Bundesamt für Sicherheit in der Informationstechnik

Neuregelungen für Betreiber von Energieversorgungsnetzen, öffentlichen Telekommunikationsnetzen und öffentlich zugänglichen Telekommunikationsdiensten

Das "Gesetz zur Umsetzung der EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" (NIS-Richtlinien-Umsetzungsgesetz) ist am 30.06.2017 in Kraft getreten.

Damit ergeben sich für Betreiber von Energieversorgungsnetzen, öffentlichen Telekommunikations-netzen und öffentlich zugänglichen Telekommunikationsdiensten folgende Neuregelungen:

Ausweitung der Meldepflicht auf alle Energieversorgungsnetzbetreiber

Die Verpflichtung zur Meldung von IT-Störungen an das BSI betraf bisher nur die Betreiber von Energieversorgungsnetzen, deren Anlagen nach der BSI-Kritisverordnung als Kritische Infrastrukturen bestimmt wurden. Mit dem Gesetz zur Umsetzung der NIS-Richtlinie erweitert sich diese Meldepflicht auf alle Energieversorgungsnetzbetreiber.

Damit eine Meldung abgegeben werden kann, muss zunächst eine Kontaktstelle beim BSI registriert werden. Zum einen kann das BSI so sicherstellen, dass eingehende Meldungen tatsächlich von Betreibern von Energieversorgungsnetzen stammen. Zum anderen werden die Betreiber damit auch in den Kreis der Empfänger von Lage- und Warninformationen des BSI aufgenommen. Aus der stetigen Informationsgewinnung des BSI werden IT-Sicherheits- und Lageinformationen erstellt, die auch nicht-öffentliche und vertrauliche Informationen umfassen. Durch die Registrierung einer Kontaktstelle beim BSI können Betreiber von Energieversorgungsnetzen diese Produkte erhalten, die ihnen beim Schutz ihrer Anlagen helfen.

Nach § 11 Absatz 1c EnWG meldepflichtige Betreiber von Energieversorgungsnetzen, die den Betrieb ihres Energieversorgungsnetzes einem vorgelagerten Netzbetreiber übertragen haben, können in Absprache mit diesem auch eine Kontaktstelle bei diesem vorgelagerten Netzbetreiber benennen. Die Verantwortung in Bezug auf die Verpflichtungen insbesondere nach § 11 Absatz 1c EnWG verbleibt aber beim Netzbetreiber selbst. Insbesondere muss die Benennung der Kontaktstelle beim BSI in jedem Falle durch den Betreiber des Energieversorgungsnetzes erfolgen.

Bitte registrieren Sie daher zunächst Ihre Kontaktstelle (siehe unten). Nach erfolgreicher Registrierung werden Ihnen auf dem Postweg umfangreiche Informationen - u. a. zur Meldepflicht (Meldeformular, Anleitung zur Durchführung einer Meldung) - zur Verfügung gestellt, sodass Ihnen im Falle einer meldewürdigen Störung etablierte und vertrauenswürdige Meldekanäle zur Verfügung stehen.

Anhand des nachfolgenden beispielhaft ausgefüllten Meldeformulars können Sie alle notwendigen Informationen, die das BSI bei einer Meldung von Ihnen benötigt, einsehen:

Meldeformular für KRITIS-Betreiber - Musterbeispiel (PDF, 406KB, Datei ist nicht barrierefrei)

Ausweitung der Meldepflicht auf alle Betreiber öffentlicher Telekommunikationsnetze und öffentlich zugänglicher Telekommunikationsdienste

Mit dem Gesetz zur Umsetzung der NIS-Richtlinie erweitert sich die bereits bestehende Meldepflicht gemäß § 109 Absatz 5 TKG insofern, dass Beeinträchtigungen von Telekommunikationsnetzen und -diensten sowohl an die Bundesnetzagentur als auch an das BSI gemeldet werden müssen. Betreiber Kritischer Infrastrukturen gemäß BSI-Kritisverordnung, die ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, müssen eine Kontaktstelle beim BSI registrieren.

Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste, die den in der BSI-Kritisverordnung genannten Schwellenwert nicht überschreiten, sind nicht verpflichtet, dem BSI eine Kontaktstelle zu benennen. Dennoch wird die Registrierung einer Kontaktstelle beim BSI empfohlen. Zum einen kann das BSI so sicherstellen, dass eingehende Meldungen tatsächlich von Betreibern öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste stammen. Zum anderen werden die Betreiber damit auch in den Kreis der Empfänger von Lage- und Warninformationen des BSI aufgenommen. Aus der stetigen Informationsgewinnung des BSI werden IT-Sicherheits- und Lageinformationen erstellt, die auch nicht-öffentliche und vertrauliche Informationen umfassen. Durch die Registrierung einer Kontaktstelle beim BSI können Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste diese Produkte erhalten, die ihnen beim Schutz ihrer Anlagen helfen.

Bitte registrieren Sie daher zunächst Ihre Kontaktstelle (siehe unten). Nach erfolgreicher Registrierung werden Ihnen auf dem Postweg umfangreiche Informationen - u. a. zur Meldepflicht (Meldeformular, Anleitung zur Durchführung einer Meldung) - zur Verfügung gestellt, sodass Ihnen im Falle einer meldewürdigen Störung gemäß § 109 Absatz 5 TKG ein vertrauenswürdiger Meldekanal ins BSI zur Verfügung steht.

Benennung einer Kontaktstelle

Betreiber von Energieversorgungsnetzen haben nach § 11 Absatz 1c) EnWG IT-Störungen ab Inkrafttreten des Gesetzes zur Umsetzung der NIS-Richtlinie über die Kontaktstelle an das BSI zu melden. Betreiber öffentlicher Telekommunikationsnetze oder öffentlich zugänglicher Telekommunikationsdienste haben nach § 109 Absatz 5 TKG Beeinträchtigungen ab Inkrafttreten des Gesetzes auch an das BSI zu melden. Dies sollte, wenn möglich, über die Kontaktstelle geschehen. An diese Adresse schickt das BSI auch IT-Sicherheitsinformationen.

Als Kontaktstelle ist daher ein Funktionspostfach – d. h. keine persönliche E-Mail-Adresse eines einzelnen Mitarbeiters – geeignet, um die jederzeitige Erreichbarkeit an 24 Stunden sieben Tage die Woche zu gewährleisten.

Betreiber finden die zur Registrierung ihrer Kontaktstelle nötigen Formulare auf dem

Melde- und Informationsportal (MIP)

des BSI. Bitte füllen Sie als Betreiber eines Energieversorgungsnetzes, öffentlichen Telekommunikationsnetzes oder öffentlich zugänglichen Telekommunikationsdienstes baldmöglichst das Registrierungsformular für Betreiber aus und senden Sie es uns unterschrieben auf einem der im Formular angegebenen Wege zu. Nutzen Sie bitte das für KRITIS-Betreiber vorgesehene Formular zusammen mit der "Anlage 2 - Angaben zur Kritischen Infrastruktur", auch wenn sie nicht unter die BSI-Kritisverordnung fallen. Die Einteilung, ob Sie Betreiber einer Kritischen Infrastruktur nach BSI-Kritisverordnung oder allgemein Betreiber eines Energieversorgungsnetzes, öffentlichen Telekommunikationsnetzes oder öffentlich zugänglichen Telekommunikationsdienstes sind, wird aus organisatorischen Gründen von den Mitarbeitern des BSI vorgenommen. Mit dem Ausfüllen dieser Formulare erklären Sie nicht, dass Sie Betreiber einer Kritischen Infrastruktur nach BSI-KritisV sind.

Zu Ihrer Information, welche Daten das BSI bei der Registrierung von Ihnen benötigt, können Sie hier ein beispielhaft ausgefülltes Registrierungsformular für KRITIS-Betreiber mit dem zugehörigen Formular "Anlage 2 - Angaben zur Kritischen Infrastruktur" einsehen:

Registrierungsformular für KRITIS-Betreiber - Musterbeispiel (PDF, 115KB, Datei ist nicht barrierefrei)

Anlage 2 zum Registrierungsformular für KRITIS-Betreiber - Musterbeispiel (PDF, 160KB, Datei ist nicht barrierefrei)

Hinweis

Für Energieversorgungsnetzbetreiber, die unter die BSI-Kritisverordnung fallen, gelten auch weiterhin die zusätzlichen Bedingungen unter "Was muss ich als KRITIS-Betreiber tun?".

Fragen?

Bei Fragen, die über unsere FAQ zum IT-Sicherheitsgesetz und die FAQ zur Meldepflicht hinaus gehen, wenden Sie sich bitte an Kritische.Infrastrukturen@bsi.bund.de. Verwenden Sie diese E-Mail-Adresse jedoch nicht für Ihre Meldungen, da über diese Adresse keine jederzeitige Erreichbarkeit sichergestellt ist.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK