Anforderungen und Eignung von CSIRTs

§ 9.

(1) Die CSIRTs haben die zur Erfüllung ihrer Aufgaben erforderlichen technischen und organisatorischen Fähigkeiten aufzuweisen und müssen zur Gewährleistung einer angemessenen Personalausstattung über ausreichende Ressourcen und geeignetes Personal verfügen. Die CSIRTs haben jedenfalls folgende Anforderungen zu erfüllen:

1. 1. ihre Kommunikationskanäle weisen einen hohen Grad an Sicherheit, Belastbarkeit und Verfügbarkeit auf, indem punktuellen Ausfällen vorgebeugt und mehrere Kanäle bereitgestellt werden, damit sie jederzeit erreichbar bleiben und die Möglichkeit besteht, proaktiv mit anderen Kontakt aufzunehmen; sie legen die Kommunikationskanäle genau fest und machen sie den wesentlichen und wichtigen Einrichtungen, sonstigen Einrichtungen sowie den Kooperationspartnern bekannt;
2. 2. sie verfügen über ein geeignetes System zur Verwaltung und Weiterleitung von Anfragen, insbesondere über ein für den effizienten Informationsaustausch geeignetes System;
3. 3. sie stellen die Vertraulichkeit und Vertrauenswürdigkeit ihrer Tätigkeiten sicher;
4. 4. sie verfügen über entsprechend geschultes Personal und können hinsichtlich der Ausstattung eine ständige Bereitschaft ihrer Dienste gewährleisten;
5. 5. sie verfügen über Redundanzsysteme und Ausweicharbeitsräume, um die Kontinuität ihrer Dienste sicherzustellen;
6. 6. sie setzen Risikomanagementmaßnahmen gemäß § 32 um und melden erhebliche Cybersicherheitsvorfälle gemäß § 34 der Cybersicherheitsbehörde;
7. 7. ihre Mitarbeiter müssen sich einer Sicherheitsüberprüfung nach den §§ 55 ff SPG für den Zugang zu geheimer Information unterzogen haben. Die Sicherheitsüberprüfung ist alle fünf Jahre zu wiederholen;
8. 8. nachweisliche Unterstützung des jeweiligen Sektors (§ 2), wenn es sich um ein CSIRT gemäß § 8 Abs. 3 handelt.

(2) CSIRTs gemäß § 8 Abs. 2 und 3 haben Änderungen hinsichtlich jener Umstände, die Voraussetzung für die Erteilung der Ermächtigung waren, unverzüglich der Cybersicherheitsbehörde anzuzeigen.

(3) Zur Wahrnehmung ihrer gesetzlichen Aufgaben sind die CSIRTs verpflichtet, Kooperationsbeziehungen mit einschlägigen Interessenträgern des Privatsektors zu pflegen. Zur Erleichterung dieser Zusammenarbeit haben die CSIRTs die Annahme und Anwendung gemeinsamer oder standardisierter Vorgehensweisen, Klassifizierungssysteme und Taxonomien für

1. 1. die Verfahren zur Bewältigung von Cybersicherheitsvorfällen,
2. 2. das Krisenmanagement und
3. 3. die koordinierte Offenlegung von Schwachstellen gemäß § 11 Abs. 1

1. zu fördern.

(4) Mitarbeiter von CSIRTs sind über bekanntgewordene Tatsachen und Erkenntnisse, die im Rahmen der Wahrnehmung ihrer Aufgaben nach diesem Bundesgesetz auftreten und deren Geheimhaltung im Interesse der jeweiligen geprüften Einrichtungen geboten ist, zur Geheimhaltung verpflichtet.

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273870