2.1 Unterlagen und Informationen (Abs. 1)
Rz. 3
Die gematik legt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Verlangen folgende Unterlagen und Informationen vor:
- Zulassungen und Bestätigungen nach § 311 Abs. 6, §§ 324, 325 und 327 einschließlich der zugrunde gelegten Dokumentation,
- eine Aufstellung der nach §§ 329 bis 331 getroffenen Maßnahmen einschließlich der festgestellten Sicherheitsmängel und Ergebnisse der Maßnahmen und
- sonstige für die Bewertung der Sicherheit der Telematikinfrastruktur sowie der zugelassenen Dienste und bestätigten Anwendungen erforderlichen Informationen
(Satz 1). Die Vorlagepflicht besteht neben weiteren gesetzlichen Informationspflichten der gematik. Bei der Anforderung der Informationen oder Nachweise hat das BSI den Zweck zu nennen und anzugeben, welche Informationen verlangt werden (Dochow, in: Schlegel/Voelzke, jurisPK-SGB V, 4. Aufl., § 333 Rz. 27 m. w. N.). Die Unterlagen und Informationen sind unverzüglich (ohne schuldhaftes Zögern; § 121 BGB) vorzulegen. Dazu ist eine gesetzliche Frist von 2 Wochen gegeben, innerhalb der dem Verlangen zu entsprechen ist. Die Frist wird im Interesse der effektiven Gewährleistung der Sicherheit in der Informationstechnik vorgegeben. Die Regelung korrespondiert mit Vorschriften, nach denen sich die gematik mit dem BSI abzustimmen und eine von der BSI-Meinung abweichende Entscheidung zu begründen hat. Die Norm betrachtet insbesondere Sicherheitsmängel, die zu einer Störung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse führen können. Die Frist beginnt, wenn die Willenserklärung des BSI der gematik zugegangen ist. Das Verlangen des BSI ist ein Verwaltungsakt (§ 31 SGB X), gegen den Widerspruch und Klage zulässig sind.
2.2 Mängelbeseitigung durch die gematik (Abs. 2)
Rz. 4
Ergibt die Bewertung der in Abs. 1 genannten Informationen Sicherheitsmängel, kann das BSI der gematik verbindliche Anweisungen zur Beseitigung der festgestellten Sicherheitsmängel erteilen. Das BSI kann bei abweichenden Entscheidungen der gematik die Entscheidung prüfen und entsprechend der Vorgaben in Art. 15 Abs. 3 der NIS-Richtlinie (Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit v. 29.6.2017) verbindliche Anweisungen zur Abhilfe der festgestellten Mängel erteilen.
2.3 Mängelbeseitigung durch Anbieter (Abs. 3)
Rz. 5
Die gematik ist befugt, Betreibern von zugelassenen Diensten und bestätigten Anwendungen (§ 311 Abs. 6, §§ 325 und 327) verbindliche Anweisungen zur Beseitigung festgestellter Sicherheitsmängel zu erteilen. Die gematik ist in diesem Zusammenhang als juristische Person des privaten Rechts (Beliehene) berechtigt, Verwaltungsakte (§ 31 SGB X) zu erlassen. Wird eine vollziehbare Anordnung (Verwaltungsakt) der gematik nicht befolgt, liegt eine Ordnungswidrigkeit vor (§ 397 Abs. 2a Nr. 3). Vorsätzliche oder fahrlässige Zuwiderhandlungen können mit einer Geldbuße bis zu 300.000,00 EUR geahndet werden.
2.4 Kosten (Abs. 4)
Rz. 6
Die Kosten der Überprüfung durch das BSI trägt
- die gematik, sofern das BSI aufgrund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der Telematikinfrastruktur begründeten (bis 8.6.2021), oder
- der Betreiber von zugelassenen Diensten und bestätigten Anwendungen, sofern das BSI aufgrund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Sicherheit der zugelassenen Dienste und bestätigten Anwendungen begründeten.
Zum 9.6.2021 wurde die Erstattung der gematik an das BSI pauschalisiert (§ 331 Abs. 6 Satz 1). Nur die dem BSI für Anbieter entstehenden Kosten werden durch die gematik in tatsächlicher Höhe erstattet (§ 331 Abs. 6 Satz 2).