Kritische Infrastrukturen und weitere meldepflichtige Unternehmen: Einen Vorfall bewältigen, melden, sich informieren, vorbeugen
Ich muss oder möchte einen Vorfall melden.
Betreiber Kritischer Infrastrukturen und Betreiber von Energieversorgungsnetzen
Für Betreiber Kritischer Infrastrukturen, die oberhalb der Schwellenwerte der BSI-Kritisverordnung liegen, gilt bei IT-Störungen die Meldepflicht des § 8b Absatz 4 BSIG. Diese Betreiber verfügen über etablierte Kontakt- und Meldewege, um mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kontakt zu treten und Meldungen abzugeben.
Mit dem Gesetz zur Umsetzung der der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) erweiterte sich diese Meldepflicht auf alle Energieversorgungsnetzbetreiber gemäß § 11 Absatz 1c EnWG.
Für Betreiber Kritischer Infrastrukturen unterhalb der Schwellenwerte der BSI-Kritisverordnung, gilt diese Meldepflicht nicht, mit Ausnahme der der Betreiber von Energieversorgungsnetzen. Sie können dennoch freiwillige Meldungen über IT-Sicherheitsvorfälle und Cyber-Angriffe über das Meldeformular auf der Webseite des Melde- und Informationsportals des BSI abgeben.
Anbieter digitaler Dienste
Für Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Cloud-Computing-Dienste) gilt die Meldepflicht auf Grundlage des § 8c Absatz 3 BSIG. Die Meldepflicht gilt für Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung digitaler Dienste haben, die innerhalb der Europäischen Union erbracht werden.
Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikationsdienste
Betreiber von Telekommunikationsnetzen und Telekommunikationsdiensten haben bei Sicherheitsverletzungen die Meldepflicht gemäß § 109 Absatz 5 TKG zu befolgen und diese an das BSI sowie die Bundesnetzagentur zu melden.
Meldepflicht nach der Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS-Verordnung)
Gemäß der eIDAS-Verordnung sind qualifizierte und nicht qualifizierte Vertrauensdiensteanbieter dazu verpflichtet, dem BSI unverzüglich jede Sicherheitsverletzung oder jeden Integritätsverlust zu melden, die bzw. der sich erheblich auf den erbrachten Vertrauensdienst oder die darin vorhandenen personenbezogenen Daten auswirkt. Die Meldung hat in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme von dem betreffenden Vorfall zu erfolgen.