Meldepflichten

KRITIS-Betreiber müssen Störungen in ihren KRITIS-Anlagen nach §8b (4) BSIG an das BSI melden. Meldepflichtige Störungen können Prozesse, Komponenten und IT im Geltungsbereich der registrierten Anlagen betreffen und müssen an das BSI gemeldet werden. KRITIS-Betreiber müssen sich davor registrieren.

Meldepflichten im BSIG (bis 2024)
Meldepflichten in NIS2 (ab 2024)

Um Störungen melden zu können, sind Prozesse und Systeme zur Erkennung von Cyber-Angriffen notwendig, welche der KRITIS-Organisation beim Betreiber die notwendigen Informationen für zentrale Meldungen ans BSI liefern. Weiterhin ist auch der Einsatz bestimmter IT-Systeme, der kritischen Komponenten, an das BSI/BMI meldepflichtig.

Mit NIS2 kommen ab 2024 auf betroffene Unternehmen viele Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten hinausgehen. Einrichtungen und Betreiber müssen dem BSI (und teilweise BBK) Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen.

Meldepflichten im BSIG (bis 2024)

Meldepflichtige Störungen

Nach §8b Abs. 4 BSIG müssen von KRITIS-Betreibern zwei Klassen von IT-Störungen gemeldet werden, definiert als Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse:

Störungen, die zum Ausfall oder erheblichen Beeinträchtigung der KRITIS-Anlage geführt haben.
Erhebliche Störungen, die zum Ausfall oder erheblichen Beeinträchtigung der KRITIS-Anlage führen können.

Seit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber dem BSI bei erheblichen Störungen auf Nachfrage Informationen zur Störungsbewältigung zur Verfügung stellen, einschließlich personenbezogener Daten — nach dem neuen §8b (4a) BSIG.

Das BSI hat im Portal eine Seite mit FAQ zur Erläuterung eingerichtet — die Leitfrage bei der Beurteilung sollte sein: Ist die (mögliche) Einschränkung relevant für die Versorgungslage?.

Meldeweg

Die Störungsmeldungen an das BSI werden über das Melde- und Informationsportal (MIP) beim BSI abgegeben. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare sowie Anlagen sind unten in den Links zu finden. Die Meldungen können im Portal mit S/MIME und PGP verschlüsselt werden, die Übermittlung erfolgt nach Traffic Light Protokoll (TLP).

Meldungen müssen unverzüglich nach Erkennen der IT-Störung abgesetzt werden, das BSI selbst schreibt: Für die Erstmeldung gilt grundsätzlich: Schnelligkeit vor Vollständigkeit.

Inhalt der Meldung

Im Portal werden die folgenden Inhalte für die Meldung in Formularen abgefragt:

Betreiber
Allgemeine Angaben zum KRITIS-Betreiber, betroffenen Anlage(n) und Kontaktdaten der Meldenden.
Vorfall
Allgemeine Angaben zur Meldung, Einschätzung der Lage und betroffener KRITIS-Anlage, KRITIS-Sektor und kritischen Dienstleistung.
IT-Störung
Beschreibung der betroffenen IT und Umstände der IT-Störung.
Ursachen
Beschreibung möglicher Ursachen der IT-Störung wie Schäden, technisches oder organisatorisches Versagen oder Angriffe.
IT-Angriff
Falls feststellbar, detaillierte Angaben zum IT-Angriff, Motivation und Hintergründe, und Informationen zu verfügbaren Daten und möglichen weiteren Schritten.
Ausfall Anlage oder Dienstleistung
Umfangreichere Angaben zu den (möglichen) Konsequenzen der Störung auf die KRITIS-Anlage und kritische Dienstleistung in der Versorgungssicherheit — betroffene Personen, Regionen, Zeiten etc.

Nach der Meldung

Der weitere Ablauf nach Absenden der Erst- und Folgemeldungen hängt vom Verlauf der Störung beim Betreiber und den genauen Sachverhalten ab.

Betreiber

Der Betreiber bewältigt die Störung alleine (z.B. Wiederherstellung der IT, Austausch von Komponenten) bzw. die Störung erledigt sich (z.B. Wiederherstellung vom Strom).
Die Betreiber entscheiden selbst über die Einbindung weiterer Behörden und mögliche Strafverfolgung, wenn nötig.

BSI

Das BSI wertet die Störung aus und erstellt, wenn notwendig, Warnmeldungen an andere Betreiber. Bei weiterem Informationsbedarf wendet sich das BSI wieder an den Betreiber.
Das BSI kann in speziellen Fällen Betreiber bei der Bewältigung unterstützen (MIRT).
Das BSI erstellt ein eigenes KRITIS-Lagebild und wertet Störungen mit BBK und weiteren Behörden für den Schutz Kritischer Infrastrukturen aus.
Das BSI kann von Amts wegen je nach Indikatoren in der Störungsmeldung weitere Aufsichts- oder Sicherheitsbehörden einbinden wie BKA oder BfV.

Meldepflichten in NIS2 (ab 2024)

Situation ab 2024

Das Gesetz zur Umsetzung von NIS2 und Stärkung der Cybersicherheit, die NIS2-Umsetzung, tritt ab 2024 in Kraft. Es überführt EU-weite Mindeststandards für Cybersecurity in deutsche Regulierung und erweitert die bisherigen BSIG-Meldepflichten deutlich.

Das NIS2-Umsetzungsgesetz definiert keine Übergangsfristen für die Umsetzung der Security-Maßnahmen und Pflichten. Die Vorgaben zum Meldewesen sind daher ab Inkrafftreten der NIS2-Umsetzung im Oktober 2024 zu befolgen.

Dieser Abschnitt baut auf dem letzten Diskussionspapier NIS2UmsuCG von September 2023 auf.

Meldewesen

Mit NIS2 kommen auf betroffene Einrichtungen viele Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten (KRITIS) hinausgehen.

Sicherheitsvorfälle

Die verschiedenen Arten von potenziell meldepflichtigen Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: §2 (1)

Erheblicher Sicherheitsvorfall: Ein Sicherheitsvorfall, der entweder –
- schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht oder verursachen kann,
- andere durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder beeinträchtigen kann.
Sicherheitsvorfall: Beeinträchtigt die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von über IT angebotenen Daten oder Diensten.
IT meint hier informationstechnische Systeme, Komponenten und Prozesse.
Beinahevorfall: Ein potenzieller Sicherheitsvorfall, der verhindert wurde oder nicht eintrat.
Erhebliche Cyberbedrohung: Eine Cyberbedrohung (nach Art. 2 Nr. 8 EU 2019/881), die das Potenzial besitzt, die IT erheblich zu beeinträchtigen; erheblich = wenn sie erheblichen materiellen oder immateriellen Schaden verursachen kann.

Die Definition erheblicher Sicherheitsvorfälle kann entweder durch eine Rechtsverordnung des Innenministeriums oder einen Implementing Act der EU angepasst oder konkretisiert werden. Im Zweifel haben die Implementings Acts Vorrang vor Rechtsverordnung und Gesetz. §2 (2)

Meldepflichten

Besonders wichtige Einrichtungen (damit auch Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI erhebliche Sicherheitsvorfälle melden – in sehr kurzen Fristen, innerhalb von 24 Stunden, und mit stufenweisen Folgemeldungen: §32

Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, spätestens aber innerhalb von 24h nach Kenntniserlangung mit Angabe, ob der Vorfall möglicherweise auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte
Meldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bestätigung oder Aktualisierung der Erstmeldung sowie Bewertung des Vorfalls (Schwere, Auswirkungen, Kompromittierung)
Zwischenmeldungen auf Nachfrage des BSI
Abschlussmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
Alternativ eine Fortschrittsmeldung, falls der Vorfall nach einem Monat noch andauert (Abschlussmeldung dann einen Monat nach Abschluss der Bearbeitung des Vorfalls
Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden

Das BSI richtet die Meldemöglichkeit im Einvernehmen mit dem BBK ein, für das KRITIS-Dachgesetz. Zusätzlich kann das BSI weitere Vorgaben zum Meldeverfahren erlassen. §32 (4)

Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) unverzüglich zu unterrichten, wenn der erbrachte Dienst beeinträchtigt werden könnte. §35 (1)

Einrichtungen der Sektoren Finanz- und Versicherungswesen, IT und TK, und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffenen Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstützungsangeboten und Informationen. Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.

Weitere Informationen

Formulare und Links

BSI: Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz, Bundesamt für Sicherheit in der Informationstechnik
Melde- und Informationsportal (MIP) Registrierung für die Meldestelle KRITIS des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Literatur

KRITIS-Informationen - IT-Störungen melden, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
KRITIS-FAQ: FAQ zur Meldepflicht, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz, Bundesamt für Sicherheit in der Informationstechnik
Kritische Infrastrukturen und weitere meldepflichtige Unternehmen: Einen Vorfall bewältigen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik

Quellen

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist