Anforderungen an Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikationsdienste

Die Regelungen des § 8a BSIG finden für Betreiber Kritischer Infrastrukturen "soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen" keine Anwendung (§ 8d Absatz 2 BSIG). Insbesondere müssen Betreiber für diese Anlagen bei der Umsetzung von Sicherheitsmaßnahmen die besonderen Anforderungen des § 8a Absatz 1 BSIG nicht einhalten und den in § 8a Absatz 3 BSIG geforderten zweijährlichen Nachweis gegenüber dem BSI nicht erbringen. Für diese Betreiber ist das TKG einschlägig. Die hier beschriebene Ausnahmeregelung gilt dabei ausschließlich für die Anlagen gemäß BSI-KritisV, die dem Telekommunikationsnetz oder dem Telekommunikationsdienst zuzuordnen sind. Für weitere Anlagen desselben KRITIS-Betreibers, z. B. einer Serverfarm für Hosting-Kunden, gilt diese Ausnahmeregelung nicht.

Keine Auswirkung auf andere gesetzliche oder regulatorische Vorgaben

Durch die Ausnahmeregelung wird ausschließlich die Anwendung des § 8a BSIG ausgeschlossen. Andere gesetzliche oder regulatorische Vorgaben sind davon unberührt. Insbesondere sei hier auf die Vorgaben des § 168 TKG verwiesen. Für diese hat die Bundesnetzagentur im Einvernehmen mit dem BSI und dem BfDI einen umfangreichen Katalog von Sicherheitsanforderungen erstellt.

nach oben

Meldepflicht für Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikationsdienste

Die Meldepflicht des § 8b Absatz 4 BSIG findet für Betreiber Kritischer Infrastrukturen "soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen" keine Anwendung (§ 8d Absatz 3 BSIG). Zur Vermeidung einer Doppelregulierung gilt in diesen Fällen die Meldepflicht des § 168 TKG.

Mit dem Gesetz zur Umsetzung der NIS-Richtlinie erweitert sich die bereits bestehende Meldepflicht insofern, dass Beeinträchtigungen von Telekommunikationsnetzen und -diensten, sofern diese zu beträchtlichen Sicherheitsverletzungen führen oder führen können, sowohl an die Bundesnetzagentur als auch an das BSI zu melden sind.

Für die Meldung an das BSI kann ebenfalls das Mitteilungsformular der Bundesnetzagentur unter Beachtung des Umsetzungskonzeptes verwendet werden, welche sich auf der Website der Bundesnetzagentur finden lassen. Für eine vertrauliche Übermittlung des Meldeformulars wird auf die FAQ zu Meldungen verwiesen.

Das BSI begrüßt darüber hinaus ausdrücklich die Abgabe freiwilliger Meldungen, da diese einen wichtigen Beitrag zur Übersicht der IT-Sicherheitslage leisten und anderen Betreibern Kritischer Infrastrukturen beim Schutz ihrer IT-Systeme helfen können.

Je früher und zuverlässiger das BSI eine sich anbahnende IT-Sicherheitslage erkennen kann, desto früher kann das BSI davor warnen oder informieren. Freiwillige Meldungen können über denselben Meldeweg abgegeben werden.

Meldepflicht für Störungen bei weiteren Anlagen

Die oben beschriebene Ausnahmeregelung gilt ausschließlich bei Störungen im Bereich der Anlagen gemäß BSI-KritisV, die dem Telekommunikationsnetz oder dem Telekommunikationsdienst zuzuordnen sind. Für Störungen bei weiteren Anlagen desselben KRITIS-Betreibers, z.B. einer Serverfarm für Hosting-Kunden, gilt die Ausnahmeregelung nicht. Störungen in diesen Anlagen sind gemäß den Vorgaben des § 8b Absatz 4 BSIG an das BSI zu melden. Dazu soll das Melde- und Informationsportal (MIP) des BSI genutzt werden.

Registrierung beim BSI für KRITIS-Betreiber weiterhin verpflichtend

Die Ausnahmeregelungen für Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste entbinden nicht von der Pflicht zur Benennung einer Kontaktstelle beim BSI gemäß § 8b Absatz 3 BSIG.

Bitte registrieren Sie daher zunächst Ihre Kontaktstelle (Kontaktstelle benennen). Nach erfolgreicher Registrierung werden Ihnen auf dem Postweg umfangreiche Informationen - u. a. zur Meldepflicht (Meldeformular, Anleitung zur Durchführung einer Meldung) - zur Verfügung gestellt, sodass Ihnen im Falle einer meldewürdigen Störung gemäß § 168 TKG ein vertrauenswürdiger Meldekanal zur Verfügung steht.

Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste, die den in der BSI-Kritisverordnung genannten Schwellenwert nicht überschreiten, sind nicht verpflichtet, dem BSI eine Kontaktstelle zu benennen.

nach oben

Anwendung des § 8d BSIG auf Anlagen zur Erbringung von Vertrauensdiensten

Anbieter von Vertrauensdiensten (VDA) werden entsprechend den Vorgaben der eIDAS-Verordnung reguliert. Diese beschreibt Anforderungen an qualifizierte und nicht-qualifizierte Vertrauensdienste. Die Zuständigkeit wird durch das Vertrauensdienstegesetz (VDG) definiert.
• zuständig für VDA der in § 2 Absatz 1 Nummer 1 VDG genannten Bereiche ist die BNetzA
• zuständig für VDA der in § 2 Absatz 1 Nummer 2 VDG genannten Bereiche ist das BSI
Überschreitet eine Anlage aus der Kategorie „Anlage zur Erbringung von Vertrauensdiensten“ unabhängig von den oben genannten Bereichen den in Anhang 4 Teil 3 der BSI-KritisV genannten Schwellenwert, so wird diese Anlage zusätzlich durch das BSIG reguliert.

Was muss durch die Regulierung beachtet werden?

VDA, die Betreiber einer Kritischer Infrastruktur sind, müssen eine Kontaktstelle gem. § 8b Absatz 3 BSIG registrieren. Anträge auf Qualifikation von „qualifizierten Vertrauensdiensten“ bleiben durch die Registrierungspflicht Kritischer Infrastrukturen unberührt.
Aufgrund der Bestimmungen von § 8d BSIG gilt die Meldepflicht von Vorfällen gem. § 8b Absatz 4 BSIG für die o.g. Kategorien Kritischer Infrastrukturen von VDA nicht. VDA unterliegen generell der Meldepflicht gem. Artikel 19 eIDAS-VO.
Aus Artikel 19 Absatz 2 eIDAS-VO leiten sich folgende Meldeverpflichtungen für Vorfälle ab:

VDA der in § 2 Abs. 1 Nr. 1 VDG genannten Bereiche melden
• immer an die Bundesnetzagentur (BNetzA),
• bei Bezug zur Informationssicherheit zusätzlich an das BSI,
• bei Bezug zum Datenschutz zusätzlich an den BfDI.
VDA der in § 2 Absatz 1 Nummer 2 VDG genannten Bereiche melden
• immer an das BSI,
• bei Bezug zum Datenschutz zusätzlich an den BfDI.

Meldungen an das BSI können zusätzlich auf freiwilliger Basis wie gewohnt über die registrierte Kontaktstelle oder den für Meldungen gemäß eIDAS-VO eingerichteten Meldeweg abgeben werden. Das BSI begrüßt ausdrücklich die Abgabe freiwilliger Meldungen, da diese einen wichtigen Beitrag zur Übersicht über die IT-Sicherheitslage leisten und anderen Betreibern Kritischer Infrastrukturen beim Schutz ihrer IT-Systeme helfen können. Je früher und zuverlässiger das BSI eine sich anbahnende IT-Sicherheitslage erkennen kann, desto früher kann das BSI davor warnen oder informieren.

Müssen Nachweise über die Erfüllung der Anforderungen von § 8a BSIG erbracht werden?

Die Nachweispflicht gem. § 8a BSIG ist aufgrund der Bestimmungen von § 8d BSIG für die o.g. Kategorie Kritischer Infrastrukturen von VDA nicht anzuwenden. Damit geht einher, dass die Betreiber einer solchen Anlagenkategorie dem BSI keine Nachweise gem. § 8a Absatz 3 BSIG einreichen müssen. Selbstverständlich können VDA im Zuge der kooperativen Zusammenarbeit trotzdem Nachweise über die Absicherung Ihrer betriebenen Kritischen Infrastruktur auf freiwilliger Basis einreichen.

Keine Auswirkung auf andere gesetzliche oder regulatorische Vorgaben

Durch die Ausnahmeregelung wird ausschließlich die Anwendung des § 8a BSIG und § 8b Absatz 4 BSIG ausgeschlossen. Andere gesetzliche oder regulatorische Vorgaben bleiben davon unberührt. Insbesondere sei hier auf die Nachweispflichten der VDA an die BNetzA und das BSI gem. Artikel 20 eIDAS-VO verwiesen.

Übersicht der Pflichten von VDA

	Empfänger: BNetzA	Empfänger: BSI
Registrierungspflicht gem. § 8b BSIG	Nein	Ja
Meldepflicht von Vorfällen	Ja, gem. Artikel 19 eIDAS-VO	Ja, gem. Artikel 19 eIDAS-VO
Nachweispflicht	Ja, gem. Artikel 20 eIDAS-VO	Ja, gem. Artikel 20 eIDAS-VO