Eine eigene Meldestelle ist grundsätzlich nicht erforderlich, sie kann auch mit anderen Meldestellen zusammengefasst werden. Die registrierte Kontaktstelle nach § 8f Absatz 5 BSIG, die regelmäßig auch meldende Stelle nach den Absätzen 7 und 8 ist, sollte parallel zu den Regelungen im Bereich Kritischer Infrastrukturen jedoch in Deutschland liegen. Um eine reibungslose Kommunikation zu gewährleisten, ist ein Standort bei der Anlage oder einer der Anlagen in Deutschland vorzugswürdig, ein Standort beim Sitz der deutschen juristischen Person aber ebenfalls möglich.

UBI müssen mit Inkrafttreten der Meldepflicht in der Lage sein, meldepflichtige Störungen zu erkennen. Da die Umsetzung von Informationssicherheit aber ein kontinuierlicher Prozess ist, ist es offensichtlich, dass Verbesserungen der Systeme nach und nach erfolgen.

Für Betreiber Kritischer Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse gelten unterschiedliche Voraussetzungen, wann Störungen an das BSI gemeldet werden müssen. Dies begründet sich aus dem unterschiedlichen Schutzziel, das aus Sicht des Gesetzgebers relevant ist.

KRITIS

• Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben, ODER erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.

UBI 1 und 2

• Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung geführt haben, ODER erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung führen können.

UBI 3

• Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung geführt haben. ODER erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung führen können.

Besonderheit UBI 3: Hier steht nicht die Funktionalität der Anlage insgesamt im Fokus, sondern nur der Schutz im Hinblick auf einen Störfall.

Ja, das können Sie gerne machen. Geben Sie dabei bitte, wie bei Übungen üblich, deutlich an, dass es sich um eine Test-Meldung handelt.

Störungen müssen stets gemeldet werden, auch wenn der Grund bekannt ist. Meldungen an das Bundesamt – auch im Vorfeld konkreter Schadenseintritte – sind notwendig, um eine möglichst umfassende und frühzeitige Warnung möglicherweise ebenfalls betroffener Unternehmen im besonderen öffentlichen Interesse oder auch Betreiber Kritischer Infrastrukturen zu gewährleisten und darüber hinaus fundierte Aussagen zur IT-Sicherheitslage in Deutschland treffen zu können.