Registrierung als KRITIS

Haben Betreiber KRITIS-Anlagen als Kritische Infrastruktur identifiziert, müssen sie sich selbst als KRITIS-Betreiber und die Anlagen beim BSI registrieren. Für den Austausch mit dem BSI zu Vorfällen und Meldungen der KRITIS-Anlagen müssen Betreiber eine Kontaktstelle einrichten und sich beim BSI über ein Portal registrieren.

Ablauf der Registrierung

Die Registrierung läuft nach der Feststellung der eigenen Betroffenheit wie folgt ab.

Kontaktstelle

KRITIS-Betreiber müssen für ihre Kritischen Infrastrukturen eine Kontaktstelle nach §8b Abs. 3 BSIG einrichten und beim BSI registrieren. Diese Kontaktstelle für die eigenen KRITIS-Anlagen muss für das BSI jederzeit erreichbar sein — und kann durch eine KRITIS-Organisation beim Betreiber zentral übernommen oder gesteuert werden.

Das BSI versteht unter der Formulierung "jederzeit erreichbar" gemäß ยง 8b Absatz 3 BSIG, dass Betreiber über die registrierte Kontaktstelle rund um die Uhr (24/7) in der Lage sind, BSI-Produkte zur Warnung und Information von KRITIS-Betreibern, (BSI-Produkte: Cyber-Sicherheitswarnungen, Lageinformationen etc.) entgegenzunehmen, unverzüglich zu sichten und zu bewerten (Bearbeitung der Informationen auf Zuruf). (Quelle: BSI)

Melde- und Informationsportal (MIP)

Die Registrierung beim BSI als KRITIS-Betreiber und von KRITIS-Anlagen als Kritische Infrastruktur geschieht über das Melde- und Informationsportal (MIP) beim BSI.

Dort werden ebenfalls Meldungen an das BSI abgegeben und Informationen mit dem BSI über das Traffic Light Protokoll (TLP) ausgetauscht. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare und Anlagen sind unter Formulare und Links zu finden.

Anmeldung beim BSI

Die Anmeldung beim BSI geschieht im Melde- und Informationsportal (MIP) des BSI im Onlineformular Benennung einer Kontaktstelle.

Dort werden folgende Informationen abgefragt:

  1. Angaben zur Organisation
  2. KRITIS-Sektor/Branche der Anlagen
  3. Ansprechpartner
  4. Kontaktstelle (für Meldungen)

Die KRITIS-Anlagen werden im Folgeschritt abgefragt.

Meldung von Anlagen

Im zweiten Schritt registrieren KRITIS-Betreiber im BSI-Portal MIP ihre KRITIS-Anlagen als angeschlossene Infrastrukturen.

Dort geht es um folgende Informationen der KRITIS-Anlagen:

  1. Kritische Dienstleistung der KRITIS-Anlage
  2. Anlagenkategorie der KRITIS-Anlage
  3. Größe der KRITIS-Anlage — der überschrittene Schwellenwert
  4. Versorgungsgebiet und Standort
  5. Mögliche weitere Aufsichtsbehörden

Siehe dazu auch die Ausfüllhilfe des BSI (Anlage 2) unter Formulare und Links.

Übergeordnete Ansprechstelle

Neben der eigenen Kontaktstelle können Betreiber mit anderen KRITIS-Betreibern im selben Sektor dem BSI eine gemeinsame übergeordnete Ansprechstelle benennen, nach §8b Abs. 5 BSIG. Der Informationsaustausch mit dem BSI geschieht dann in der Regel über die gemeinsame Ansprechstelle.

Weitere Informationen

Formulare und Links

Quellen

  1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist