[Aktuell Preise & Bestellung Rechtskataster/PM Support Kontakt Übersicht Beratersuche]

Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. ▢ Regelwerk

...

Änderungstext

Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das hiermit bekannt gemacht wird:

§ 1
Änderung des Bayerischen Digitalgesetzes

Das Bayerische Digitalgesetz (BayDiG) vom 22. Juli 2022 (GVBl. S. 374, BayRS 206-1-D), das zuletzt durch Art. 10 des Gesetzes vom 21. Juni 2024 (GVBl. S. 114) geändert worden ist, wird wie folgt geändert:

1. Dem Art. 41 wird folgender Satz 3 angefügt:

"Das Landesamt ist zuständige Behörde im Sinne des Art. 8 der Richtlinie (EU) 2022/2555."

2. Art. 42 wird wie folgt geändert:

a) Abs. 1 wird wie folgt geändert:

aa) In Nr. 5 werden nach dem Wort "Informationstechnik" die Wörter ", die Erkennung von Sicherheitsrisiken und die Bewertung von Sicherheitsvorkehrungen" eingefügt und das Wort "und" am Ende wird durch ein Komma ersetzt.

bb) In Nr. 6 wird der Punkt am Ende durch ein Komma ersetzt.

cc) Die folgenden Nrn. 7 bis 10 werden angefügt:

"7. als Computer-Notfallteam (CSIRT) im Sinne von Art. 10 der Richtlinie (EU) 2022/2555 die Aufgaben nach Art. 11 Abs. 3 der Richtlinie (EU) 2022/2555 wahrzunehmen,

8. an Peer Reviews nach Art. 19 der Richtlinie (EU) 2022/2555 mitzuwirken,

9. der Leitungsebene und den Beschäftigten von Behörden Schulungen im Bereich Cybersicherheit anzubieten und

10. Meldungen nach Art. 43 Abs. 3 Satz 3 und Art. 49b Abs. 5 sowie Informationen nach Art. 49a Abs. 3 an die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 zu übermitteln."

b) Folgender Abs. 5 wird angefügt:

"(5) Das Landesamt arbeitet mit dem Bundesamt für Sicherheit in der Informationstechnik, den für IT-Sicherheit in den Ländern und in den Mitgliedstaaten zuständigen Stellen, der Agentur der Europäischen Union für Cybersicherheit und den gemäß der Verordnung (EU) 2022/2554 und der Richtlinie (EU) 2022/2557 jeweils zuständigen Behörden zusammen."

3. Art. 43 wird wie folgt geändert:

a) In Abs. 1 Satz 2 wird nach dem Wort "technische" das Wort", operative" eingefügt und die Wörter "im Sinn von Art. 32 DSGVO und Art. 32 des Bayerischen Datenschutzgesetzes" werden gestrichen.

b) Nach Abs. 1 wird folgender Abs. 2 eingefügt:

"(2) Die obersten Dienstbehörden stellen in ihrem Geschäftsbereich sicher, dass die Leitungsebene staatlicher Behörden über ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Risikomanagementpraktiken im Bereich Cybersicherheit verfügt."

c) Der bisherige Abs. 2 wird Abs. 3 und wird wie folgt geändert:

aa) Der Wortlaut wird Satz 1.

bb) Die folgenden Sätze 2 bis 4 werden angefügt:

"Andere Stellen können erhebliche Sicherheitsvorfälle im Sinne des Art. 49b Abs. 2 Satz 2, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden. Soweit erforderlich übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 die Informationen über die gemäß diesem Absatz eingegangenen Meldungen, wobei es die Vertraulichkeit und den angemessenen Schutz der von der meldenden Stelle übermittelten Informationen sicherstellt. Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen Meldungen nach Satz 2 nicht dazu führen, dass der meldenden Stelle zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte."

d) Die bisherigen Abs. 3 und 4 werden die Abs. 4 und 5.

4. In Art. 48 Abs. 2 Satz 1 Satzteil vor Nr. 1 wird das Wort "zwölf" durch die Angabe "18" ersetzt.

5. Nach Art. 49 wird folgendes Kapitel 4 eingefügt:

"Kapitel 4
Besondere Vorschriften für Einrichtungen mit Bedeutung für den Binnenmarkt

Art. 49a Einrichtung mit Bedeutung für den Binnenmarkt

(1) In Bezug auf Einrichtungen mit Bedeutung für den Binnenmarkt gelten ergänzend zu den Art. 41 bis 49 die Bestimmungen dieses Kapitels. Die Art. 41 bis 49 bleiben unberührt.

(2) Einrichtungen mit Bedeutung für den Binnenmarkt sind staatliche Behörden, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte. Satz 1 gilt nicht für den Landtag, den Landesbeauftragten für den Datenschutz, den Obersten Rechnungshof, die Justiz sowie Behörden, die ausschließlich in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, tätig werden. Werden Behörden nur teilweise in den Bereichen des Satzes 2 tätig, finden die Vorschriften dieses Kapitels insoweit keine Anwendung.

(3) Das Landesamt ermittelt unter Einbindung der obersten Dienstbehörden erstmalig bis zum 17. April 2025 alle Einrichtungen mit Bedeutung für den Binnenmarkt. Dabei sind die in Art. 27 Abs. 2 der Richtlinie (EU) 2022/2555 genannten Informationen zu erfassen. Einrichtungen mit Bedeutung für den Binnenmarkt teilen Änderungen der erfassten Informationen unverzüglich dem Landesamt mit. Das Landesamt überprüft die erfassten Informationen regelmäßig, spätestens jedoch alle zwei Jahre. Die ermittelten Einrichtungen mit Bedeutung für den Binnenmarkt und die erfassten Informationen übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 erstmals zum 17. April 2025 und danach alle zwei Jahre, im Fall von Änderungen unverzüglich.

(4) Für Einrichtungen mit Bedeutung für den Binnenmarkt gelten als Mindestsicherheitsniveau die durch und aufgrund von Art. 21 der Richtlinie (EU) 2022/2555 festgelegten Standards. Art. 45 Abs. 1 findet in Bezug auf die Anforderungen nach Satz 1 entsprechend Anwendung.

(5) Die in diesem Kapitel festgelegten Verpflichtungen umfassen nicht die Bereitstellung von Informationen, deren Offenlegung wesentlichen Interessen im Bereich der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung zuwiderlaufen würde.

Art. 49b Besonderes Meldeverfahren

(1) Einrichtungen mit Bedeutung für den Binnenmarkt übermitteln dem Landesamt über eine eingerichtete Meldemöglichkeit

1. unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Frühwarnung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte,
2. unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der die in Nr. 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren an - gegeben werden,
3. auf Ersuchen des Landesamtes einen Zwischenbericht über relevante Statusaktualisierungen und
4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nr. 2, vorbehaltlich des Abs. 3, einen Abschlussbericht, der Folgendes enthält:
   1. eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,
   2. Angaben zur Art der Bedrohung sowie zur zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat,
   3. Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und
   4. gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.

(2) Ein Sicherheitsvorfall liegt vor, wenn ein Ereignis die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder die Dienste, die über informationstechnische Systeme, Komponenten oder Prozesse angeboten werden oder zugänglich sind, beeinträchtigt. Ein Sicherheitsvorfall gilt als erheblich, wenn dieser

1. schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann,
2. andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann oder
3. in einem Durchführungsrechtsakt der Europäischen Kommission gemäß Art. 23 Abs. 11 Unterabs. 2 der Richtlinie (EU) 2022/2555 als erheblich bezeichnet ist.

(3) Dauert der Sicherheitsvorfall im Zeitpunkt des Abs. 1 Nr. 4 noch an, legt die betreffende Einrichtung statt eines Abschlussberichtes zu diesem Zeitpunkt einen Fortschrittsbericht und binnen eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls einen Abschlussbericht vor.

(4) Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Art. 23 Abs. 11 Unterabs. 1 der Richtlinie (EU) 2022/2555 erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorgaben einzuhalten. Das Landesamt kann die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat festlegen, soweit dies Durchführungsrechtsakten der Europäischen Kommission nicht widerspricht.

(5) Das Landesamt unterrichtet die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 unverzüglich über eingegangene Meldungen nach diesem Artikel.

(6) Das Landesamt übermittelt der meldenden Einrichtung unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung eine Antwort, einschließlich einer ersten Rückmeldung zu dem erheblichen Sicherheitsvorfall und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operative Beratung für die Durchführung möglicher Abhilfemaßnahmen. Das Landesamt leistet auf Ersuchen der meldenden Einrichtung zusätzliche technische Unterstützung. Wird bei dem erheblichen Sicherheitsvorfall ein krimineller Hintergrund vermutet, gibt das Landesamt ferner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbehörden. Das Landesamt bearbeitet auch sonstige Meldungen gemäß Art. 43 Abs. 3 Satz 2 nach dem in diesem Absatz vorgesehenen Verfahren und kann der meldenden Stelle auf Ersuchen entsprechende Unterstützung leisten.

(7) Einrichtungen mit Bedeutung für den Binnenmarkt können darüber hinaus auf freiwilliger Basis Sicherheitsvorfälle im Sinne des Abs. 2 Satz 1, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden. Abs. 6 Satz 4 und Art. 43 Abs. 3 Satz 3 und 4 gelten entsprechend.

Art. 49c Aufsicht und Durchsetzung

(1) Das Landesamt überwacht bei Einrichtungen mit Bedeutung für den Binnenmarkt die Einhaltung der Verpflichtungen nach Art. 43 Abs. 1, Art. 46, 49a Abs. 3 Satz 3, Abs. 4 und Art. 49b nach Maßgabe des Art. 33 der Richtlinie (EU) 2022/2555. 2Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung mit Bedeutung für den Binnenmarkt einer Verpflichtung nach Satz 1 nicht nachkommt, so kann das Landesamt, soweit dies zur Erfüllung seiner Aufgabe nach Satz 1 erforderlich ist, im Einvernehmen mit der zuständigen obersten Dienstbehörde

1. bei der betreffenden Einrichtung Vor-Ort-Kontrollen, externe nachträgliche Aufsichtsmaßnahmen, gezielte Sicherheitsprüfungen oder Sicherheitsscans auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter Risikobewertungskriterien, erforderlichenfalls auch in Zusammenarbeit mit der betreffenden Einrichtung, durchführen oder unabhängige Stellen mit der Durchführung einer gezielten Sicherheitsüberprüfung beauftragen,
2. von der betreffenden Einrichtung Informationen zur nachträglichen Bewertung der ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit, einschließlich dokumentierter Cybersicherheitskonzepte, oder zur Einhaltung der Verpflichtungen nach Art. 49a Abs. 3 Satz 3 anfordern,
3. bei der betreffenden Einrichtung den Zugang zu Daten, Dokumenten oder sonstigen Informationen anfordern oder
4. von der betreffenden Einrichtung Nachweise für die Umsetzung der Cybersicherheitskonzepte anfordern.

Das Landesamt kann, soweit dies zur Behebung festgestellter Verstöße einer Einrichtung mit Bedeutung für den Binnenmarkt gegen Verpflichtungen nach Satz 1 erforderlich ist, im Einvernehmen mit der zuständigen obersten Dienstbehörde

1. die betreffende Einrichtung anweisen oder ihr gegenüber anordnen, die festgestellten Mängel oder Verstöße gegen die Verpflichtungen nach Satz 1 zu beheben,
2. die betreffende Einrichtung anweisen, das gegen die Verpflichtungen nach Satz 1 verstoßende Verhalten einzustellen und von Wiederholungen abzusehen,
3. die betreffende Einrichtung anweisen, entsprechend bestimmter Vorgaben und innerhalb einer bestimmten Frist die Erfüllung der Verpflichtungen nach Satz 1 sicherzustellen oder
4. die betreffende Einrichtung anweisen, die im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer angemessenen Frist umzusetzen.

Anweisungen nach Satz 3 sind zu begründen. Der anzuweisenden Einrichtung mit Bedeutung für den Binnenmarkt ist vorab mit angemessener Frist Gelegenheit zur Stellungnahme zu geben, es sei denn, dies würde die Wirksamkeit von sofortigen Maßnahmen zur Verhütung von Sicherheitsvorfällen oder zur Reaktion auf Sicherheitsvorfälle beeinträchtigen.

(2) Stellt das Landesamt fest, dass der Verstoß einer Einrichtung mit Bedeutung für den Binnenmarkt gegen Verpflichtungen aus Art. 43 Abs. 1, Art. 46, 49a Abs. 4 oder Art. 49b eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO zur Folge haben kann, die gemäß Art. 33 DSGVO zu melden ist, unterrichtet es im Einvernehmen mit der zuständigen obersten Dienstbehörde unverzüglich den Landesbeauftragten für den Datenschutz.

(3) Das Landesamt kann, soweit erforderlich, im Einvernehmen mit der zuständigen obersten Dienstbehörde die Öffentlichkeit oder von einem Sicherheitsvorfall betroffene Dritte über erhebliche Sicherheitsvorfälle bei Einrichtungen mit Bedeutung für den Binnenmarkt sowie mögliche Abwehr- oder Abhilfemaßnahmen informieren oder Einrichtungen mit Bedeutung für den Binnenmarkt anweisen, dies zu tun. Zudem kann es diese im Einvernehmen mit der zuständigen obersten Dienstbehörde anweisen, Informationen zu Verstößen gegen die Verpflichtungen nach Abs. 1 Satz 1 nach bestimmten Vorgaben öffentlich bekannt zu machen oder selbst Warnungen über Verstöße gegen diese Verpflichtungen durch Einrichtungen mit Bedeutung für den Binnenmarkt herausgeben, soweit dies erforderlich ist."

6. Art. 57b wird Art. 57a.

7. Art. 58 wird wie folgt gefasst:

8. Art. 59 wird wie folgt geändert:

a) Abs. 1 wird wie folgt geändert:

aa) In Satz 1 wird die Satznummerierung "1" gestrichen.

bb) Satz 2

Abweichend von Satz 1 tritt Art. 57b am 1. Januar 2024 in Kraft.

wird aufgehoben.

b) Abs. 2

(2) Art. 57a

Art. 57a Änderung weiterer Rechtsvorschriften

(1) Das Kostengesetz (KG) vom 20. Februar 1998 (GVBl. S. 43, BayRS 2013-1-1-F), das zuletzt durch § 2 des Gesetzes vom 19. März 2020 (GVBl. S. 153) geändert worden ist, wird wie folgt geändert:

1. Dem Art. 5 Abs. 2 werden die folgenden Sätze 4 und 5 angefügt:

"Ist für eine Amtshandlung ein digitales Verfahren eröffnet, kann für die Gebühr, die im Kostenverzeichnis festgelegt wird, eine Ermäßigung vorgesehen werden, wenn sich der Verwaltungsaufwand durch das digitale Verfahren verringert. Die Ermäßigung darf 100 Euro nicht überschreiten."

2. Art. 21 Abs. 3 Satz 1 Halbsatz 2 wird wie folgt gefasst:

alt	neu
Art. 5 Abs. 3, 5 und 6 gelten entsprechend	"Art. 5 Abs. 2 Satz 4 und 5, Abs. 3, 5 und 6 gilt entsprechend."

(2) Die Gemeindeordnung (GO) in der Fassung der Bekanntmachung vom 22. August 1998 (GVBl. S. 796, BayRS 2020-1-1-I), die zuletzt durch § 1 des Gesetzes vom 9. März 2021 (GVBl. S. 74) geändert worden ist, wird wie folgt geändert:

1. Art. 26 Abs. 2 Satz 2 wird wie folgt geändert:

a) In Halbsatz 1 wird das Wort "anderen" gestrichen.

b) In Halbsatz 2 werden nach dem Wort "Niederlegung" die Wörter "digital über das Internet," eingefügt.

2. Dem Art. 38 Abs. 2 wird folgender Satz 4 angefügt:

"Bei der Vergabe von öffentlichen Aufträgen und Konzessionen genügt die Textform, soweit eine andere Rechtsvorschrift nichts Abweichendes bestimmt."

(3) Dem Art. 35 Abs. 2 der Landkreisordnung (LKrO) in der Fassung der Bekanntmachung vom 22. August 1998 (GVBl. S. 826, BayRS 2020-3-1-I), die zuletzt durch § 2 des Gesetzes vom 9. März 2021 (GVBl. S. 74) geändert worden ist, wird folgender Satz 4 angefügt:

"Bei der Vergabe von öffentlichen Aufträgen und Konzessionen genügt die Textform, soweit eine andere Rechtsvorschrift nichts Abweichendes bestimmt."

(4) Dem Art. 33a Abs. 2 der Bezirksordnung (BezO) in der Fassung der Bekanntmachung vom 22. August 1998 (GVBl. S. 850, BayRS 2020-4-2-I), die zuletzt durch

§ 3 des Gesetzes vom 9. März 2021 (GVBl. S. 74) geändert worden ist, wird folgender Satz 4 angefügt:

"Bei der Vergabe von öffentlichen Aufträgen und Konzessionen genügt die Textform, soweit eine andere Rechtsvorschrift nichts Abweichendes bestimmt."

(5) Art. 37 des Gesetzes über die kommunale Zusammenarbeit (KommZG) in der Fassung der Bekanntmachung vom 20. Juni 1994 (GVBl. S. 555, 1995 S. 98, BayRS 2020-6-1-I), das zuletzt durch § 4 des Gesetzes vom 9. März 2021 (GVBl. S. 74) geändert worden ist, wird wie folgt geändert:

1. Abs. 1 wird wie folgt geändert:

a) Die Absatzbezeichnung "(1)" wird gestrichen.

b) In Satz 1 werden die Wörter "oder müssen in elektronischer Form mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur versehen sein" durch die Wörter " ; das gilt nicht für ständig wiederkehrende Geschäfte des täglichen Lebens, die finanziell von unerheblicher Bedeutung sind" ersetzt.

c) Folgender Satz 4 wird angefügt:

"Bei der Vergabe von öffentlichen Aufträgen und Konzessionen genügt die Textform, soweit eine andere Rechtsvorschrift nichts Abweichendes bestimmt."

2. Abs. 2 wird

(2) Absatz 1 Satz 1 findet keine Anwendung auf ständig wiederkehrende Geschäfte des täglichen Lebens, die finanziell von unerheblicher Bedeutung sind.

aufgehoben.

(6) In Art. 15 Abs. 2a Satz 1 des Bayerischen Besoldungsgesetzes (BayBesG) vom 5. August 2010 (GVBl. S. 410, 764, BayRS 2032-1-1-F), das zuletzt durch die Art. 1, 2 und 3 des Gesetzes vom 23. Juni 2022 (GVBl. S. 254) geändert worden ist, werden die Wörter "mit Zustimmung des Beamten oder der Beamtin" gestrichen.

tritt am 1. Januar 2023 außer Kraft.

wird aufgehoben.

c) Der bisherige Abs. 3 wird Abs. 2 und die Angabe "57b" wird durch die Angabe "57a" ersetzt.

d) Abs. 4

(4) Das Bayerische E-Government-Gesetz (BayEGovG) vom 22. Dezember 2015 (GVBl. S. 458, BayRS 206-1-D), das zuletzt durch § 1 Abs. 138 der Verordnung vom 26. März 2019 (GVBl. S. 98) geändert worden ist, tritt mit Ablauf des 31. Juli 2022 außer Kraft.

wird aufgehoben.

§ 2
Änderung des Gesetzes über die Bayerische Landesstiftung

Das Gesetz über die Bayerische Landesstiftung (BayLStG) in der in der Bayerischen Rechtssammlung (BayRS 282-2-10-F) veröffentlichten bereinigten Fassung, das zuletzt durch § 1 Abs. 54 der Verordnung vom 4. Juni 2024 (GVBl. S. 98) geändert worden ist, wird wie folgt geändert:

1. Art. 8 Abs. 8 wird wie folgt geändert:

a) Satz 2 wird aufgehoben.

b) Satz 3 wird Satz 2.

2. In Art. 10 Abs. 3 Halbsatz 1 werden die Wörter "innerhalb von sechs Monaten" gestrichen.

§ 3
Inkrafttreten

Dieses Gesetz tritt am 18. Oktober 2024 in Kraft.