KRITISDachG & BSI-Gesetz

KRITISDachG: Kommunikationspflichten und Maßnahmen

Pflicht zur Meldung erheblicher Störungen

Betreiber müssen:

Störungen oder Ausfälle, die die Dienstleistung beeinträchtigen, unverzüglich an die zuständige Behörde melden.
Besonders schwere Störungen innerhalb von 24 Stunden melden.
Einen internen Prozess zur Erkennung, Bewertung und Weitergabe von Störungen vorhalten.

Diese Meldepflicht betrifft sowohl physische Vorfälle (Sabotage, Naturereignisse) als auch betriebliche Ausfälle.

Interne Kommunikationsverfahren

KRITIS-Betreiber müssen robuste interne Informationswege etablieren:

Festgelegte Alarmierungs- und Eskalationsketten
Dokumentierte Kommunikationswege zwischen Betrieb, Sicherheits-/KRITIS-Beauftragten, Management und Krisenstab
Prozesse, um Mitarbeitende schnell zu warnen (z.B. bei Bedrohungen, Ausfall zentraler Dienste)

Diese Abläufe müssen geübt und jederzeit funktionsfähig sein.

Externe Kommunikation & Zusammenarbeit

Organisationen müssen in der Lage sein:

mit Behörden, Notfall- und Einsatzdiensten, Kommunen und anderen relevanten Partnern zu kommunizieren
Informationsaustausch in Krisen sicherzustellen
Kontaktstellen („Single Point of Contact") bereitzuhalten
Kommunikationsstrukturen zu betreiben, die auch bei Stromausfall oder Netzstörung funktionieren (z.B. Satellitentelefone, redundante Kommunikationskanäle)

Informationspflicht gegenüber der Bevölkerung

Wenn ein Vorfall Auswirkungen auf die öffentliche Sicherheit oder Versorgung hat, müssen auch Multiplikatoren – zum Beispiel Medien – informiert werden. (Zentraler Bestandteil der CER-Richtlinie.)

Krisenkommunikation als Teil des Resilienz-Plans

KRITIS-Betreiber müssen einen Resilienz-Plan haben, der u. a. enthält:

Mechanismen zur Krisenkommunikation intern und extern
Kommunikationsstrategien für verschiedene Szenarien
Rollen und Verantwortlichkeiten
Gesicherte Kommunikationskanäle für den Krisenstab
Kontaktlisten, Notfallabläufe, Rückfallebenen

Anforderungen an die Leitungsebene (Governance)

Die Unternehmensleitung muss über Risiken, Störungen und Sicherheitsvorfälle informiert werden, Entscheidungen zur Notfallkommunikation genehmigen oder selbst treffen. Auch muss sie sicherstellen, dass Berichterstattung an Behörden vollständig und fristgerecht erfolgt.

Pflichten zur Kommunikation und organisatorische Maßnahmen

Kritische Anlagen innerhalb von drei Monaten nach Einstufung beim BBK registrieren.
Alle vier Jahre – bei Bedarf häufiger – Risikoanalysen über die ihren kritischen Anlagen drohenden Gefahren durchführen (All-Gefahren-Ansatz).
Verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen treffen (sog. Resilienz-Pflichten, § 13 Abs. 1 KRITISDachG), dokumentiert in einem Resilienz-Plan.
Vorfälle, die die kritische Dienstleistung erheblich beeinträchtigen oder beeinträchtigen könnten, dem BBK unverzüglich melden.

      Redundante Energie- und Kommunikationsinfrastruktur
      Szenarienplanung (Blackout, Cyberangriff, Naturkatastrophen, Lieferkettenstörungen)
Krisenpläne und Alarmierungsprozesse
Redundanzen (Standorte, Systeme, Personal)
Notfallmanagement und Übungen (technische Notfallübungen)

    

Reaktionsfähigkeit

Aktivierung eines Krisenstabs mit klaren Rollen: Incident Manager, Krisenkommunikation, Technik, Recht, Vorstand
Koordination mit Behörden (BSI, BBK, Polizei, Feuerwehr)
Backup- und Recovery-Strategien (offline / immutable Backups)

BSI-Gesetz: Kommunikationspflichten und Maßnahmen

Meldepflichten bei IT-Sicherheitsvorfällen

IT-Sicherheitsvorfälle sind unverzüglich an das BSI zu melden – insbesondere solche, die zu einer Versorgungskrise führen können.

Warn- und Informationspflichten des BSI (§ 7, § 13 BSIG)

Das BSI informiert:

Behörden
Unternehmen
Betroffene Einrichtungen
die Öffentlichkeit

… über sicherheitsrelevante Krisenlagen, Sicherheitslücken, Angriffe und Risiken.

Nicht möglich ohne autark funktionierende Kommunikationsfähigkeit.

Unterstützung von Unternehmen in Krisenfällen (§ 3 und § 5 BSIG)

Unternehmen bei der Abwehr eines Angriffs unterstützen
Technische Analysen und Lageeinschätzungen bereitstellen
Hinweise auf Risiken, Bedrohungen und Schwachstellen geben
Warnungen an beteiligte Stellen weitergeben

Somit ist das BSI ein kommunikativer Knotenpunkt in Cyberkrisen.

Rückmeldepflichten des BSI an betroffene Betreiber (§ 36 BSIG)

Wenn eine Einrichtung einen Vorfall meldet, muss das BSI:

Rückmeldungen geben
Bewertungen übermitteln
Handlungsempfehlungen bereitstellen

Lagebilder & Berichterstattung

Das BSI erstellt regelmäßig:

Lagebilder der IT-Sicherheit
Berichte an Bundesregierung und Sicherheitsbehörden
Sektorübergreifende Analysen für kritische Infrastrukturen

Diese Berichte sind wesentliche Elemente des nationalen Resilienz- und Krisenmanagements – jedoch nicht möglich ohne autark funktionierende Kommunikationsfähigkeit.

Relevante Prozesse

Krisen-Management-Plan mit Kommunikationsketten
Alarmierungs- und Eskalationsverfahren festlegen
Notfallübungen regelmäßig und dokumentiert
Lieferanten und Lieferketten kritisch überprüfen
Meldungen an zuständige Behörden gewährleisten
Verantwortlichkeiten definiert
Interner Audit / dokumentiert

Gültig für IT – nicht möglich aber ohne autark funktionierende Kommunikationsfähigkeit!