Registrierung
Unternehmen, die sich als eine wichtige oder besonders wichtige Einrichtung nach NIS2 identifiziert haben oder kritische Anlagen betreiben, müssen sich selbst beim BSI registrieren. Für den Austausch mit dem BSI zu Vorfällen und Meldungen der KRITIS-Anlagen müssen Betreiber eine Kontaktstelle einrichten. Alles über BSI-Portale.
Die Registrierung läuft nach der Feststellung der eigenen Betroffenheit in folgenden Schritten ab.
Registrierung mit NIS2 und KRITIS
Anmeldung beim BSI
Einrichtungen und Betreiber müssen sich selbst identifizieren und anschließend beim BSI registrieren. Die Registrierung geschieht über das Melde- und Informationsportal (MIP) beim BSI.
Im MIP werden ebenfalls Meldungen an das BSI abgegeben und Informationen mit dem BSI über das Traffic Light Protokoll (TLP) ausgetauscht. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare und Anlagen sind unter Formulare und Links zu finden.
Einrichtungen
Besonders wichtige und wichtige Einrichtungen müssen sich nach §33 Abs. 1 BSIG-E innerhalb von drei Monaten beim BSI registrieren. Dabei müssen folgende Angaben gemacht werden:
- Name inkl. Rechtsform und ggf. Handelsregisternummer
- Anschrift und aktuelle Kontaktdaten inkl. Mail-Adresse und Telefonnummern, öffentliche IP-Adressbereiche
- Sektor und ggf. Branche (registrierte Einrichtungsart)
- Auflistung aller EU-Staaten mit Geschäftstätigkeiten (der registrierten Einrichtungsart)
- zuständige Aufsichtsbehörden für die Geschäftstätigkeit (der registrierten Einrichtungsart)
Änderungen bei den Registrierungsangaben müssen unverzüglich, spätestens jedoch zwei Wochen nach Kenntnis der Änderung, mitgeteilt werden. §33 (5) BSIG
Betreiber kritischer Anlagen
Betreiber kritischer Anlagen (KRITIS) müssen sich genau registrieren wie Einrichtungen und nach §33 (2) BSIG-E zusätzliche Informationen angeben:
- Erbrachte kritische Dienstleistung
- Zum Einsatz kommende Typen von kritischen Komponenten* (neu)
- Öffentlichen IP-Adressbereiche der von ihnen betriebenen Anlagen
- Anlagenkategorie und Versorgungskennzahlen
- Standort der Anlagen
- Kontaktstelle, über die der Betreiber jederzeit erreichbar ist
Änderungen bei den Registrierungsangaben müssen unverzüglich, spätestens jedoch zwei Wochen nach Kenntnis der Änderung, mitgeteilt werden. Geänderte Versorgungskennzahlen sowie Änderungen der eingesetzten Typen von kritischen Komponenten müssen einmal jährlich übermittelt werden. §33 (5) BSIG
* - Mit den letzten Änderungen am NIS2-Umsetzungsgesetz wird die Anzeigepflicht für den Einsatz kritischer Komponenten in eine laufende Registrierungspflicht überführt: Betreiber müssen Typen kritischer Komponenten bei der Registrierung und über die jährlichen Aktualisierungspflichten melden.
EU-Betreiber
Bestimmte Einrichtungen, die in der EU tätig sind und ihren Hauptsitz in Deutschland haben, müssen sich nach §34 BSIG-E innerhalb von 3 Monaten beim BSI registrieren:
- DNS-Dienste, Romain Registries und TLD Registries
- Cloud Computing (Provider), Anbieter von Rechenzentren und COntent Delivery Networks
- Managed Services und Managed Security Services Provider
- Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
Kontaktstelle
Betreiber kritischer Anlagen müssen eine Kontaktstelle nach §33 (2) BSIG-E (bisher §8b Abs. 3 BSIG) einrichten und beim BSI registrieren.
Die Betreiber müssen über diese Kontaktstelle für das BSI jederzeit erreichbar
sein — das kann durch eine KRITIS-Organisation beim Betreiber zentral übernommen oder gesteuert werden.
Jederzeit erreichbar bedeutet in der Praxis, dass Betreiber über die registrierte Kontaktstelle rund um die Uhr (24/7) in der Lage sind, BSI-Produkte zur Warnung und Information von KRITIS-Betreibern, (BSI-Produkte: Cyber-Sicherheitswarnungen, Lageinformationen etc.) entgegenzunehmen, unverzüglich zu sichten und zu bewerten (Bearbeitung der Informationen auf Zuruf).
(Quelle: BSI)
Registrierung durch das BSI
Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries auch von sich aus registrieren. Dazu kann das BSI Unterlagen und Einzelheiten von den Unternehmen anfordern, und das Verfahren noch genauer definieren. §33 (3)(4) BSIG-E
Diese Befugnis hat das BSI schon mit dem IT-Sicherheitsgesetz 2.0 bekommen und darf KRITIS-Betreiber selbst registrieren, wenn diese ihren Pflichten nicht nachkommen.
Das ist der Fall, wenn Tatsachen es rechtfertigen, dass eine Registrierungspflicht nach seiner [d.h. BSI] Überzeugung besteht
.
Es besteht dabei keine umfassende Ermittlungspflicht
, aber das BSI [ist] gehalten, dem Betreiber Gelegenheit zur Stellungnahme zu geben.
Das BSI kann auch bislang schon bei bestimmten Sachverhalten Einblick in Unterlagen von Betreibern verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen
(in alle für die Bewertung aus Sicht des BSI erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen
).
Weitere Informationen
Formulare und Links
- BSI: Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz
- Melde- und Informationsportal (MIP) Registrierung für die Meldestelle KRITIS des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Fragen und Antworten zur Registrierung (§8b Absatz 3a BSIG), Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist