§ 16
Nachweise und behördliche Anordnungen zu Resilienzpflichten
(1) Um die Einhaltung der Verpflichtungen nach § 13 Absatz 1 zu überprüfen, kann die zuständige Behörde über das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe das Bundesamt für Sicherheit in der Informationstechnik um die Übersendung derjenigen Bestandteile der nach § 39 des BSI-Gesetzes vorgelegten Nachweise ersuchen, die für die Überprüfung der Einhaltung der Maßnahmen nach § 13 Absatz 1 erforderlich sind.
(2) 1Sofern die nach Absatz 1 übermittelten Informationen zur Feststellung der Einhaltung der Verpflichtungen nach § 13 Absatz 1 nicht ausreichen, kann die zuständige Behörde einzelne Betreiber kritischer Anlagen zur Vorlage weiterer Informationen und geeigneter Nachweise auffordern. 2Insbesondere kann sie die Vorlage des Resilienzplans verlangen. 3Bei der Auswahl, von welchen Betreibern kritischer Anlagen Nachweise nach Satz 1 angefordert werden, verfolgt die zuständige Behörde einen risikobasierten Ansatz. 4Sie wählt die zu kontrollierenden Betreiber kritischer Anlagen anhand des Ausmaßes der Risikoexposition, der Größe des Betreibers kritischer Anlagen und der Eintrittswahrscheinlichkeit und Schwere von möglichen Vorfällen sowie deren möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen aus. 5Der Grundsatz der Wirtschaftlichkeit der Verwaltung soll dabei berücksichtigt werden.
(3) 1Ein Nachweis zur Einhaltung der Verpflichtung nach § 13 Absatz 1 kann durch Audits erfolgen. 2Der Betreiber kritischer Anlagen übermittelt der zuständigen Behörde auf deren Verlangen die Ergebnisse des Audits einschließlich der dabei aufgedeckten Mängel. 3Die zuständige Behörde kann die Vorlage der Dokumentation, die der Überprüfung durch ein Audit oder auf andere Weise zugrunde gelegt wurde, verlangen.
(4) 1Die zuständige Behörde kann die Einhaltung der Verpflichtungen nach § 13 Absatz 1 bei den nach Absatz 2 Satz 3 ausgewählten Betreibern kritischer Anlagen überprüfen. 2Bei der Durchführung der Überprüfung kann die zuständige Behörde sich eines qualifizierten unabhängigen Dritten bedienen. 3Der Betreiber kritischer Anlagen hat der zuständigen Behörde und den in ihrem Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren.
(5) 1Die zuständige Behörde kann bei Mängeln die Vorlage eines geeigneten Mängelbeseitigungsplans und Maßnahmen zur Beseitigung der Mängel innerhalb einer angemessenen Frist anordnen. 2Sie kann die Vorlage eines geeigneten Nachweises der Mängelbeseitigung verlangen. 3Absatz 3 gilt entsprechend.
(6) Für die Absätze 2 bis 5 gilt § 8 Absatz 2 Satz 2 sinngemäß.
(7) 1Die Absätze 1 bis 6 gelten nicht für die Betreiber kritischer Anlagen, die für die Erbringung kritischer Dienstleistungen in einem der Bereiche des § 3 Absatz 2 Nummer 2 Buchstabe a bis c erheblich sind. 2Stattdessen ist § 5f des Energiewirtschaftsgesetzes anzuwenden.
(8) 1Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe kann zur Ausgestaltung des Verfahrens der Erbringung des Nachweises und der Audits nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die Geeignetheit der zu erbringenden Nachweise sowie fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle im Einvernehmen mit dem fachlich zuständigen Bundesministerium sowie dem Bundesamt für Sicherheit in der Informationstechnik festlegen. 2§ 4 Absatz 4 gilt entsprechend. 3Die Festlegung nach Satz 1 wird durch eine öffentliche Mitteilung auf der Internetseite des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe veröffentlicht.