Bei Störung kritischer Infrastruktur und eingetretenem Ausfall: Meldung an das BSI. Bei nur drohendem Ausfall genügt anonyme Meldung

Das Ende Juli 2015 in Kraft getretene IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen, erhebliche Störungen von IT-Systemen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden, wenn diese Störungen zu erheblichen Störungen oder Ausfällen der kritischen Infrastrukturen geführt haben oder führen können (siehe § 8b Abs. 4 des BSI-Gesetzes). Auch hier genügt bereits eine mögliche Beeinträchtigung der IT-Systeme, um die Meldepflicht auszulösen. Es muss nicht zu tatsächlichen Ausfällen gekommen sein. Bestand jedoch lediglich eine Gefährdung, ohne dass ein tatsächlicher Ausfall eintrat, so kann die Meldung ohne Nennung des Unternehmens gemacht werden. Verstöße gegen diese Pflicht können mit Bußgeldern bis zu 50.000 Euro geahndet werden.

Derzeit ist allerdings noch unklar, welche Unternehmen Adressat des IT-Sicherheitsgesetzes sein werden. Eine Konkretisierung bleibt einer noch zu erlassenden Verordnung vorbehalten. Sobald diese in Kraft tritt, gilt die Meldepflicht allerdings unmittelbar für die betroffenen Unternehmen. Anders als für die Implementierung von Sicherungsmaßnahmen sieht das IT-Sicherheitsgesetz keine Umsetzungsfrist vor.

Das Gesetz verlangt, dass die Meldung Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, der vermuteten oder tatsächlichen Ursache, der betroffenen IT-Systeme, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthält.

Entsprechende Regelungen gibt es für die Betreiber von Telekommunikationsdiensten, im Energiewirtschaftsgesetz und im Atomgesetz. Die nach diesen Regelungen Verpflichteten unterliegen schon jetzt entsprechenden Meldepflichten; die oben genannte Verordnung ist für sie nicht einschlägig.

Zurück zur Übersicht