FAQ zur UBI 3 (Störfall-UBI): Meldepflicht
FAQ zu Unternehmen im besonderen öffentlichen Interesse UBI 3 (Störfall-UBI): Meldepflicht.
-
Unter die Meldepflicht für Störfall-UBI fallen insbesondere Ereignisse, die zu ernsten Gefahren führen, welche das Leben von Menschen bedrohen oder bei denen schwerwiegende Gesundheitsbeeinträchtigungen von Menschen zu befürchten sind oder die Gesundheit einer großen Zahl von Menschen beeinträchtigt werden kann. Die Meldepflicht soll dabei helfen, kritische Situationen schneller und/oder besser zu überwinden sowie Dritte rechtzeitig vor wiederkehrenden Gefahren zu warnen.
-
Störfall-UBI sind nach dem BSI-Gesetz zu Meldungen verpflichtet von
- Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung geführt haben,
- erhebliche Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung führen können.
Die Meldung muss Angaben zu der Störung, zu den technischen Rahmenbedingungen, insbesondere zu der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und der Art der betroffenen Einrichtung oder Anlage enthalten. Im u.g. Meldeformular werden alle für eine Meldung notwendigen Angaben abgefragt.
-
Der Begriff der „Störung“ ist dabei entsprechend der höchstrichterlichen Rechtsprechung zu § 100 Absatz 1 TKG funktional zu verstehen. Eine Störung im Sinne des BSI-Gesetzes liegt daher vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken. Dazu zählen insbesondere Fälle von Sicherheitslücken, Schadprogrammen und erfolgten, versuchten oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informationstechnik sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (zum Beispiel nach Software-Updates oder ein Ausfall der Serverkühlung).
-
Dies sind Störungen an Systemen, die tatsächlich Störfälle im Sinne der Störfall-Verordnung ausgelöst haben.
Ein Störfall ist nach Störfall-Verordnung ein Ereignis, das unmittelbar oder später innerhalb oder außerhalb eines Betriebsbereichs zu einer ernsten Gefahr oder zu bestimmten Sachschäden führt. Eine ernste Gefahr ist dabei eine Gefahr bei der
- das Leben von Menschen bedroht wird oder
- schwerwiegende Gesundheitsbeeinträchtigungen von Menschen zu befürchten sind,
- die Gesundheit einer großen Zahl von Menschen beeinträchtigt werden kann oder
- die Umwelt sowie Kultur- und sonstige Sachgüter geschädigt werden können.
Bei Störungen, die Störfälle ausgelöst haben, wird in der Regel auch eine Pflicht zur Mitteilung des Störfalls nach § 19 und Anhang VI Teil 1 Nummer I Störfall-Verordnung bestehen.
-
Dies ist eine Störung an IT-/OT-Systemen, die selbst nicht einen Störfall verursacht, aber Voraussetzungen für das Eintreten eines Störfalls schafft, indem sie die Funktion von Sicherheitsvorkehrungen oder Sicherheitsmaßnahmen stört. Eine entsprechende Anlage wird durch die erhebliche Störung von einem sicheren Zustand in einen latenten Zustand versetzt. Hierzu gehören z.B. erhebliche IT-/ OT-Störungen, die die Funktion einer Sicherheitseinrichtung (entsprechend VDI Richtlinie 2180) beeinträchtigen oder das Eintreten von Störfalleintrittsvoraussetzungen herbeiführen. Die Störfalleintrittsvoraussetzungen sind bereits bei der Erstellung des Sicherheitsberichts nach § 9 Störfall-Verordnung, insbesondere bei der Ermittlung der möglichen Störfallszenarien nach Absatz 1 Nummer 2, zu bestimmen.
Es handelt sich beispielsweise um eine Manipulation oder Ausfall eines IT-/OT-Systems, das zur Überwachung, Parametrierung oder den Betrieb von z. B.
- (Not-)Kühlwasserpumpen,
- Notstromversorgung,
- Überfüllsicherungen,
- Brandmelde- und -bekämpfungsanlagen,
- Löschwasserrückhalteeinrichtungen
benötigt wird.
Diese Meldepflicht erlaubt es, Maßnahmen zur Wiederherstellung der IT-Sicherheit zu ergreifen und aus IT-/OT-Störungen zu lernen, auch ohne dass eine ernste Gefahr (im Sinne der Störfall-Verordnung) eingetreten ist.
-
Störfall-UBI haben spätestens ab dem 1. November 2021 meldepflichtige Störungen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik zu melden.
-
Die Definition eines Störfalls stellt in §8f Absatz 8 BSIG auf die StörfallVO ab. Zu beachten ist, dass auch Störungen informationstechnischer Systeme, Komponenten oder Prozesse, die zu einem Störfall führen können, gemeldet werden müssen.