Betreiber einer Kritischen Infrastruktur im Sinne von § 2 Absatz 10 BSIG müssen nach § 8b Absatz 3 BSIG dem BSI eine Kontaktstelle benennen, über die sie jederzeit erreichbar sind. An diese Adresse schickt das BSI IT-Sicherheitsinformationen.

Die Angabe eines Funktionspostfachs, d. h. keiner persönlichen E-Mail-Adresse, wird empfohlen, um die jederzeitige Erreichbarkeit zu gewährleisten.

Das BSI versteht unter der Formulierung "jederzeit erreichbar" gemäß § 8b Absatz 3 BSIG, dass Betreiber über die registrierte Kontaktstelle rund um die Uhr (24/7) in der Lage sind, BSI-Produkte zur Warnung und Information von KRITIS-Betreibern, (BSI-Produkte: Cybersicherheitswarnungen, Lageinformationen etc.) entgegenzunehmen, unverzüglich zu sichten und zu bewerten (Bearbeitung der Informationen auf Zuruf).
In der Regel werden BSI-Produkte während der üblichen Geschäftszeiten versendet. Es ist jedoch nicht auszuschließen, dass das BSI in Ausnahmefällen dringende Warnungen auch außerhalb der üblichen Geschäftszeiten, also an Feiertagen, Wochenenden oder nachts, versendet.
Das BSI gestaltet die Cybersicherheitswarnungen so, dass Dringlichkeit und (potenzieller) Handlungsbedarf aus der E-Mail-Betreffzeile (automatisiert) herausgelesen werden können. Somit können bereits existierende dauerhaft erreichbare Stellen in der Institution, z. B. Pforte, Werkschutz oder sonstige Bereitschaftsdienste, akuten Handlungsbedarf erkennen und ggf. eine Alarmierung bzw. Weiterleitung an geeignete Ansprechpartner vornehmen.
Geeignete Ansprechpartner verfügen über die fachliche Kompetenz zur Beurteilung des konkreten Vorfalls und sind in die Organisation und Prozesse zur Vorfallsbewältigung eingebunden.
Gesteigerte Anforderungen an die Verfügbarkeit einer Kontaktstelle des Betreibers ergeben sich nach einer Meldung einer IT-Störung gegenüber dem BSI. Um eine reibungslose Vorfallsbewältigung in Zusammenarbeit mit dem BSI zu gewährleisten, sollen interne (Weiterleitungs-)Prozesse eingerichtet werden, die eine Alarmierung geeigneter Ansprechpartner nach Eingang der Information auch außerhalb der üblichen Geschäftszeiten sicherstellen. Dies gilt insbesondere, wenn Sie eine IT-Störung an das BSI gemeldet haben und mit Rückfragen des BSI zu rechnen ist.

Betreiber nach TKG und AtG

Betreiber nach TKG finden spezifische Informationen auf unserer Sektor-Seite IKT.

Betreiber nach AtG finden spezifische Informationen auf unserer Sektor-Seite Energie.

Aufsichtsbehörden und sonstige zuständige Behörden

Auch Aufsichtsbehörden des Bundes und sonst zuständige Behörden werden um Benennung einer Kontaktstelle gebeten, damit das BSI ihnen relevante Informationen (Cybersicherheitswarnungen und Lageinformationen) zukommen lassen kann.

Als Behörde wenden Sie sich dazu bitte an Kritische.Infrastrukturen@bsi.bund.de.