Registrierung als KRITIS

Haben Betreiber KRITIS-Anlagen als Kritische Infrastruktur identifiziert, müssen sie sich selbst als KRITIS-Betreiber und die Anlagen beim BSI registrieren. Für den Austausch mit dem BSI zu Vorfällen und Meldungen der KRITIS-Anlagen müssen Betreiber eine Kontaktstelle einrichten und sich beim BSI über ein Portal registrieren.

Registrierung als Betreiber

Die Registrierung läuft nach der Feststellung der eigenen Betroffenheit wie folgt ab.

Kontaktstelle

KRITIS-Betreiber müssen für ihre Kritischen Infrastrukturen eine Kontaktstelle nach §8b Abs. 3 BSIG einrichten und beim BSI registrieren. Diese Kontaktstelle für die eigenen KRITIS-Anlagen muss für das BSI jederzeit erreichbar sein — und kann durch eine KRITIS-Organisation beim Betreiber zentral übernommen oder gesteuert werden.

Das BSI versteht unter der Formulierung "jederzeit erreichbar" gemäß ยง 8b Absatz 3 BSIG, dass Betreiber über die registrierte Kontaktstelle rund um die Uhr (24/7) in der Lage sind, BSI-Produkte zur Warnung und Information von KRITIS-Betreibern, (BSI-Produkte: Cyber-Sicherheitswarnungen, Lageinformationen etc.) entgegenzunehmen, unverzüglich zu sichten und zu bewerten (Bearbeitung der Informationen auf Zuruf). (Quelle: BSI)

Unmittelbare Registrierung und Offenlegung

Mit dem IT-Sicherheitsgesetz 2.0 sind KRITIS-Betreiber verpflichtet, sich unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI zu registrieren und eine Kontaktstelle zu benennen. Mit dem neuen IT-SiG 2.0 und §8b (3) Satz 2 BSIG darf das BSI Betreiber selbst als Kritische Infrastruktur registrieren, wenn diese ihren Pflichten nicht nachkommen.

Dies ist der Fall, wenn Tatsachen es rechtfertigen, dass eine Registrierungs­pflicht nach seiner [d.h. BSI] Überzeugung besteht. Es besteht dabei keine umfassende Ermittlungs­pflicht, aber das BSI [ist] gehalten, dem Betreiber Gelegenheit zur Stellungnahme zu geben.

Das BSI kann bei bestimmten Sachverhalten Einblick in Unterlagen von Betreibern verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen (in alle für die Bewertung aus Sicht des BSI erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen), nach dem neuen §8b (3a) BSIG.

Melde- und Informationsportal (MIP)

Die Registrierung beim BSI als KRITIS-Betreiber und von KRITIS-Anlagen als Kritische Infrastruktur geschieht über das Melde- und Informationsportal (MIP) beim BSI.

Dort werden ebenfalls Meldungen an das BSI abgegeben und Informationen mit dem BSI über das Traffic Light Protokoll (TLP) ausgetauscht. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare und Anlagen sind unter Formulare und Links zu finden.

Anmeldung beim BSI

Die Anmeldung beim BSI geschieht im Melde- und Informationsportal (MIP) des BSI im Formular Benennung einer Kontaktstelle. Dort werden folgende Informationen abgefragt:

  1. Angaben zur Organisation
  2. KRITIS-Sektor/Branche der Anlagen
  3. Ansprechpartner
  4. Kontaktstelle (für Meldungen)

Die KRITIS-Anlagen werden im Folgeschritt abgefragt.

Meldung von Anlagen

Im zweiten Schritt registrieren KRITIS-Betreiber im BSI-Portal MIP ihre KRITIS-Anlagen als angeschlossene Infrastrukturen.

Dort geht es um folgende Informationen der KRITIS-Anlagen:

  1. Kritische Dienstleistung der KRITIS-Anlage
  2. Anlagenkategorie der KRITIS-Anlage
  3. Größe der KRITIS-Anlage — der überschrittene Schwellenwert
  4. Versorgungsgebiet und Standort
  5. Mögliche weitere Aufsichtsbehörden

Siehe dazu auch die Ausfüllhilfe des BSI (Anlage 2) unter Formulare und Links.

Übergeordnete Ansprechstelle

Neben der eigenen Kontaktstelle können Betreiber mit anderen KRITIS-Betreibern im selben Sektor dem BSI eine gemeinsame übergeordnete Ansprechstelle benennen, nach §8b Abs. 5 BSIG. Der Informationsaustausch mit dem BSI geschieht dann in der Regel über die gemeinsame Ansprechstelle.

Weitere Informationen

Formulare und Links

Quellen

  1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist