Meldepflicht

15:23 16 Juni in IT-Sicherheitsgesetz OnePage

Neben den Sicherheitspflichten des § 8a BSIG stellt die Meldepflicht gem. § 8b Abs. 4 BSIG einen wesentlichen Regelungsaspekt des IT-SicherheitsG dar. Danach haben Betreiber von KRITIS erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen KRITIS führen können oder geführt haben, über eine Kontaktstelle unverzüglich an das BSI zu melden.

Bei der Kontaktstelle handelt es sich um eine Stelle, die die Betreiber von KRITIS gem. § 8 b Abs. 3 BSIG dem BSI binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1 BSIG benennen müssen, die als ständiger Ansprechpartner für die Kommunikation mit dem BSI u.a. hinsichtlich Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung (vgl. § 3 Abs. 1 Satz 2 BSIG) jederzeit erreichbar sein müssen. Darüber hinaus besteht gem. § 8b Abs. 5 BSIG für Betreiber von KRITIS aus dem gleichen Sektor die Möglichkeit, auf freiwilliger Basis eine übergeordnete gemeinsame Ansprechstelle zu benennen, wodurch die Kommunikation mit dem BSI vorrangig über diese Stelle erfolgen würde.

Die o.g. Störungsmeldung muss dabei Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Bei dem Begriff der Störung ist eine Orientierung an der höchstrichterlichen Rechtsprechung zu § 100 Abs. 1 TKG geboten, die eine Störung annimmt, wenn „die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken. Insbesondere sollen darunter Fälle fallen, in denen Sicherheitslücken oder Befall mit Schadprogrammen, außergewöhnliche und unerwartete technische Defekte mit IT-Bezug oder erfolgte, versuchte oder erfolgreich abgewehrte Angriff auf die Sicherheit in der Informationstechnik.

Zu beachten ist, dass § 8b Abs. zwei Arten der Störungsmeldungen regelt. Zum einen die pseudonymisierte Störungsmeldung und zum anderen die Störungsmeldung unter Nennung des Betreibers. Letztere Variante ist allerdings nur notwendig, wenn von Erheblichkeit der Störung ausgegangen werden kann. Erheblichkeit liegt dann vor, wenn durch Sie die Funktionsfähigkeit der erbrachten kritischen Dienstleistung bedroht ist. Dies ist insbesondere bei IT-Störungen der Fall, welche nicht bereits automatisiert oder mit geringem Aufwand im Wege der nach § 8a als „Stand der Technik“ beschriebenen Maßnahmen abgewehrt werden können. Das Ausmaß der Meldepflicht soll zukünftig für Betreiber von KRITIS noch deutlicher ausgestaltet werden. Hierzu wird der BSI u.a. unter Mithilfe durch die Aufsichtsbehörden Kriterien für meldungsrelevante Sicherheitsvorfälle aufstellen.

Im Falle einer Störung im Sinne des § 8b Abs. 4 BSIG kann das BSI gem. § 8b Abs. 6 BSIG im Übrigen vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung derartiger Störungen verlangen, soweit dies erforderlich ist.

Bei schweren Cyber-Attacken will das BSI betroffene Behörden und Unternehmen ab dem Jahr 2017 mit einer „Cyber-Feuerwehr“ unterstützen. Das BSI verfolgt damit das Ziel, dass bei Unternehmen, insbesondere Betreibern von KRITIS, losgelöst von etwaigen Meldepflichten, die Bereitschaft wächst, im Fall von Cyber-Attacken ohne langes Zögern die Hilfe von geschulten Experten des BSI in Anspruch zu nehmen. Des Weiteren will das BSI damit auch eine Vertrauensbasis bei den Unternehmen schaffen, da sich bisher der Eindruck verfestigt hat, das Unternehmen aufgrund von Sorge um ihren Ruf bzw. dem Verlust von sensiblen Unternehmensdaten, von der Möglichkeit bzw. ihrer Pflicht zu Meldungen keinen Gebrauch gemacht haben. Konkret sollen die sog. „Mobile Incident Response Teams“ (MIRT) im Fall von Cyber-Attacken Betroffenen einzelfallbezogene Hilfestellungen geben und darüber hinaus deren geschädigte bzw. geschwächte IT-Infrastruktur ohne großen Zeitverlust stabilisieren. Zum gegenwärtigen Zeitpunkt soll die „Cyber-Feuerwehr“ ein Team aus 20 Personen umfassen, wobei das BSI sich vorbehält in Fällen mit akutem Bedarf das Kontingent durch weitere Mitarbeiter aus dem Mitarbeiterpool des BSI aufzustocken.