に従って送信された情報を、直ちに連邦内務・建築・内務省、連邦首相府、連邦経済・エネルギー省、連邦司法・消費者保護省、連邦財務省、連邦労働・社会問題省、連邦食品・農業省、連邦保健省、連邦運輸・デジタルインフラ省、連邦国防省、連邦環境・自然保護・原子力安全省に送信する。

(5) 第2条(10)に基づく事業所もしくは施設または事業所もしくは施設の一部が、欧州連合の他の加盟国において、指令(EU) 2016/1148の付属書IIに列挙されたセクターの1つにおいて、その重要性により重要であるとみなされるサービスを提供していることが判明次第、連邦局は、指令(EU) 2016/1148の付属書IIに列挙されたサブセクターにおいて重要なサービスを提供する事業者を共同で特定することを目的として、当該加盟国の管轄当局と協議に入るものとする。

(6) 2018年8月9日までに、およびその後毎年、連邦情報セキュリティ局は、指令（EU）2016/1148の第11条に基づく協力グループに、指令（EU）2016/1148の付属書IIに記載されたセクターまたはデジタルサービスに関する通知の概要報告書を提出するものとする。報告書には、通報件数、報告されたセキュリティインシデントの種類、講じられた措置も含まれるものとする。報告書には、個々の通知、個々の事業者またはプロバイダーの特定につながる可能性のある情報は含まれないものとする。

第14条 罰金

(1) 第 10 条第 1 項第 1 文に基づく法的命令に関連して、第 8a 条第 3 項第 1 文に反して正確または完全な証拠を提出しなかった者は、行政犯罪を行う。

(2) 故意または過失により以下の行為をした者は、行政犯罪を行う。

1.以下に違反する行為

a)に従った強制力のある命令
第5b条第6項、第7c条第1項第1文、第7c条第3項、第7d条、第8a条第3項第5文に関連する場合、
b)第7a条第2項第1文、または
c)第8b条第6項第1文（第2文との関連も含む）、または第8c条第4項第1文
2.第10条第1項第1文に基づく法的命令に関連して、第8a条第1項第1文に違反し、同項に規定される予防措置を講じず、正しく講じず、完全に講じず、または適時に講じなかった場合、
3.第10条第1項第1文に基づく法的命令に関連して、第8a条第3項第1文に違反し、証拠を提出しなかった場合、または適時に提出しなかった場合、
4.第8a条第4項第2文または第8b条第3項第1号に反して、同項に記載された部屋への立ち入りを許可しない、同項に記載された書類を提示しない、または適時に提示しない、情報を提供しない、正しく提供しない、完全に提供しない、または適時に提供しない、または裏付けを提供しない、または適時に提供しない、
5.第10条第1項第1文に基づく法的命令に関連して、第8b条第3項第1文に反して、または第8f条第5項第1文に反して、登録を行わず、もしくは適時に行わず、またはそこに指定された権限を指定せず、もしくは適時に行わなかった場合、
6.第8b条第3項第4文に反し、連絡が取れることを保証しない場合、
7.第8b条第4項第1号、第8c条第3項第1号または第8f条第7項第1号もしくは第8項第1号に違反して、報告を行わず、正確な報告を行わず、完全な報告を行わず、または期限内に報告を行わなかった場合、
8.第8c条第1項第1文に違反し、同項に記載された措置を講じなかった場合、
9.第8f条第1項に違反し、自己申告書を提出しなかった場合、正しく提出しなかった場合、完全に提出しなかった場合、または期限内に提出しなかった場合、
10.第 9a 条第 2 項第 2 文に反して適合性評価機関として行動する場合。
11.第9c条第4項第1文に反してITセキュリティラベルを使用すること。

(3） 第1項の行為を過失で行った者は、行政違反となる。

(4) 故意または過失により、ENISA（欧州連合サイバーセキュリティ機関）および情報通信技術サイバーセキュリティ認証に関する2019年4月17日の欧州議会および理事会の規則（EU）2019/881に違反し、規則（EU）No 526/2013（サイバーセキュリティ法）を廃止する者（OJ L 151, 7.6.2019, p. 15）。

1.第55条(1)に反して、そこで言及されている情報を利用可能にしなかったり、正しく利用可能にしなかったり、完全に利用可能にしなかったり、発行されてから1ヶ月以内に利用可能にしなかったりする場合、または
2.第56条第8項第1文に反して、情報が提供されない、正しく提供されない、完全に提供されない、またはセキュリティ・ギャップもしくは不正が確認された後速やかに提供されない場合。

(5) 第2項第1号aに該当する場合、行政違反は200万ユーロ以下の罰金に処せられ、第1項、第2項第2号および第3項に該当する場合、100万ユーロ以下の罰金に処せられる。第2項第1号c、第5号および第7号から第11号、第4項に該当する場合、行政違反は50万ユーロ以下の罰金に処せられ、第2項第1号b、第4号および第6号、第3項に該当する場合、10万ユーロ以下の罰金に処せられることがある。第1項に該当する場合、行政犯罪法第30条第2項第3文が適用される。

(6) 行政犯罪法第36条第1項第1号にいう行政当局は、連邦情報セキュリティ局である。

第14a条 社会保障機関

社会法典第4編第29条に基づく法人、社会法典第10編第94条に基づく作業部会、およびドイツポストAGが社会給付の計算または支払いを委託されている限りにおいて（社会保障機関）、第14条第1項から第4項までの規定に違反した場合、第2項から第4項が適用される。連邦政府が運営する社会保障機関が第1項に規定する違反を犯した場合、連邦情報セキュリティ局は、当該社会保障機関を所管する監督当局と講ずべき措置について合意する。州によって運営される社会保障機関による第 1 項の違反の場合、連邦情報セキュリティ局は、担当監督当局 に通知し、適切な措置を提案する。各担当監督当局は、監督措置の開始と実施について連邦情報セキュリティ局に報告し、その実施を確保する。

第 15 条 デジタルサービスプロバイダーに関する規定の適用性

デジタルサービス提供者に関する規定は、2018年5月10日から適用される。