(1) Das Bundesministerium für Gesundheit wird ermächtigt, in einer Rechtsverordnung bis zum 30. September 2020 die technischen und organisatorischen Vorgaben für die Durchführung der Online-Wahl im Rahmen des Modellprojektes nach § 194a im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zu regeln. In der Verordnung ist Folgendes festzulegen:
- 1.
die technischen Vorgaben einschließlich der Vorgaben für die Erstellung und Umsetzung eines angemessenen Informationssicherheitskonzeptes nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, - 2.
die Vorgaben für die Erstellung und Umsetzung eines gemäß dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik angemessenen Notfallkonzeptes, das sowohl die Notfallvorsorge als auch die Notfallbewältigung einschließt, - 3.
die Vorgaben für die sichere Wahlvorbereitung und Wahldurchführung einschließlich Stimmauszählung, für die Überwachung der Wahlplattform und für die sichere Archivierung der Wahldurchführungs- und Ergebnisdaten, - 4.
die notwendigen Dokumentations-, Test-, Übungs-, Freigabe- und Zertifizierungsmaßnahmen, - 5.
geeignete Verfahren für die Authentisierung des Wahlberechtigten gegenüber der Wahlplattform mittels geeigneter Authentisierungsmittel und die Authentifizierung des Wahlberechtigten durch die Wahlplattform, - 6.
informationstechnische Anforderungen an die Nachvollziehbarkeit der Stimmauswertung zur Herstellung einer im Rahmen der technischen Möglichkeiten möglichst weitgehenden Transparenz bei der Wahlauswertung und - 7.
die Vorgaben für Kommunikations- und Meldewege, insbesondere bei Sicherheitsvorfällen.
(2) Die Festlegung der Vorgaben, Maßnahmen und Verfahren nach Absatz 1 erfolgt auf der Grundlage der vom Bundesamt für Sicherheit in der Informationstechnik erstellten (Technischen) Richtlinien und sonstigen Sicherheitsanforderungen für Online-Wahlen und Online-Wahlprodukte. Darüber hinausgehende Sicherheitsanforderungen für Online-Wahlen im Rahmen der Sozialversicherungswahlen werden vom Bundesministerium für Gesundheit insbesondere unter Berücksichtigung des konkreten Sicherheitsrisikos und einer auf der Grundlage des BSI-Standards 200-3 erstellten Risikoanalyse im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik entwickelt und in der Rechtsverordnung festgelegt.