Meldepflicht für KRITIS-Organisationen mit Schlüsselrolle in Gesellschaft & Wirtschaft

Grundsätzlich gilt, dass relevante Vorfälle bei der zuständigen nationalen Behörde gemeldet werden müssen. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Cyber-Sicherheitsbehörde mit Sitz in Bonn zuständig für alle Arten von IT-Störungen. Ein Vorfall muss immer dann gemeldet werden, wenn die Störung erhebliche Auswirkungen auf die Bereitstellung „wesentlicher Dienste“ hat. Welche Bereiche zu diesen „wesentlichen Diensten“ zählen, hat der Gesetzgeber international und national im Rahmen der europäischen NIS-2-Richtlinie (Netzwerk & Informationssysteme) und des deutschen BSI-Gesetzes festgelegt. Darunter fallen solche Organisationen mit entsprechenden Dienstleistungen und Produkten, die eine Schlüsselrolle in der Gesellschaft und Wirtschaft einnehmen und deren Störungen signifikante Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Aktivitäten haben können. Konkret betrifft dies vorrangig KRITIS-Organisationen aus den Sektoren Energie, Verkehr, Gesundheit, Wasserversorgung, Finanz- und Versicherungswesen, IT, Telekommunikation, Rüstung und Abfallwirtschaft.

Unverzügliche Meldung bei erheblichen Störungen von IT-Systemen oder IT-Daten

In diesen Sektoren gelten solche Sicherheitsvorfälle als zwingend meldepflichtig, die zu erheblichen Störungen der Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität von IT-Systemen und IT-Daten führen und die „wesentlichen Dienste“ beeinträchtigen. Betroffene Organisationen sollten dabei unbedingt schnell handeln, denn bei einem auftretenden Störfall muss die Meldung beim BSI unverzüglich erfolgen. Juristisch gesprochen bedeutet dies eine schnelle Mitteilung von relevanten Vorfällen „ohne schuldhaftes Zögern“. Hierfür hat das BSI ein eigenes digitales Melde- und Informationsportal (MIP) eingerichtet, über das IT-Sicherheitsrelevante Ereignisse gemeldet werden können. Die Meldung muss dabei die folgenden Informationen enthalten:

  1. Art des Vorfalls
  2. betroffene Systeme
  3. Auswirkungen des Vorfalls
  4. mögliche Ursachen
  5. getroffene Maßnahmen zur Behebung der Störung

Auch muss die Meldung präzise, vollständig und vor allem rechtzeitig sein, denn der erste Bericht ist laut Gesetz unverzüglich nach Bekanntwerden des Vorfalls einzureichen. Hier gilt: Schnelligkeit geht vor Vollständigkeit. Eine ausführliche zweite Meldung mit detaillierteren Informationen kann und sollte dann folgen, sobald weitere Details zum Störfall bekannt sind. Bleibt die Meldung aus oder wird zu spät gemeldet, drohen hohe Bußgelder und weitere rechtliche Konsequenzen.

Dokumentationspflicht & Unterstützungsangebote

Neben der unverzüglichen Meldung sind KRITIS-Organisationen auch dazu verpflichtet, umfangreiche Dokumentationen über die Art des Vorfalls, die betroffenen Systeme, die Auswirkungen, die unternommenen Maßnahmen und die Kommunikation mit den staatlichen Behörden zu führen. Bei Audits und Nachprüfungen können diese Dokumentationen unter Umständen durch das BSI eingefordert werden. Doch die öffentliche Stelle für Cyber-Sicherheit lässt betroffene KRITIS-Organisationen bei Fragen zur Meldepflicht sowie der Einreichung und Dokumentation von Meldungen nicht allein: Das BSI und nachgelagerte Sicherheitsbehörden bieten weitreichende Unterstützung zum Umgang mit Sicherheitsvorfällen an, u.a. durch praxisorientierte Leitfäden, Schulungen zur Meldepflicht und einen Methodenkoffer mit Mini-Games und Trainingsspielen für den Einsatz in Organisationen der Kritischen Infrastruktur.


Beitrag veröffentlicht

in

, ,

von