Bundesamt für Sicherheit in der Informationstechnik

Kontaktstelle benennen

Schnell zum Abschnitt

Am 3. Mai 2016 ist die BSI-Kritisverordnung (BSI-KritisV) in Kraft getreten. Sie betrifft zunächst nur die vier Sektoren Energie, Informationstechnik und Telekommunikation (IKT), Wasser und Ernährung. Eine der Aufgaben für die betroffenen Betreiber ist die Benennung einer Kontaktstelle.

Der zweite Teil der KRITIS-Verordnung mit den Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird bis Frühjahr 2017 erwartet. Hierzu findet man den entsprechenden Referentenentwurf auf den Seiten des BMI.

Sofern Sie unter den ersten Teil der BSI-Kritisverordnung fallen, hatten Sie bis zum 3. November 2016 Zeit, sich mittels der entsprechenden Formulare auf den weiterführenden Seiten beim BSI zu registrieren. KRITIS-Betreiber, die unter den zweiten Teil der BSI-Kritisverordnung fallen, haben ab Inkrafttreten 6 Monate Zeit sich zu registrieren.

KRITIS-Betreiber

Betreiber einer Kritischen Infrastruktur im Sinne von § 2 Absatz 10 BSIG (siehe Bin ich betroffen?) haben nach § 8b Absatz 3 BSIG innerhalb von sechs Monaten nach Inkrafttreten der BSI-Kritisverordnung dem BSI eine Kontaktstelle zu benennen. An diese Adresse schickt das BSI IT-Sicherheitsinformationen.

Als Kontaktstelle ist daher ein Funktionspostfach – d. h. keine persönliche E-Mail-Adresse eines einzelnen Mitarbeiters – geeignet, um die jederzeitige Erreichbarkeit an 24 Stunden sieben Tage die Woche zu gewährleisten.

Darüber hinaus wird darauf hingewiesen, dass Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, neben der Kontaktstelle ebenfalls eine gemeinsame übergeordnete Ansprechstelle (GÜAS) benennen können.

Die Benennung einer solchen GÜAS kann im Zuge der Benennung der Kontaktstelle erfolgen. Dabei ist die Angabe der ID-Nummer der GÜAS nötig, die diese nach Registrierung vom BSI erhalten. Falls die ID-Nummer nicht bekannt ist, kann sie nachgereicht werden. Bis dahin erfolgt der Informationsaustausch über die angegebene Kontaktstelle.

KRITIS-Betreiber finden die zur Registrierung ihrer Kontaktstelle nötigen Formulare auf dem

Melde- und Informationsportal (MIP)

des BSI. Bitte füllen Sie das Registrierungsformular aus und senden es uns unterschrieben auf einem der im Formular angegebenen Wege zu.

Zu Ihrer Information, welche Daten das BSI bei der Registrierung von Ihnen benötigt, können Sie hier ein beispielhaft ausgefülltes Registrierungsformular für KRITIS-Betreiber mit dem zugehörigen Formular "Anlage 2 - Angaben zur Kritischen Infrastruktur" einsehen:

Registrierungsformular für KRITIS-Betreiber - Musterbeispiel (PDF, 115KB, Datei ist nicht barrierefrei)

Anlage 2 zum Registrierungsformular für KRITIS-Betreiber - Musterbeispiel (PDF, 160KB, Datei ist nicht barrierefrei)

Betreiber nach EnWG, TKG und AtG

Betreiber von Energieversorgungsnetzen und -anlagen sowie Betreiber öffentlicher TK-Netze sind aufgrund spezialgesetzlicher Regelungen von der Pflicht zur Benennung einer Kontaktstelle ausgenommen. Gleiches gilt für Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes (AtG). Das BSI begrüßt jedoch, wenn auch diese Betreiber eine Kontaktstelle benennen, damit das BSI relevante Informationen (Warnmeldungen und Lageinformationen) auch diesen Betreibern bzw. Genehmigungsinhabern zukommen lassen kann.

Dazu füllen Sie bitte auf dem

Melde- und Informationsportal (MIP)

des BSI das Registrierungsformular aus und senden es uns unterschrieben auf einem der im Formular angegebenen Wege zu.

Aufsichtsbehörden und sonst zuständige Behörden

Auch Aufsichtsbehörden und sonst zuständige Behörden werden um Benennung einer Kontaktstelle gebeten, damit das BSI ihnen relevante Informationen (Warnmeldungen und Lageinformationen) zukommen lassen kann. Als Behörde wenden Sie sich dazu bitte an Kritische.Infrastrukturen@bsi.bund.de.

Gemeinsame übergeordnete Ansprechstelle

Betreiber Kritischer Infrastrukturen können neben der Kontaktstelle eine gemeinsame übergeordnete Ansprechstelle (GÜAS) benennen. Hierzu müssen sich einerseits die geplante GÜAS beim BSI registrieren und andererseits die Betreiber, die diese GÜAS nutzen wollen, dies in ihrer Benennung der Kontaktstelle angeben.

Bei der Benennung von GÜAS sind folgende Punkte zu beachten:

  • Eine GÜAS kann nur von Betreibern benannt werden, die dem gleichen Sektor angehören.
  • Die Aufgabe der GÜAS ist es, die vom BSI versandten Informationen stellvertretend für den Betreiber entgegenzunehmen sowie die Vorfallsmeldungen nach § 8b BSIG im Auftrag der Betreiber an das BSI zu melden.
  • Wenn eine GÜAS benannt wurde, erfolgt der Informationsaustausch zwischen dem BSI und dem Betreiber in der Regel über diese. Daher ist hier aus Eigeninteresse der Betreiber nur eine GÜAS zu benennen, der seitens der Betreiber volles Vertrauen entgegengebracht wird.
  • Die GÜAS muss eine sogenannte "Traffic Light Protocol (TLP)"-Erklärung unterzeichnen, da sie entsprechend eingestufte Dokumente zur Weiterleitung an die angeschlossenen Betreiber erhalten wird.
  • GÜAS leiten die vom BSI erhaltenen Informationen nur an Betreiber einer Kritischen Infrastruktur im Sinne von § 2 Absatz 10 BSIG weiter. Unternehmen, die Kritische Infrastrukturen betreiben, aber nicht unter die Regelungen des Gesetzes fallen, können sich an einen Single Point of Contact (SPOC) im UP KRITIS anschließen oder möglicherweise einen SPOC einrichten, um ebenfalls Warn- und Lageinformationen zu erhalten.

Sollten Sie sich als GÜAS zur Verfügung stellen wollen, füllen Sie bitte das Formular auf dem

Melde- und Informationsportal (MIP)

des BSI aus und senden es uns auf einem der im Formular angegebenen Wegen zu.

Zu Ihrer Information, welche Daten das BSI bei der Registrierung einer GÜAS von Ihnen benötigt, können Sie vorab ein beispielhaft ausgefülltes Registrierungsformular für eine gemeinsame übergeordnete Ansprechstelle einsehen:

Registrierungsformular für eine GÜAS - Musterbeispiel (PDF, 104KB, Datei ist nicht barrierefrei)

Eine Zusammenfassung mit allen Informationen für eine gemeinsame übergeordnete Ansprechstelle finden Sie in folgendem Merkblatt.

Fragen?

Bei Fragen, die über unsere FAQ hinaus gehen, wenden Sie sich bitte an Kritische.Infrastrukturen@bsi.bund.de.