Grunds\u00e4tzlich gilt, dass relevante Vorf\u00e4lle bei der zust\u00e4ndigen nationalen Beh\u00f6rde gemeldet werden m\u00fcssen. In Deutschland ist das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) als zentrale Cyber-Sicherheitsbeh\u00f6rde mit Sitz in Bonn zust\u00e4ndig f\u00fcr alle Arten von IT-St\u00f6rungen. Ein Vorfall muss immer dann gemeldet werden, wenn die St\u00f6rung erhebliche Auswirkungen auf die Bereitstellung \u201ewesentlicher Dienste\u201c hat. Welche Bereiche zu diesen \u201ewesentlichen Diensten\u201c z\u00e4hlen, hat der Gesetzgeber international und national im Rahmen der europ\u00e4ischen NIS-2-Richtlinie (Netzwerk & Informationssysteme) und des deutschen BSI-Gesetzes festgelegt. Darunter fallen solche Organisationen mit entsprechenden Dienstleistungen und Produkten, die eine Schl\u00fcsselrolle in der Gesellschaft und Wirtschaft einnehmen und deren St\u00f6rungen signifikante Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Aktivit\u00e4ten haben k\u00f6nnen. Konkret betrifft dies vorrangig KRITIS-Organisationen aus den Sektoren Energie, Verkehr, Gesundheit, Wasserversorgung, Finanz- und Versicherungswesen, IT, Telekommunikation, R\u00fcstung und Abfallwirtschaft.<\/p>\n
In diesen Sektoren gelten solche Sicherheitsvorf\u00e4lle als zwingend meldepflichtig, die zu erheblichen St\u00f6rungen der Verf\u00fcgbarkeit, Vertraulichkeit, Integrit\u00e4t oder Authentizit\u00e4t von IT-Systemen und IT-Daten f\u00fchren und die \u201ewesentlichen Dienste\u201c beeintr\u00e4chtigen. Betroffene Organisationen sollten dabei unbedingt schnell handeln, denn bei einem auftretenden St\u00f6rfall muss die Meldung beim BSI unverz\u00fcglich erfolgen. Juristisch gesprochen bedeutet dies eine schnelle Mitteilung von relevanten Vorf\u00e4llen \u201eohne schuldhaftes Z\u00f6gern\u201c. Hierf\u00fcr hat das BSI ein eigenes digitales Melde- und Informationsportal (MIP) eingerichtet, \u00fcber das IT-Sicherheitsrelevante Ereignisse gemeldet werden k\u00f6nnen. Die Meldung muss dabei die folgenden Informationen enthalten:<\/p>\n
Auch muss die Meldung pr\u00e4zise, vollst\u00e4ndig und vor allem rechtzeitig sein, denn der erste Bericht ist laut Gesetz unverz\u00fcglich nach Bekanntwerden des Vorfalls einzureichen. Hier gilt: Schnelligkeit geht vor Vollst\u00e4ndigkeit. Eine ausf\u00fchrliche zweite Meldung mit detaillierteren Informationen kann und sollte dann folgen, sobald weitere Details zum St\u00f6rfall bekannt sind. Bleibt die Meldung aus oder wird zu sp\u00e4t gemeldet, drohen hohe Bu\u00dfgelder und weitere rechtliche Konsequenzen.<\/p>\n
Neben der unverz\u00fcglichen Meldung sind KRITIS-Organisationen auch dazu verpflichtet, umfangreiche Dokumentationen \u00fcber die Art des Vorfalls, die betroffenen Systeme, die Auswirkungen, die unternommenen Ma\u00dfnahmen und die Kommunikation mit den staatlichen Beh\u00f6rden zu f\u00fchren. Bei Audits und Nachpr\u00fcfungen k\u00f6nnen diese Dokumentationen unter Umst\u00e4nden durch das BSI eingefordert werden. Doch die \u00f6ffentliche Stelle f\u00fcr Cyber-Sicherheit l\u00e4sst betroffene KRITIS-Organisationen bei Fragen zur Meldepflicht sowie der Einreichung und Dokumentation von Meldungen nicht allein: Das BSI und nachgelagerte Sicherheitsbeh\u00f6rden bieten weitreichende Unterst\u00fctzung zum Umgang mit Sicherheitsvorf\u00e4llen an, u.a. durch praxisorientierte Leitf\u00e4den, Schulungen zur Meldepflicht und einen Methodenkoffer mit Mini-Games und Trainingsspielen f\u00fcr den Einsatz in Organisationen der Kritischen Infrastruktur.<\/p>\n","protected":false},"excerpt":{"rendered":"
Grunds\u00e4tzlich gilt, dass relevante Vorf\u00e4lle bei der zust\u00e4ndigen nationalen Beh\u00f6rde gemeldet werden m\u00fcssen. In Deutschland ist das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) als zentrale Cyber-Sicherheitsbeh\u00f6rde mit Sitz in Bonn zust\u00e4ndig f\u00fcr alle Arten von IT-St\u00f6rungen. Ein Vorfall muss immer dann gemeldet werden, wenn die St\u00f6rung erhebliche Auswirkungen auf die Bereitstellung \u201ewesentlicher Dienste\u201c hat. […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,5,11],"tags":[],"class_list":["post-1197","post","type-post","status-publish","format-standard","hentry","category-firmen-news","category-networks","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1197"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1197\/revisions"}],"predecessor-version":[{"id":1198,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1197\/revisions\/1198"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}