Registrierung
Unternehmen, die sich als eine wichtige oder besonders wichtige Einrichtung nach NIS2 identifiziert haben oder kritische Anlagen betreiben, müssen sich selbst beim BSI registrieren. Für den Austausch mit dem BSI zu Vorfällen und Meldungen der KRITIS-Anlagen müssen Betreiber eine Kontaktstelle einrichten.
Die Registrierung läuft nach der Feststellung der eigenen Betroffenheit in folgenden Schritten ab.
Registrierung mit NIS2 und KRITIS
Anmeldung beim BSI
Einrichtungen und Betreiber müssen sich selbst identifizieren und anschließend beim BSI registrieren. Die Registrierung geschieht über das Melde- und Informationsportal (MIP) beim BSI.
Im MIP werden ebenfalls Meldungen an das BSI abgegeben und Informationen mit dem BSI über das Traffic Light Protokoll (TLP) ausgetauscht. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare und Anlagen sind unter Formulare und Links zu finden.
Einrichtungen
Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren. Dabei müssen folgende Angaben gemacht werden:
- Name inkl. Rechtsform und ggf. Handelsregisternummer
- Anschrift und aktuelle Kontaktdaten inkl. Mail-Adresse und Telefonnummern, öffentliche IP-Adressbereiche
- Sektor und ggf. Branche
- Auflistung aller EU-Staaten mit Geschäftstätigkeiten
- zuständige Aufsichtsbehörden für die Geschäftstätigkeiten
Änderungen der registrierten Daten müssen jährlich an das BSI gemeldet werden, alle andere Angaben
unverzüglich, innerhalb von zwei Wochen.
Betreiber kritischer Anlagen
Betreiber kritischer Anlagen (KRITIS) müssen dieselben Angaben wie Einrichtungen machen und zusätzlich angeben:
- erbrachte kritische Dienstleistung
- öffentliche IP-Adressbereiche der kritischen Anlagen
- Anlagenkategorie und ermittelte Versorgungskennzahlen
- Standort der Anlagen
- Kontaktstelle
EU-Betreiber
Bestimmte Einrichtungen, die in der EU tätig sind und ihren Hauptsitz in Deutschland haben, müssen sich innerhalb von 3 Monaten beim BSI registrieren:
- DNS-Dienste, Romain Registries und TLD Registries
- Cloud Computing (Provider), Anbieter von Rechenzentren und COntent Delivery Networks
- Managed Services und Managed Security Services Provider
- Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
Kontaktstelle
Betreiber kritischer Anlagen müssen eine Kontaktstelle nach §33 Abs. 2 BSIG-E (bisher §8b Abs. 3 BSIG) einrichten und beim BSI registrieren.
Die Betreiber müssen über diese Kontaktstelle für das BSI jederzeit erreichbar
sein — das kann durch eine KRITIS-Organisation beim Betreiber zentral übernommen oder gesteuert werden.
Das BSI versteht unter der Formulierung "jederzeit erreichbar" gemäß § 8b Absatz 3 BSIG, dass Betreiber über die registrierte Kontaktstelle rund um die Uhr (24/7) in der Lage sind, BSI-Produkte zur Warnung und Information von KRITIS-Betreibern, (BSI-Produkte: Cyber-Sicherheitswarnungen, Lageinformationen etc.) entgegenzunehmen, unverzüglich zu sichten und zu bewerten (Bearbeitung der Informationen auf Zuruf). (Quelle: BSI)
Neben der eigenen Kontaktstelle ist auch die Benennung einer gemeinsamen Kontaktstelle denkbar, wie sie bisher in §8b Abs. 5 BSIG als übergeordnete Ansprechstelle
definiert war. Die Möglichkeit ist mit NIS2 aber nicht mehr explizit im Gesetz vorgesehen.
Registrierung durch das BSI
Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries auch von sich aus registrieren. Dazu kann das BSI Unterlagen und Einzelheiten von den Unternehmen anfordern, und das Verfahren noch genauer definieren.
Diese Befugnis hat das BSI schon mit dem IT-SiG 2.0 bekommen und darf (durfte) KRITIS-Betreiber selbst registrieren, wenn diese ihren Pflichten nicht nachkommen.
Das ist der Fall, wenn Tatsachen es rechtfertigen, dass eine Registrierungspflicht nach seiner [d.h. BSI] Überzeugung besteht
.
Es besteht dabei keine umfassende Ermittlungspflicht
, aber das BSI [ist] gehalten, dem Betreiber Gelegenheit zur Stellungnahme zu geben.
Das BSI kann auch bislang schon bei bestimmten Sachverhalten Einblick in Unterlagen von Betreibern verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen
(in alle für die Bewertung aus Sicht des BSI erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen
), nach dem neuen §8b (3a) BSIG.
Weitere Informationen
Formulare und Links
- BSI: Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz
- Melde- und Informationsportal (MIP) Registrierung für die Meldestelle KRITIS des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Fragen und Antworten zur Registrierung (§8b Absatz 3a BSIG), Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist