Übersicht und Erläuterung der Meldestellen

Meldestelle Allianz für Cybersicherheit

Unternehmen und Organisationen haben die Möglichkeit, über das Meldeformular auf der Webseite des Melde- und Informationsportals des BSI einen Sicherheitsvorfall zu melden. Diese Meldungen werden verwendet, um ein verlässliches und aussagekräftiges Lagebild zu erstellen, mögliche Zusammenhänge zu erkennen und darauf basierend entsprechende Maßnahmen einleiten oder Warnungen aussprechen zu können. Wenn Sie eine Kontaktmöglichkeit übermitteln, kann das BSI im Rahmen freier Kapazitäten auf Wunsch auf Sie zukommen. Gerne können Sie aber auch eine anonyme Meldung abgeben. Wie eine Meldung zu einem IT-Sicherheitsvorfall bestenfalls aussehen sollte, erläutern wir in dieser FAQ-Liste.

Meldestelle Bund (§ 4 BSIG)

Nach § 4 Abs. 3 BSIG sind Bundesbehörden verpflichtet, das BSI unverzüglich zu unterrichten, wenn dort für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderliche Informationen bekannt werden. Die Einzelheiten des Meldeverfahrens wurden in einer allgemeinen Verwaltungsvorschrift zur Durchführung des Absatzes 3 des BSIG festgelegt.

Meldestelle Cyber-Sicherheitsnetzwerk

Alle registrierten Helferinnen und Helfer des Cyber-Sicherheitsnetzwerks - also Digitale Ersthelfer, Vorfall-Praktiker und Vorfall-Experten - sowie IT-Sicherheitsdienstleister bekommen Zugang zur Meldestelle des CSN. Dort geben sie digital anonymisierte Bericht zu den von ihnen im Rahmen des CSN bearbeiteten IT-Sicherheitsvorfällen ab. Diese Vorfallsberichte werden für die Erstellung eines zuverlässigen und umfassenden Lagebildes verwendet und sind ein wichtiger Sensor für die IT-Sicherheitslage bei Privatpersonen und KMU.

Meldestelle KRITIS

IT-Sicherheitsgesetz, BSI-Gesetz und BSI-Kritisverordnung

Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) leistet die Bundesregierung einen Beitrag dazu, die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen. Insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) - wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung - hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt somit, speziell im Bereich der Kritischen Infrastrukturen, eine wichtige und zentrale Rolle.

Ziel des IT-Sicherheitsgesetzes ist aber auch die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet. Daher gelten einzelne Regelungen des IT-Sicherheitsgesetzes auch für Betreiber von kommerziellen Webangeboten. Auch diese müssen höhere Anforderungen an ihre IT-Systeme erfüllen. Auch Telekommunikationsunternehmen sind künftig stärker gefordert. Sie werden verpflichtet, ihre Kunden zu warnen, wenn sie einen Missbrauch eines Kundenanschlusses feststellen. Zusätzlich sollen sie Betroffenen, wenn möglich, Lösungsmöglichkeiten aufzeigen. Die zuständige Aufsichtsbehörde ist in diesen Fällen die Bundesnetzagentur. Um diese Ziele zu erreichen, wurden u. a. die Aufgaben und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgeweitet.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, welches bestehende Gesetze, u. a. das BSI-Gesetz, ändert. Das BSI-Gesetz (BSIG) definiert im § 2 Absatz 10 Kritische Infrastrukturen.

Kritische Infrastrukturen im Sinne des BSIG sind Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne des BSIG werden durch die Rechtsverordnung nach § 10 Absatz 1 BSIG näher bestimmt.

Welche Einrichtungen, Anlagen oder Teile davon wegen ihrer Bedeutung für die Versorgung der Bevölkerung und damit für das Funktionieren des Gemeinwesens als Kritische Infrastrukturen im Sinne des BSIG gelten, wird durch die BSI-Kritisverordnung definiert. Ob ein bedeutender Versorgungsgrad vorliegt, ist vom Erreichen oder Überschreiten von in der BSI-Kritisverordnung aufgeführten Schwellenwerten abhängig. Werden diese Schwellenwerte erreicht oder überschritten, gelten für KRITIS-Betreiber die gesetzlichen Melde- und Nachweispflichten des BSIG.

Weitere Informationen und FAQ zu verschiedenen Themen rund um KRITIS finden Sie auf den Internetseiten des KRITIS-Fachbereichs.

Kontaktstelle benennen

Betreiber Kritischer Infrastrukturen

Betreiber einer Kritischen Infrastruktur im Sinne von § 2 Absatz 10 BSIG müssen nach § 8b Absatz 3 BSIG dem BSI eine Kontaktstelle benennen, über die sie jederzeit erreichbar sind. An diese Adresse schickt das BSI IT-Sicherheitsinformationen.

Betreiber von Energieversorgungsnetzen und von Energieanlagen (EnWG)

Gemäß § 11 Absatz 1d Gesetz über die Elektrizitäts- und Gasversorgung (EnWG) sind Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, dazu verpflichtet, Ihre Anlagen beim BSI zu registrieren und eine Kontaktstelle zu benennen. Auf Basis dieser Registrierung müssen die Betreiber dem BSI IT-Störungen melden (vgl. § 11 Absatz 1c EnWG). Diese Verpflichtungen betreffen alle Betreiber von Energieversorgungsnetzen, unabhängig von den in der BSI-Kritisverordnung genannten Schwellenwerten.

Meldepflicht

Die Meldepflicht gemäß § 8b Absatz 4 BSIG betrifft Betreiber Kritischer Infrastrukturen, die anhand der in der BSI-Kritisverordnung festgesetzten Schwellenwerte als Kritische Infrastrukturen im Sinne des BSIG identifiziert wurden.

Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes als Kritische Infrastruktur bestimmt wurden, müssen dem BSI IT-Störungen melden (vgl. § 11 Absatz 1c EnWG). Die Verpflichtung zur Meldung von IT-Störungen an das BSI betrifft alle Betreiber von Energieversorgungsnetzen, unabhängig davon, ob sie nach der BSI-Kritisverordnung den Schwellenwert als Kritische Infrastrukturen überschreiten.

Detaillierte Informationen erhalten Sie in den FAQ zur Meldepflicht.

Registrierung

Sofern Ihre Institution bereits registriert ist, können Sie sich mit Ihrem Benutzernamen und dem Passwort über den „Login“-Link anmelden. Die Registrierung einer Institution können Sie über den Link „Registrierung“ beginnen. Die Anleitung zur Registrierung finden Sie hier. Ihre Registrierungsangaben werden im BSI überprüft und die registrierte Institution wird für die Meldestelle KRITIS im MIP freigeschaltet. Nach dem Absenden der Registrierung wird das BSI Sie zum Fortschritt Ihrer Registrierung per E-Mail informieren.

Der Zugang zum Informationsbereich des Melde- und Informationsportals (MIP) ist erst nach vollständig abgeschlossenem Registrierungsvorgang möglich. Erst nach der Registrierung können meldepflichtige Betreiber im Melde- und Informationsportal Meldungen an das BSI schicken sowie (Lage-)Informationen und Produkte vom BSI einsehen.

Registrierung für Behörden / Aufsichtsbehörden/ Zentrale Kontaktstellen der Länder

Die zuständigen Aufsichtsbehörden und sonst zuständigen Behörden des Bundes und der Länder sowie die von den Ländern zu diesem Zweck benannten zentralen Kontaktstellen können sich nicht über das MIP registrieren. Diese Institutionen bitten wir, sich mit entsprechenden Formularen beim BSI zu registrieren. Bitte fordern Sie die Formulare per E-Mail an bei: Kritische.Infrastrukturen@bsi.bund.de

Behörden, die KRITIS-Anlagen betreiben, registrieren sich über das Melde- und Informationsportal mit dem Online-Registrierungsformular als Betreiber Kritischer Infrastrukturen.

Änderungen an den Registrierungsdaten an das BSI übermitteln

Bei Änderungen Ihrer Registrierungsdaten bitte KEINE weitere Registrierung im Meldeportal vornehmen. Stattdessen melden Sie sich bitte im Meldeportal an und laden im Menü „Informationen (Kategorie: KRITIS-Formulare)“ folgende Formulare herunter:

  • für Änderungen an den Institutionsdaten das Formular „aenderung-kontaktstelle.pdf“
  • für Änderungen an den registrierten Kritischen Infrastrukturen oder Neuanmeldungen von Kritischen Infrastrukturen das Formular „Anlage KRITIS“
  • zur Deregistrierung einer Kritischen Infrastruktur das Formular „antrag-deregistrierung-kritis.pdf“

Sie können die Formulare elektronisch bearbeiten oder alternativ ausdrucken, manuell ausfüllen und eingescannt an Kritische.Infrastrukturen@bsi.bund.de senden.

Meldestelle Luftsicherheit

Mit der Durchführungsverordnung (EU) 2019/1583 und dem zugehörigen Aufgabenübertragungserlass hat das BSI zum 31.12.2021 neue Aufgaben im Hinblick auf die Informationssicherheit in der Luftfahrt zugewiesen bekommen.

Durch die ergänzende Anlage I (zum NLSP) des Bundesministeriums des Inneren und für Heimat wurde das BSI als zentrale Meldestelle dazu etabliert. Alle registrierten Betreiber können über diese Meldestelle IT-Sicherheitsvorfälle, die die Luftsicherheit betreffen, melden. Weitere Informationen und FAQ finden Sie auf unserer Website.

Meldestelle Schwachstellen und Sicherheitslücken

Sollten Sie eine oder mehrere Schwachstellen in IT-Produkten, IT-Systemen oder IT-Dienstleistungen der Bundesverwaltung gefunden haben, können Sie diese vertrauensvoll über das Meldeformular an das BSI wenden. Wir nehmen jede gemeldete Schwachstelle ernst.

Sollten IT-Produkte, IT-Systeme oder IT-Dienstleistungen von Herstellern bzw. Produktverantwortliche außerhalb der Bundesverwaltung betroffen sein, sollten Sie die Schwachstelle zuerst an den Hersteller bzw. Produktverantwortlichen melden. Wenn diese nicht auf Ihre Schwachstellenmeldung reagieren oder der Abbruch des CVD-Verfahrens droht, können Sicherheitsforschende sich an das BSI wenden. Wir erwarten, dass sich an die in der Coordinated Vulnerability Disclosure (CVD) Richtlinie des BSI aufgeführten Punkte, gehalten wurde, damit Ihre Schwachstellenmeldung in unserem CVD-Prozess überführt werden kann. Weitere Informationen sowie die Richtlinie finden Sie auf der Webseite des BSI.