Mitteilung nach 109 Abs. 5 Telekommunikationsgesetz. -Umsetzungskonzept-

Ähnliche Dokumente
Mitteilung nach 109 Absatz 5 Telekommunikationsgesetz. -Umsetzungskonzept-

NIS-RL und die Umsetzung im NISG

Mitteilungen und Informationen nach 16a TKG 2003

2013-nurG.txt nurG.txt [Entwurf von 2014] [Entwurf von 2013] Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Verordnung über die Untersuchung gefährlicher Ereignisse im Eisenbahnbetrieb

LEITLINIEN ZUR BERUFSHAFTPFLICHTVERSICHERUNG IM SINNE DER ZAHLUNGSDIENSTERICHTLINIE 2 EBA/GL/2017/08 12/09/2017. Leitlinien

Auswirkungen des IT-Sicherheitsgesetzes auf den IKT-Sektor

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

DAS IT-SICHERHEITSGESETZ

zu Beschwerdeverfahren bei mutmaßlichen Verstößen gegen die Richtlinie (EU) 2015/2366 (PSD 2)

Integration von Forensik und Meldepflichten in ein effizientes Security Incident Management 2. IT-Grundschutztag

IT-Sicherheitsgesetz: Wen betrifft es,

Rüdiger Gruetz Klinikum Braunschweig Geschäftsbereich IT und Medizintechnik. GMDS-Satellitenveranstaltung

Netzsicherheit. Netzsicherheit im Recht Was taugt es für die Praxis. Ing. Mag. Sylvia Mayer, MA

EBA Leitlinien. zu Zahlungsrückständen und Zwangsvollstreckung EBA/GL/2015/

BUNDESGESETZBLATT FÜR DIE REPUBLIK ÖSTERREICH

DATENSCHUTZERKLÄRUNG FÜR BEWERBER

Empfehlungen zur Änderung der Empfehlungen EBA/REC/2015/01

Neue Pflicht zu technischorganisatorischen. Vorkehrungen durch 13 Abs. 7 TMG

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

(Name der Fremdkraft) 1. Verpflichtung auf das Datengeheimnis nach 5 BDSG

Verordnung (EU) Nr. 1097/2010 der Kommission. vom 26. November 2010

Wissenschaftliche Dienste. Sachstand. Rechtsstellung der Bundesnetzagentur Deutscher Bundestag WD /17

1 Schutzbedarfsanalyse... 2

IDAG und VIDAG Was ist neu? Informationsrechte

NACHRICHTEN FÜR LUFTFAHRER

(Text von Bedeutung für den EWR)

Leitlinien Zugang von Zentralverwahrern zu den Transaktionsdaten zentraler Gegenparteien und Handelsplätze

AGB Newsletter. (Stand: )

Welche Pflichten treffen die datenverarbeitenden Stellen?

Jahresbericht der Zentralen Meldestelle für schwere Unfälle im Bundesministerium für Wissenschaft, Forschung und Wirtschaft.

Dr. Martin Braun Rechtsanwalt. GI-Fachgruppe Management von Informationssicherheit Frankfurt am Main, 25. Februar 2011

(Text von Bedeutung für den EWR)

Aufgrund des am in Kraft getretenen Gesetz zur Erleichterung des Ausbaus digitaler Hochgeschwindigkeitsnetze (DigiNetzG).

Quelle: Fundstelle: BGBl I 2014, 1054 FNA: FNA Verordnung über kosmetische Mittel Kosmetik-Verordnung

Übermittlung und Speicherung von Daten aus technischen Gründen und zu Zwecken von Statistik und Marktforschung

(Text von Bedeutung für den EWR)

Umsetzung IT-SiG in den Ländern

Amtsblatt der Europäischen Union VERORDNUNGEN

(Text von Bedeutung für den EWR)

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI)

Statistische Angaben zu Störfällen in der Luftfahrt

Ass. jur. Jan K. Koecher, Forschungsstelle Recht im DFN. 41. DFN-Betriebstagung Forum Rechtsfragen

Service Level Vereinbarung

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) Bekanntmachung der Allgemeinen Genehmigung Nr. 17 (Frequenzumwandler) vom

Rechte der betroffenen Person

Mitteilung nach 109 Absatz 5 Telekommunikationsgesetz (Das Mitteilungsformular ist an die in der Fußzeile genannten Kontaktadressen zu senden)

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

KBA. Kraftfahrt-Bundesamt Ihr zentraler Informationsdienstleister rund um das Kraftfahrzeug und seine Nutzer

Anlage V zum 2. Kapitel VerfO

EBA/GL/2015/ Leitlinien

1 Grundlagen. Stand: 13. März 2015

L 346/42 Amtsblatt der Europäischen Union

Leitlinien Zusammenarbeit zwischen Behörden gemäß den Artikeln 17 und 23 der Verordnung (EU) Nr. 909/2014

Freifunk - TK-Anbieter - Starterpaket

Nutzungsvereinbarung für die Internet-Bauauskunft der EWE NETZ GmbH

SPIELREGELN FÜR DAS PFAND- UND AUKTIONSHAUS VS SCHÄTZSPIEL:

Muster-Informationspflichten nach Art. 13 DSGVO (Datenerhebung direkt beim Betroffen) und nach Art. 14 DSGVO (Datenerhebung über Dritte)

Vereinbarung über den elektronischen Datenaustausch (EDI)

Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) Bekanntmachung der Allgemeinen Genehmigung Nr. 17 (Frequenzumwandler) vom

BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT

KRITISCHE INFRASTRUKTUREN

Amtsblatt der Europäischen Union L 47/51

DATENSCHUTZ. Verantwortlicher für die Verarbeitung personenbezogener Daten: Martinus van der Heijden. Anschrift: Martinus van der Heijden

LEITLINIEN ZUR FESTLEGUNG NEGATIVER AUSWIRKUNGEN DURCH VERMÖGENSLIQUIDATIONEN EBA/GL/2015/ Leitlinien

ANHANG 17-A SCHUTZ- UND SICHERHEITSVERFAHREN

Hinweis für Empfänger Allgemeine Geschäftsbedingungen Widerrufsbelehrung Widerrufsformular

Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 40, ausgegeben zu Bonn am 29. Juni 2017

Arbeitshilfe zur Meldung von Datenpannen

Vertraulichkeits- und Geheimhaltungsvereinbarung LaserTeck GmbH

d. Besucher Besucher ist jede natürliche Person, welche an einer von der Betreiberin organisierten und/oder durchgeführten Veranstaltung teilnimmt.

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

DELEGIERTER BESCHLUSS (EU) / DER KOMMISSION. vom

Nutzungsbedingungen für das Miele Lieferantenportal

Internet, Datennetze und Smartphone

LEITLINIEN ZUR EINHEITLICHEN OFFENLEGUNG DER ÜBERGANGSBESTIMMUNGEN DES IFRS 9 EBA/GL/2018/01 16/01/2018. Leitlinien

IT Security Risikoanalyse vermeidet Kosten

ANHANG XI GEMÄSS ARTIKEL 5.21 TELEKOMMUNIKATIONSDIENSTE

MARMIND. Datenschutzbestimmungen

Vorlesung Datenschutzrecht. Einführung, völker- und unionsrechtliche Grundlagen

Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) Bekanntmachung der Allgemeinen Genehmigung Nr. 14 (Ventile und Pumpen) vom

IT-Sicherheit im Energie-Sektor

Ausführungsordnung zum Vertrag über die internationale Zusammenarbeit auf dem Gebiet des Patentwesens

Amtsblatt der Europäischen Union

(Text von Bedeutung für den EWR)

Datenschutzerklärung der Firma Gasthaus - Pension Sonne

LANDESGESETZBLATT FÜR WIEN. Jahrgang 2014 Ausgegeben am xx. xxxxx 2014

Vereinbarung über den elektronischen Datenaustausch (EDI)

Die Auswirkungen der NIS-Richtlinie 1 für Unternehmer

Grundlagen des Datenschutzes und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

BESCHLÜSSE. (Text von Bedeutung für den EWR)

Transkript:

Mitteilung nach 109 Abs. 5 Telekommunikationsgesetz -Umsetzungskonzept- Herausgeber: Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahn Stand: 10.11.2017 Version: 4.0

Inhaltverzeichnis Seite Einleitung 3 1 Verfahren 4 1.1 Pflichtadressat und Verfahrensgegenstand 4 1.2 Verfahrensablauf 4 2 Begriff der mitteilungspflichtigen Beeinträchtigung 5 3 Kriterien 6 3.1 Bewertungskriterien 6 3.1.1 Erläuterung der Kriterien 6 3.1.1.1 Betroffene Teilnehmerstunden 6 3.1.1.2 Auswirkung auf internationale Zusammenschaltungen (Interconnection) 7 3.1.1.3 Auswirkung auf Notruflenkung 7 3.1.1.4 Außergewöhnliche IT-Störung 7 4 Ursache der mitteilungspflichtigen Beeinträchtigung 8 5 Meldung der mitteilungspflichtigen Beeinträchtigung 8 5.1 Mitteilungsformen 8 5.1.1 Initiale Kurzmitteilung 8 5.1.2 Vollständige Mitteilung 8 5.2 Mitteilungswege 9 5.3 Vertraulichkeit der Mitteilung 9 6 Detaillierter Bericht 10 Seite 2 von 10

Einleitung Mit der TKG Novelle 2012 wurde 109 TKG a. F. ein neuer Abs. 5 angefügt. Die Ergänzung setzte Vorgaben aus der europäischen Richtlinie Bessere Regulierung (2009/140/EG) in nationales Recht um (BT-Drs. 17/5707, S. 83). Geschützt werden sollte mit der Neuerung die Integrität und Sicherheit öffentlicher Kommunikationsnetze. Zu deren Bedeutung für Wirtschaft und Gesellschaft führt Erwägungsgrund 44 der RL 2009/140/EG ausdrücklich aus: Die zuverlässige und sichere Kommunikation von Informationen über elektronische Kommunikationsnetze erlangt zunehmend zentrale Bedeutung für die Gesamtwirtschaft und die Gesellschaft im Allgemeinen. Die Systemkomplexität, technische Ausfälle, Bedienungsfehler, Unfälle und vorsätzliche Eingriffe können Auswirkungen auf die Funktion und die Verfügbarkeit der physischen Infrastruktur haben, die wichtige Dienste für die EU-Bürger, einschließlich elektronischer Behördendienste, bereitstellt. Die nationalen Regulierungsbehörden sollten daher sicherstellen, dass die Integrität und Sicherheit öffentlicher Kommunikationsnetze aufrechterhalten werden. Zur Schaffung einer ausreichenden Informationsgrundlage für die zuständigen Behörden wurde daher mit 109 Abs. 5 TKG a. F. eine Melde- und Informationspflicht eingeführt. Die Bundesnetzagentur sollte nach eigenem Ermessen die Öffentlichkeit sowie das Bundesamt für Sicherheit in der Informationstechnik, nationale Regulierungsbehörden anderer Mitgliedstaaten der Europäischen Union sowie die ENISA über Sicherheitsvorfälle informieren. Mit dem Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union vom 23.06.2017 (BGBl. I S. 1885) wurden die Meldemodalitäten des 109 Abs. 5 Satz 1 TKG a. F. weiter modifiziert. 109 Abs. 5 Satz 1 TKG in seiner ab 30.06.2017 gültigen Fassung lautet: (5) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich Beeinträchtigungen von Telekommunikationsnetzen und -diensten mitzuteilen, die 1. zu beträchtlichen Sicherheitsverletzungen führen oder 2. zu beträchtlichen Sicherheitsverletzungen führen können. Mit dem folgendem Umsetzungskonzept beschreibt die Bundesnetzagentur das neue nationale Meldeverfahren. Seite 3 von 10

1 Verfahren Nachfolgend werden bezüglich der Mitteilung nach 109 Abs. 5 TKG der Verfahrensablauf, Pflichtadressat und Verfahrensgegenstand näher beschrieben. 1.1 Pflichtadressat und Verfahrensgegenstand Gemäß 109 Abs. 5 TKG besteht für Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste die gesetzliche Verpflichtung, der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik Beeinträchtigungen von Telekommunikationsnetzen und -diensten unverzüglich mitzuteilen, sofern diese zu beträchtlichen Sicherheitsverletzungen führen oder führen können. Die Meldepflicht bezieht sich insofern auch auf das Vorfeld einer Beeinträchtigung (BT-Drs. 18/4096, S. 36). Sie schließt ferner Störungen ein, welche zu einer Einschränkung der Verfügbarkeit, der über diese Netze erbrachten Dienste oder einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können. In Betracht kommen in diesem Zusammenhang z. B. auch Angriffe, welche die infrastrukturellen Einrichtungen des Angriffsopfers unbeeinträchtigt lassen. Die Pflicht zur Erteilung von Auskünften gegenüber der Bundesnetzagentur nach 115 Abs. 1 Satz 2 TKG bleibt hiervon unberührt. 1.2 Verfahrensablauf Bei einer Beeinträchtigung von Telekommunikationsnetzen und -diensten stellt der Verpflichtete mit einer Bewertung in eigener Verantwortung fest, ob diese Beeinträchtigung zu einer beträchtlichen Sicherheitsverletzung führt bzw. führen kann. Zur Bewertung sind die in Abschnitt 3 beschriebenen Kriterien heranzuziehen. Dem Verpflichteten obliegt es jedoch, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, welche nach seinem Ermessen eine Mitteilung nach 109 Abs. 5 TKG an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik erforderlich macht. Nach Feststellung, dass es sich bei der Beeinträchtigung um eine mitteilungspflichtige Beeinträchtigung handelt, teilt der Verpflichtete der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik diese unverzüglich (d. h. ohne schuldhaftes Zögern, vgl. 121 BGB) mit. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur Beeinträchtigung eines Telekommunikationsnetzes oder-dienstes gemacht werden, ist eine initiale Kurzmitteilung gemäß 5.1.1 als Erstmeldung vorzusehen. Im Zweifelsfall ist eine Mitteilung nachrangig gegenüber der Eindämmung der akuten Folgen der Beeinträchtigung eines Telekommunikationsnetzes oder-dienstes. Für die Erstmeldung gilt grundsätzlich Schnelligkeit vor Vollständigkeit. Auf Grundlage der eingegangenen Mitteilung bewertet die Bundesnetzagentur diese und behält sich vor, falls erforderlich, weitere Auskünfte einzuholen und in eigenem Ermessen eine Einstufung nach 109 Abs. 5 TKG vorzunehmen. Das betroffene Unternehmen wird darüber in Kenntnis gesetzt. Seite 4 von 10

2 Begriff der mitteilungspflichtigen Beeinträchtigung Beeinträchtigung von Telekommunikationsnetzen und -diensten bedeutet, dass noch keine Auswirkung eingetreten sein muss. Ausreichend ist schon ein potenzieller Einfluss auf die Sicherheit des Telekommunikationsnetzes oder des -dienstes. Die Beeinträchtigung hat somit auch Prognosecharakter. Mitteilungspflichtige Beeinträchtigung Die Mitteilungspflicht entsteht nicht bei jeder Beeinträchtigung. Erfasst werden sollen nur solche, die zu einer beträchtlichen Sicherheitsverletzung führen oder führen können. Die Beeinträchtigung muss somit ein gewisses Ausmaß haben. Beträchtliche Sicherheitsverletzung Eine Sicherheitsverletzung im Sinne des 109 Abs. 5 TKG liegt dann vor, wenn die Sicherheit des Telekommunikationsnetzes oder -dienstes durch die Verletzung der Vertraulichkeit 1, Integrität 2, Authentizität 3 und/oder eine Einschränkung der Verfügbarkeit 4 betroffen ist. Beträchtlich ist die Sicherheitsverletzung auf jeden Fall, wenn eines oder mehrere der Kriterien die in Abschnitt 3 näher erläutert sind, zutreffen. Dem Verpflichteten obliegt es jedoch weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, welche nach seinem Ermessen eine Mitteilung nach 109 Abs. 5 TKG an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik erforderlich machen. 1 Vertraulichkeit: Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein., vgl. BSI IT-Grundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen. 2 Integrität: Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden., s. o. Fn. 1. 3 Authentizität: Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein., s. o. Fn. 1. 4 Verfügbarkeit: Die Verfügbarkeit von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten einschließlich Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können., s. o. Fn. 1. Seite 5 von 10

3 Kriterien Der Begriff der Beträchtlichkeit ist im TKG nicht legal definiert. Es wird jedoch davon ausgegangen, dass Ausfalldauer (Dauer des Verlustes der Verfügbarkeit), Wirkbreite (Anzahl der betroffenen Nutzer) sowie Art und Bedeutung (z. B. Notrufeinrichtungen) bei der Bewertung eine Rolle spielen können (Eckhardt in Beck scher TKG-Kommentar, 4. Auflage 2013, 109 Rn 72). Die Bundesnetzagentur empfiehlt, die Sicherheitsverletzung anhand von Kriterien des Technical Guideline on Incident Reporting der ENISA in Version 2.1 vom Oktober 2014 vorzunehmen. Beträchtlich und damit mitteilungspflichtig ist die mögliche Sicherheitsverletzung u. a. dann, wenn eins der nachfolgenden Kriterien in hinreichendem Maß erfüllt ist. 3.1 Bewertungskriterien 1. Betroffene Teilnehmerstunden 2. Auswirkung auf internationale Zusammenschaltungen (Interconnection) 3. Auswirkung auf Notruflenkung 4. Außergewöhnliche IT-Störung Dem Verpflichteten bleibt es jedoch grundsätzlich unbenommen, weitere fallspezifische Kriterien zur Bewertung der Sicherheitsverletzung heranzuziehen. 3.1.1 Erläuterung der Kriterien Zur differenzierten Betrachtung ist es notwendig die Bewertungskriterien entsprechend zu erläutern. 3.1.1.1 Betroffene Teilnehmerstunden Produkt aus Anzahl der betroffenen Teilnehmer 5 und der Dauer in Stunden. Eine Sicherheitsverletzung ist beträchtlich, wenn bei dem Kriterium Betroffene Teilnehmerstunden der Grenzwert von 1 Million überschritten wird. 5 "Teilnehmer" ist jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat. Seite 6 von 10

3.1.1.2 Auswirkung auf internationale Zusammenschaltungen (Interconnection) Unter Zusammenschaltung wird der Zugang verstanden, der die physische und logische Verbindung öffentlicher Telekommunikationsnetze herstellt, um Teilnehmern eines Unternehmens die Kommunikation mit Teilnehmern desselben oder eines anderen Unternehmens oder die Inanspruchnahme von Telekommunikationsdiensten eines anderen Unternehmens zu ermöglichen. Der hier betrachtete Zugang beschränkt sich auf Zusammenschaltungspunkte mit internationaler Ausprägung. Jegliche Sicherheitsverletzung zum Kriterium Zusammenschaltungspunkte mit internationaler Ausprägung ist beträchtlich. 3.1.1.3 Auswirkung auf Notruflenkung Bei diesem Kriterium geht es nicht um die Funktionalität eines Telekommunikations- und Datenverarbeitungssystems der Nutzer sondern um: Hard- und/oder Software, die dediziert zur Notruflenkung benötigt wird Den Anschluss einer Notrufabfragestelle an ein Telekommunikationsnetz, der je nach technischer Ausgestaltung ausschließlich genutzt wird für die Entgegennahme a) von Notrufverbindungen einschließlich der zugehörigen Daten oder b) der den Notruf begleitenden Daten Jegliche Sicherheitsverletzung zum Kriterium Notruflenkung ist beträchtlich. 3.1.1.4 Außergewöhnliche IT-Störung Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste, welche unter die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz vom 21.06.2017 (Anhang 4) fallen, müssen dann eine Mitteilung abgeben, wenn die Ursache der Beeinträchtigung außergewöhnlich oder zum Zeitpunkt der Meldung nicht nachvollziehbar ist und die Beeinträchtigung nicht mehr im Rahmen des Tagesgeschäfts durch übliche Maßnahmen bewältigt werden kann (es müssen ggf. zusätzliche deutlich erhöhte Ressourcen eingesetzt werden). Eine Ursache ist außergewöhnlich, wenn sie (z. B. als Folge von Softwareupdates oder Systemfehlern) zu einer unerwarteten Beeinträchtigung führt oder auf einen nicht alltäglichen technischen Angriff zurückzuführen ist (z. B. ungewöhnlicher (D)DoS-Angriff aufgrund der Bandbreite bzw. Vorgehensweise oder Ausnutzung einer neuen, bisher nicht veröffentlichten Sicherheitslücke). Jegliche Sicherheitsverletzung zum Kriterium außergewöhnliche IT-Störung ist beträchtlich. Seite 7 von 10

4 Ursache der mitteilungspflichtigen Beeinträchtigung Aufgrund der Vielzahl von theoretisch möglichen Ursachen ist es praktisch unmöglich, diese in einer allumfassenden Tabelle abzubilden. Dennoch ist es für die Analyse, die Bewertung und zur Behebung der mitteilungspflichtigen Beeinträchtigung unerlässlich, die Ursache zu identifizieren und entsprechend darzulegen. Hierzu ist im Mitteilungsformular die Einordnung der Ursache in eine Kategorie vorzunehmen und der initiale Auslöser zu benennen. 5 Meldung der mitteilungspflichtigen Beeinträchtigung Grundsätzlich hat der Verpflichtete nach Feststellung einer mitteilungspflichtigen Beeinträchtigung der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik diese in Form einer vollständigen Mitteilung unverzüglich zu melden. Ist dies nicht möglich, muss dennoch unverzüglich eine Meldung in Form einer initialen Kurzmitteilung erfolgen. 5.1 Mitteilungsformen Hinsichtlich der möglichen Mitteilungsformen wird zwischen "Initiale Kurzmitteilung" und "Vollständiger Mitteilung" unterschieden. 5.1.1 Initiale Kurzmitteilung Die initiale Kurzmitteilung kann aus Zeitmangel oder auf Grund eines unvollständigen Informationsstands auf die bereits vorliegenden Informationen zur mitteilungspflichtigen Beeinträchtigung beschränkt werden. Mindestens jedoch sind folgende Angaben zu machen: Kontaktdaten des Mitteilenden Information darüber, was nach ersten Erkenntnissen vorgefallen ist Eintritt der Beeinträchtigung(en) von Telekommunikationsnetzen und -diensten gem. 109 Abs. 5 TKG (Datum und Zeit) Erste Einschätzung der Auswirkungen (bezüglich Bewertungskriterien) Mögliche Ursache(n) Die zur vollständigen Mitteilung ausstehenden Angaben sind zu einem späteren Zeitpunkt nachzureichen. Hierzu sollte das Mitteilungsformular verwendet werden. Die Kurzmitteilung kann per E-Mail oder Fax an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik gerichtet werden. Details hierzu sind in Abschnitt 5.2 Mitteilungswege nachzulesen. 5.1.2 Vollständige Mitteilung Die vollständige Meldung der mitteilungspflichtigen Beeinträchtigung soll in Textform erfolgen. Hierzu sollte das Formblatt Mitteilung nach 109 Abs. 5 TKG" verwendet werden. Das Formblatt zur Mitteilung nach 109 Abs. 5 TKG steht auf der Internetseite der Bundesnetzagentur zur Verfügung. Entsprechende Funktionen zum Ausfüllen, Ausdruck, Zurücksetzen, Speichern und E-Mail-Versand des Formulars an die Bundesnetzagentur sind im Formblatt integriert. Falls das Formblatt Mitteilung nach 109 Abs. 5 TKG nicht verwendet wird, so sollte die Mitteilung inhaltlich dennoch der des Formblatts entsprechen. Seite 8 von 10

Kommt es zu einer beträchtlichen Sicherheitsverletzung, kann die Bundesnetzagentur einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen verlangen. Details hierzu sind in Abschnitt 6, Detaillierter Bericht nachzulesen. 5.2 Mitteilungswege Die Mitteilung sollte unverzüglich und damit auch schnellst möglichst erfolgen. Es bietet sich daher an, die Mitteilung per E-Mail an Sicherheitsverletzung.109@bnetza.de oder per Telefax an (0681) 9330 775 zu übersenden, (siehe hierzu auch Abschnitt 5.3). Nachlieferungen oder Anlagen können ggf. per Post an die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen Referat IS17 An der Trift 40 66123 Saarbrücken gesendet werden. Die Mitteilung ist ebenso unverzüglich auch an das Bundesamt für Sicherheit in der Informationstechnik zu richten: Mitteilungswege des Bundesamtes für Sicherheit in der Informationstechnik sind per E-Mail: Meldungen-tkg@bsi.bund.de oder per Telefax: (0228) 9910 9582 6171 5.3 Vertraulichkeit der Mitteilung Vorbehaltlich anderer gesetzlicher Vorschriften werden die näheren Umstände der Mitteilung, deren Existenz und deren Inhalt, von der Bundesnetzagentur vertraulich behandelt. Bei Übermittlung einer Mitteilung per E-Mail durch den Verpflichteten an die unter Abschnitt 5.2. angegebene Adresse, wird von der Bundesnetzagentur empfohlen ein sicheres Übermittlungsverfahren anzuwenden. Das von der Bundesnetzagentur hierzu bereitgestellte Verfahren ist auf der Internetseite der Bundesnetzagentur unter folgendem Link ersichtlich: https://www.bundesnetzagentur.de/siv-mitteilung Zur elektronischen Übermittlung von Sicherheitsverletzungen stellt die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik einen öffentlichen PGP-Schlüssel zur Verfügung, um die Nachricht als E-Mail verschlüsselt zu übertragen. Der öffentliche PGP-Schlüssel der Bundesnetzagentur wird unter folgendem Link als Textdatei zum Download bereitgestellt: https://www.bundesnetzagentur.de/siv-mitteilung Seite 9 von 10

Der öffentliche PGP-Schlüssel des Bundesamts für Sicherheit in der Informationstechnik wird unter folgendem Link als Textdatei zum Download bereitgestellt: http://bsi.bund.de/faq-meldepflicht-it-sig Der Jahresbericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen wird von der Bundesnetzagentur in anonymisierter Form an die Europäische Kommission, die Europäische Agentur für Netz- und Informationssicherheit und an das Bundesamt für Sicherheit in der Informationstechnik versendet. 6 Detaillierter Bericht Ergibt die Auswertung der Mitteilung durch die Bundesnetzagentur, dass Aspekte der beträchtlichen Sicherheitsverletzung genauer untersucht werden müssen, verlangt diese vom Verpflichteten einen detaillierten Bericht, inklusive der ergriffenen Abhilfemaßnahmen. Seite 10 von 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback