KRITIS-Meldepflichten

KRITIS-Betreiber müssen Störungen in ihren KRITIS-Anlagen nach §8b Abs. 4 BSIG an das BSI melden. Meldepflichtige Störungen betreffen die Prozesse, Komponenten und IT Geltungsbereich der registrierten Anlagen und müssen über das MIP-Portal an das BSI gemeldet werden. KRITIS-Betreiber müssen sich davor registrieren.

Um Störungen ans BSI melden zu können, sind Prozesse und Systeme zur Erkennung von Cyber-Angriffen notwendig, die der KRITIS-Organisation beim Betreiber die notwendigen Informationen für zentrale Meldungen von Störungen ans BSI liefern. Die Informationspflichten ans BSI haben im IT-Sicherheitsgesetz 2.0 zugenommen — Informationen zur Störungs­bewältigung und zu kritischen Komponenten.

Vorfallsmeldungen

Meldepflichtige Störungen

Nach §8b Abs. 4 BSIG müssen von KRITIS-Betreibern zwei Klassen von IT-Störungen gemeldet werden, definiert als Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse:

  1. Störungen, die zum Ausfall oder erheblichen Beeinträchtigung der KRITIS-Anlage geführt haben.
  2. Erhebliche Störungen, die zum Ausfall oder erheblichen Beeinträchtigung der KRITIS-Anlage führen können.

Seit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber dem BSI bei erheblichen Störungen auf Nachfrage Informationen zur Störungs­bewältigung zur Verfügung stellen, einschließlich personenbezogener Daten — nach dem neuen §8b (4a) BSIG.

Das BSI hat im Portal eine Seite mit FAQ zur Erläuterung eingerichtet — die Leitfrage bei der Beurteilung sollte Ist die (mögliche) Einschränkung relevant für die Versorgungslage? sein.

Meldeweg

Die Störungsmeldungen an das BSI werden über das Melde- und Informationsportal (MIP) beim BSI abgegeben. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare und Anlagen sind unten in den Links zu finden. Die Meldungen können im Portal mit S/MIME und PGP verschlüsselt werden, Übermittlung nach Traffic Light Protokoll (TLP).

Meldungen müssen unverzüglich nach Erkennen der IT-Störung abgesetzt werden, das BSI selbst spricht von Für die Erstmeldung gilt grundsätzlich: Schnelligkeit vor Vollständigkeit.

Inhalt der Meldung

Im Portal werden die folgenden Inhalte für die Meldung in Formularen abgefragt:

  1. Betreiber
    Allgemeine Angaben zum KRITIS-Betreiber, betroffenen Anlage(n) und Kontaktdaten der Meldenden.
  2. Vorfall
    Allgemeine Angaben zur Meldung, Einschätzung der Lage und betroffener KRITIS-Anlage, KRITIS-Sektor und kritischen Dienstleistung.
  3. IT-Störung
    Beschreibung der betroffenen IT und Umständen der IT-Störung.
  4. Ursachen
    Beschreibung möglicher Ursachen der IT-Störung wie Schäden, technisches oder organisatorisches Versagen oder Angriffe.
  5. IT-Angriff
    Falls feststellbar, detaillierte Angaben zum IT-Angriff, Motivation und Hintergründe, und Informationen zur verfügbaren Daten und möglichen weiteren Schritten.
  6. Ausfall Anlage oder Dienstleistung
    Umfangreichere Angaben zu den (möglichen) Konsequenzen der Störung auf die KRITIS-Anlage und kritische Dienstleistung in der Versorgungssicherheit — betroffene Personen, Regionen, Zeiten etc.

Nach der Meldung

Der weitere Ablauf nach Absenden der Erst- und Folgemeldungen hängt vom Verlauf der Störung beim Betreiber und den genauen Sachverhalten ab.

Betreiber

  1. Der Betreiber bewältigt die Störung alleine (z.B. Wiederherstellung der IT, Austausch von Komponenten) bzw. die Störung erledigt sich (z.B. Wiederherstellung vom Strom).
  2. Die Betreiber entscheiden selbst über die Einbindung weiterer Behörden und mögliche Strafverfolgung, wenn nötig.

BSI

  1. Das BSI wertet die Störung aus und erstellt, wenn notwendig, Warnmeldungen an andere Betreiber. Bei weiterem Informationsbedarf wendet sich das BSI wieder an den Betreiber.
  2. Das BSI kann in speziellen Fällen Betreiber bei der Bewältigung unterstützen (MIRT).
  3. Das BSI erstellt ein eigenes KRITIS-Lagebild und wertet Störungen mit BBK und weiteren Behörden für den Schutz Kritischer Infrastrukturen aus.
  4. Das BSI kann von Amts wegen je nach Indikatoren in der Störungsmeldung weitere Aufsichts- oder Sicherheits­behörden einbinden wie BKA oder BfV.

Weitere Informationen

Formulare und Links

  1. BSI: Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz, Bundesamt für Sicherheit in der Informationstechnik
  2. Benutzeranleitung Melde- und Informationsportal (MIP), Bundesamt für Sicherheit in der Informationstechnik, Juni 2018
  3. Ausgefülltes Muster-Meldeformular gemäß §8b Absatz 4 BSIG, Bundesamt für Sicherheit in der Informationstechnik, 15.6.2020

Literatur

  1. KRITIS-Informationen - IT-Störungen melden, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
  2. KRITIS-FAQ: FAQ zur Meldepflicht, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz, Bundesamt für Sicherheit in der Informationstechnik
  3. Kritische Infrastrukturen und weitere meldepflichtige Unternehmen: Einen Vorfall bewältigen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik

Quellen

  1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist