Hauptinhalt

Meldepflichten

Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Gemäß § 2 Absatz 10 BSIG sind Kritische Infrastrukturen im Sinne dieses Gesetzes Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 BSIG (BSI-Kritisverordnung) näher bestimmt.

Die Meldepflicht gemäß § 8b Absatz 4 BSIG betrifft Betreiber Kritischer Infrastrukturen, die anhand der in der BSI-Kritisverordnung festgesetzten Schwellenwerte als Kritische Infrastrukturen im Sinne des BSIG identifiziert wurden.

Mit Inkrafttreten des "Gesetzes zur Umsetzung der EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" (NIS-Richtlinien-Umsetzungsgesetz) am 30.06.2017 ergeben sich für Betreiber von Energieversorgungsnetzen, öffentlichen Telekommunikationsnetzen und öffentlich zugänglichen Telekommunikationsdiensten folgende Neuregelungen:

1. Betreiber von Energieversorgungsnetzen

Die Verpflichtung zur Meldung von IT-Störungen an das BSI betraf bisher nur die Betreiber von Energieversorgungsnetzen, deren Anlagen nach der BSI-Kritisverordnung als Kritische Infrastrukturen bestimmt wurden. Mit dem Gesetz zur Umsetzung der NIS-Richtlinie erweitert sich diese Meldepflicht auf alle Energieversorgungsnetzbetreiber.

2. Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikationsdienste

Mit dem Gesetz zur Umsetzung der NIS-Richtlinie erweitert sich ebenfalls die bereits bestehende Meldepflicht gemäß § 168 TKG insofern, dass Beeinträchtigungen von Telekommunikationsnetzen und -diensten, sofern diese zu beträchtlichen Sicherheitsverletzungen führen oder führen können, sowohl an die Bundesnetzagentur als auch an das BSI gemeldet werden müssen.

Für die Meldung an das BSI kann ebenfalls das Mitteilungsformular der Bundesnetzagentur unter Beachtung des Umsetzungskonzeptes verwendet werden, welche sich auf der Website der Bundesnetzagentur finden lassen.

Für eine vertrauliche Übermittlung des Mitteilungsformulars gem. § 168 TKG an das BSI wird nachfolgend als Textdatei ein öffentlicher PGP-Schlüssel zur Verfügung gestellt:

PublicKey
Fingerprint: 1D95 8B11 AF7E CEAB E29F D161 38F0 0B95 98A7 F523
Schlüssel-ID: 38F0 0B95 98A7 F523
Gültig bis: 16.05.2025

Schlüssel-ID und Fingerprint des öffentlichen PGP-Schlüssels können nach dem Import in Ihre eigene PGP-Schlüsselsammlung auf Übereinstimmung überprüft werden.

Betreiber Kritischer Infrastrukturen gemäß BSI-Kritisverordnung, die ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, müssen eine Kontaktstelle beim BSI registrieren.

Gesetzestext des § 8b Absatz 4 BSIG:

Betreiber Kritischer Infrastrukturen haben folgende Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

  1. Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
  2. erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können. [...]

Abbildung 1 verdeutlicht die verschiedenen Fälle, wann eine Meldung erforderlich ist.

Sollte es trotz aller Erläuterungen nicht eindeutig möglich sein, festzustellen, um was für eine IT-Störung es sich handelt, können aus praktischer Erfahrung und pragmatischer Sicht folgende Fragen eine zusätzliche Hilfestellung bieten, ob die Störung zu melden ist:

  • Hätte es mir geholfen, wenn ich Warnungen über diese Art von Vorfall von einem anderen Betreiber bekommen hätte?
  • Ist die (mögliche) Einschränkungen relevant für die Versorgungslage?

Im Zweifelsfall suchen Sie den Kontakt zum BSI. Die Mitarbeiter und Mitarbeiterinnen unserer Meldestelle werden Sie gerne hinsichtlich der Meldepflicht beraten.

    Um dem BSI eine Störung zu melden (siehe Wann muss dem BSI gemeldet werden?), benutzen Sie bitte grundsätzlich das Melde- und Informationsportal (MIP). Hier finden Sie im internen Bereich den Menüpunkt "Meldungen", über den Sie sowohl Erstmeldungen wie auch weitere freiwillige Informationen zu bestehenden Meldungen abgeben können.

    Verschlüsselungsoptionen für Meldungen

    Für die verschlüsselte Kommunikation mit dem BSI im Themenbereich Meldungen bieten wir Ihnen die folgenden Alternativen an.

    1. S/MIME: Das benötigte Zertifikat finden Sie unter:
      S/MIME-Zertifikat für Meldungen

    2. PGP: Den Public Key finden Sie hier:
      Public Key

      Fingerprint: B3B3 1EC4 1AC9 6503 000E DEFD 81F3 410F BD0F FB05
      Schlüssel-ID: 81F3 410F BD0F FB05
      Gültig bis: 16.05.2025

    Um S/MIME oder PGP nutzen zu können, benötigen Sie entsprechende Programme/Plug-Ins, wie beispielsweise Gpg4win für das Betriebssystem Windows. Nach erfolgreicher Installation können Sie den PGP-Schlüssel oder das S/MIME-Zertifikat importieren und verwenden.

    Für eine gegebenenfalls S/MIME-verschlüsselte Rückkommunikation durch das BSI benötigen wir Ihr Wurzelzertifikat (Root CA) zur Verifizierung.

    Das Wurzelzertifikat (Root CA) der Verwaltungs-PKI finden Sie unter Fingerprints und Download der Wurzelzertifikate.

    Zur IT-Störung findet sich in der Begründung des IT-Sicherheitsgesetzes folgende Erläuterung:

    Eine [IT-]Störung im Sinne des BSI-Gesetzes liegt daher vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken. (vgl. BT-Drs 18/4096, 28)

    Beispiele für IT-Störungen, die keine IT-Sicherheitsvorfälle sind und dennoch meldepflichtig sind, können sein:

    • ein Bagger, der ein Kabel durchtrennt,
    • ein Ausfall der Kühlung eines Rechenzentrums,
    • ein falsch konfiguriertes System,
    • ein fehlerhaftes Update oder ein fehlerhafter Patch, der eingespielt wird.

    § 8b Abs. 4 Nr. 2 BSIG sagt, dass eine IT-Störung erheblich sein muss, um den Tatbestand der Meldepflicht zu erfüllen. Eine eindeutige, umfassend geltende Antwort, wann eine Störung erheblich ist, ist nicht möglich. Stattdessen ist es erforderlich, dass die Verantwortlichen in KRITIS-Unternehmen Einzelfallentscheidungen treffen.

    Die folgende Liste an Beispielkriterien dient nur als Orientierungshilfe, um einen ersten Maßstab anlegen zu können. Die Beispielkriterien berücksichtigen dabei die IT-seitigen Auswirkungen der IT-Störung, nicht jedoch ihren Einfluss auf die kritische Dienstleistung. Diese ist erst in einem zweiten Schritt zu betrachten.

    Eine erhebliche IT-Störung liegt insbesondere vor, wenn

    • eine Nicht-Behandlung zu immer weiterführenden negativen Auswirkungen führen würde (zum Beispiel wenn der Ausfall einer Anlagensteuerung zu immer umfangreicheren Schäden oder der Zerstörung einer Anlage führen würde)
    • zusätzliche Aufwände und Mittel eingesetzt oder eingeplant werden, die über die Aufwände und Mittel des Regelbetriebs oder bereits geplanter Arbeiten hinausgehen (zum Beispiel zusätzliche Mitarbeiter, Überstunden, Einsatz von Ersatzkapazitäten, zusätzliche Geld- oder Sachmittel)
    • ihre Behandlung durch speziell vorgehaltene Incident-Responder oder Störfallteams durchgeführt werden muss
    • wichtige IT-Systeme oder Komponenten zur Vermeidung weiterer Auswirkungen abgeschaltet oder isoliert werden
    • für den Bewältigungszeitraum Betriebsprozesse geändert werden
    • sie einen hohen finanzielle Schaden verursacht
    • die Vermutung naheliegt, dass das Unternehmen Ziel eines neuartigen, außergewöhnlichen, zielgerichteten oder aus technischer Sicht bemerkenswerten Angriffs oder Angriffsversuchs ist zum Beispiel ein sogenannter Advanced Persistent Threat (APT)
    • besondere Berichtspflichten gegenüber der Unternehmensleitung für solche IT-Störungen bestehen

    Auch wenn erst im Nachhinein festgestellt wurde, dass die IT-Störung erheblich im Sinne des BSIG war, ist sie ab diesem Zeitpunkt meldepflichtig.

    Die Meldung muss unverzüglich nach Erkennung der IT-Störung erfolgen, d. h. ohne schuldhaftes Zögern. Alle Erkenntnisse, die zum Zeitpunkt der Meldung vorliegen, müssen an das BSI gemeldet werden.

    Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur IT-Störung gemacht werden, ist die Meldung als Erstmeldung zu kennzeichnen. Sobald fehlende Informationen bekannt sind, ist eine Folgemeldung und letztendlich eine Abschlussmeldung vorzulegen. Im Zweifelsfall ist die Meldung nachrangig gegenüber der Eindämmung der akuten Folgen der IT-Störung.

    Für die Erstmeldung gilt grundsätzlich: Schnelligkeit vor Vollständigkeit.

    Eine Abschlussmeldung kann nach vollständiger Umsetzung aller Maßnahmen zur Vorfallsbearbeitung erfolgen. Mit der Abschlussmeldung hat der Betreiber seine Meldepflicht zu dieser IT-Störung gegenüber dem BSI vollständig erfüllt, sofern sich das BSI nicht binnen fünf Arbeitstagen anderweitig gegenüber dem Betreiber äußert (z. B. durch weitere Nachfragen zum Vorfall).

    Ein Ausfall liegt vor, wenn die Funktionsfähigkeit einer KRITIS nicht mehr gegeben ist. Eine geplante Betriebsunterbrechung gilt nicht als Ausfall.

    Eine erhebliche Beeinträchtigung liegt insbesondere vor, wenn eine KRITIS nicht mehr in der Lage ist, ihre Versorgungsleistung wie geplant oder erwartet zu erbringen, zum Beispiel weil ihre Funktionsfähigkeit nur noch in Teilen gegeben ist, und die darauf entstandene Minderleistung erheblich ist. Wann eine Minderleistung erheblich ist, muss im Verhältnis zur Betroffenheit der Versorgten gesehen werden.

    Beispielsweise kann von einer erheblichen Beeinträchtigung ausgegangen werden, wenn:

    • eine große Anzahl von Nutzern betroffen ist
    • eine große Anzahl von Geschäftsprozessen betroffen ist
    • die Auswirkungen die öffentliche Aufmerksamkeit auf sich ziehen
      zurück zum Seitenanfang