KRITIS-Meldepflichten
KRITIS-Betreiber müssen Störungen in ihren KRITIS-Anlagen nach §8b Abs. 4 BSIG an das BSI melden. Meldepflichtige Störungen betreffen die Prozesse, Komponenten und IT Geltungsbereich der registrierten Anlagen und müssen über das MIP-Portal an das BSI gemeldet werden. KRITIS-Betreiber müssen sich davor registrieren.
Um Störungen ans BSI melden zu können, sind Prozesse und Systeme zur Erkennung von Cyber-Angriffen notwendig, die der KRITIS-Organisation beim Betreiber die notwendigen Informationen für zentrale Meldungen von Störungen ans BSI liefern. Die Informationspflichten ans BSI haben im IT-Sicherheitsgesetz 2.0 zugenommen — Informationen zur Störungsbewältigung und zu kritischen Komponenten.
Vorfallsmeldungen
Meldepflichtige Störungen
Nach §8b Abs. 4 BSIG müssen von KRITIS-Betreibern zwei Klassen von IT-Störungen gemeldet werden, definiert als Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse
:
- Störungen, die zum Ausfall oder erheblichen Beeinträchtigung der KRITIS-Anlage geführt haben.
- Erhebliche Störungen, die zum Ausfall oder erheblichen Beeinträchtigung der KRITIS-Anlage führen können.
Seit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber dem BSI bei erheblichen Störungen auf Nachfrage Informationen zur Störungsbewältigung zur Verfügung stellen, einschließlich personenbezogener Daten — nach dem neuen §8b (4a) BSIG.
Das BSI hat im Portal eine Seite mit FAQ zur Erläuterung eingerichtet — die Leitfrage bei der Beurteilung sollte Ist die (mögliche) Einschränkung relevant für die Versorgungslage?
sein.
Meldeweg
Die Störungsmeldungen an das BSI werden über das Melde- und Informationsportal (MIP) beim BSI abgegeben. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare und Anlagen sind unten in den Links zu finden. Die Meldungen können im Portal mit S/MIME und PGP verschlüsselt werden, Übermittlung nach Traffic Light Protokoll (TLP).
Meldungen müssen unverzüglich nach Erkennen der IT-Störung abgesetzt werden, das BSI selbst spricht von Für die Erstmeldung gilt grundsätzlich: Schnelligkeit vor Vollständigkeit.
Inhalt der Meldung
Im Portal werden die folgenden Inhalte für die Meldung in Formularen abgefragt:
- Betreiber
Allgemeine Angaben zum KRITIS-Betreiber, betroffenen Anlage(n) und Kontaktdaten der Meldenden. - Vorfall
Allgemeine Angaben zur Meldung, Einschätzung der Lage und betroffener KRITIS-Anlage, KRITIS-Sektor und kritischen Dienstleistung. -
IT-Störung
Beschreibung der betroffenen IT und Umständen der IT-Störung. -
Ursachen
Beschreibung möglicher Ursachen der IT-Störung wie Schäden, technisches oder organisatorisches Versagen oder Angriffe. -
IT-Angriff
Falls feststellbar, detaillierte Angaben zum IT-Angriff, Motivation und Hintergründe, und Informationen zur verfügbaren Daten und möglichen weiteren Schritten. -
Ausfall Anlage oder Dienstleistung
Umfangreichere Angaben zu den (möglichen) Konsequenzen der Störung auf die KRITIS-Anlage und kritische Dienstleistung in der Versorgungssicherheit — betroffene Personen, Regionen, Zeiten etc.
Nach der Meldung
Der weitere Ablauf nach Absenden der Erst- und Folgemeldungen hängt vom Verlauf der Störung beim Betreiber und den genauen Sachverhalten ab.
Betreiber
- Der Betreiber bewältigt die Störung alleine (z.B. Wiederherstellung der IT, Austausch von Komponenten) bzw. die Störung erledigt sich (z.B. Wiederherstellung vom Strom).
- Die Betreiber entscheiden selbst über die Einbindung weiterer Behörden und mögliche Strafverfolgung, wenn nötig.
BSI
- Das BSI wertet die Störung aus und erstellt, wenn notwendig, Warnmeldungen an andere Betreiber. Bei weiterem Informationsbedarf wendet sich das BSI wieder an den Betreiber.
- Das BSI kann in speziellen Fällen Betreiber bei der Bewältigung unterstützen (MIRT).
- Das BSI erstellt ein eigenes KRITIS-Lagebild und wertet Störungen mit BBK und weiteren Behörden für den Schutz Kritischer Infrastrukturen aus.
- Das BSI kann von Amts wegen je nach Indikatoren in der Störungsmeldung weitere Aufsichts- oder Sicherheitsbehörden einbinden wie BKA oder BfV.
Weitere Informationen
Formulare und Links
- BSI: Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz, Bundesamt für Sicherheit in der Informationstechnik
- Benutzeranleitung Melde- und Informationsportal (MIP), Bundesamt für Sicherheit in der Informationstechnik, Juni 2018
- Ausgefülltes Muster-Meldeformular gemäß §8b Absatz 4 BSIG, Bundesamt für Sicherheit in der Informationstechnik, 15.6.2020
Literatur
- KRITIS-Informationen - IT-Störungen melden, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
- KRITIS-FAQ: FAQ zur Meldepflicht, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz, Bundesamt für Sicherheit in der Informationstechnik
- Kritische Infrastrukturen und weitere meldepflichtige Unternehmen: Einen Vorfall bewältigen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
Quellen
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist