Registrierung
Haben Betreiber KRITIS-Anlagen als Kritische Infrastruktur identifiziert, müssen sie sich selbst als KRITIS-Betreiber und die Anlagen beim BSI registrieren. Für den Austausch mit dem BSI zu Vorfällen und Meldungen der KRITIS-Anlagen müssen Betreiber eine Kontaktstelle einrichten und sich beim BSI registrieren.
Seit dem IT-Sicherheitsgesetz 2.0 von 2021 sind KRITIS-Betreiber verpflichtet, sich unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI zu registrieren und eine Kontaktstelle zu benennen. Die Registrierung wird sich ab 2024 mit der NIS2-Umsetzung verändern: Einrichtungen kommen als Unternehmen hinzu, die Fristen verlängern sich (wohl) und es wird einen gemeinsamen Prozess mit dem BBK für das KRITIS-Dachgesetz geben.
Die Registrierung als KRITIS-Betreiber läuft nach der Feststellung der eigenen Betroffenheit in folgenden Schritten ab.
Registrierung als Betreiber
Anmeldung beim BSI
Die Registrierung von Betreibern beim BSI als Kritische Infrastruktur geschieht über das Melde- und Informationsportal (MIP) beim BSI. Dort muss eine Kontaktstelle durch Betreiber hinterlegt und eigene KRITIS-Anlagen als Kritische Infrastruktur registriert werden.
Im MIP werden ebenfalls Meldungen an das BSI abgegeben und Informationen mit dem BSI über das Traffic Light Protokoll (TLP) ausgetauscht. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare und Anlagen sind unter Formulare und Links zu finden.
Die Anmeldung beim BSI geschieht im Melde- und Informationsportal (MIP) des BSI im Formular Benennung einer Kontaktstelle. Dort werden folgende Informationen abgefragt:
- Angaben zur Organisation
- KRITIS-Sektor/Branche der Anlagen
- Ansprechpartner
- Kontaktstelle (für Meldungen)
Die KRITIS-Anlagen werden im Folgeschritt abgefragt.
Kontaktstelle
KRITIS-Betreiber müssen für ihre Kritischen Infrastrukturen eine Kontaktstelle nach §8b Abs. 3 BSIG einrichten und beim BSI registrieren.
Diese Kontaktstelle für die eigenen KRITIS-Anlagen muss für das BSI jederzeit erreichbar
sein — und kann durch eine KRITIS-Organisation beim Betreiber zentral übernommen oder gesteuert werden.
Das BSI versteht unter der Formulierung "jederzeit erreichbar" gemäß § 8b Absatz 3 BSIG, dass Betreiber über die registrierte Kontaktstelle rund um die Uhr (24/7) in der Lage sind, BSI-Produkte zur Warnung und Information von KRITIS-Betreibern, (BSI-Produkte: Cyber-Sicherheitswarnungen, Lageinformationen etc.) entgegenzunehmen, unverzüglich zu sichten und zu bewerten (Bearbeitung der Informationen auf Zuruf). (Quelle: BSI)
Meldung von Anlagen
Im zweiten Schritt registrieren KRITIS-Betreiber im BSI-Portal MIP ihre KRITIS-Anlagen als angeschlossene Infrastrukturen.
Dort geht es um folgende Informationen der KRITIS-Anlagen:
- Kritische Dienstleistung der KRITIS-Anlage
- Anlagenkategorie der KRITIS-Anlage
- Größe der KRITIS-Anlage — der überschrittene Schwellenwert
- Versorgungsgebiet und Standort
- Mögliche weitere Aufsichtsbehörden
Siehe dazu auch die Ausfüllhilfe des BSI (Anlage 2) unter Formulare und Links.
Übergeordnete Ansprechstelle
Neben der eigenen Kontaktstelle können Betreiber mit anderen KRITIS-Betreibern im selben Sektor dem BSI eine gemeinsame übergeordnete Ansprechstelle benennen
, nach §8b Abs. 5 BSIG.
Der Informationsaustausch mit dem BSI geschieht dann in der Regel über die gemeinsame Ansprechstelle.
Einsichtnahme durch das BSI
Mit dem neuen IT-SiG 2.0 und §8b (3) Satz 2 BSIG darf das BSI Betreiber selbst als Kritische Infrastruktur registrieren, wenn diese ihren Pflichten nicht nachkommen.
Dies ist der Fall, wenn Tatsachen es rechtfertigen, dass eine Registrierungspflicht nach seiner [d.h. BSI] Überzeugung besteht
.
Es besteht dabei keine umfassende Ermittlungspflicht
, aber das BSI [ist] gehalten, dem Betreiber Gelegenheit zur Stellungnahme zu geben.
Das BSI kann bei bestimmten Sachverhalten Einblick in Unterlagen von Betreibern verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen
(in alle für die Bewertung aus Sicht des BSI erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen
), nach dem neuen §8b (3a) BSIG.
Weitere Informationen
Formulare und Links
- BSI: Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz
- Melde- und Informationsportal (MIP) Registrierung für die Meldestelle KRITIS des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
- Fragen und Antworten zur Registrierung (§8b Absatz 3a BSIG), Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist