Mel­dung Si­cher­heits­vor­fall

• Hinweis zur Vertraulichkeit der Meldung

Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste haben gemäß § 168 Telekommunikationsgesetz (TKG) die gesetzliche Verpflichtung, der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen erheblichen Sicherheitsvorfall unverzüglich zu melden. Dies schließt Störungen ein, die zu einer Einschränkung der Verfügbarkeit, der über diese Netze erbrachten Dienste oder einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen.

Die Bundesnetzagentur beschreibt im Meldekonzept das nationale Verfahren zur Meldung von erheblichen Sicherheitsvorfällen gemäß § 168 Abs. 1 TKG. Die Bestimmung des § 182 Abs. 1 TKG bleibt davon unberührt.

Ablauf der Meldung

Seit Inkrafttreten des Gesetzes zur nationalen Umsetzung der europäischen NIS-2 Richtlinie muss eine frühe Erstmeldung eines Sicherheitsvorfalls unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung erfolgen. Aus dieser Erstmeldung hat hervorzugehen, ob der Verdacht einer rechtswidrigen oder böswilligen Handlung besteht oder ob der Sicherheitsvorfall grenzüberschreitende Auswirkungen haben könnte. Im Meldeformular ist dafür „Initialmeldung“ anzukreuzen.

Schnellstmöglich, spätestens innerhalb von 72 Stunden, ist eine Meldung abzugeben, in der die vorgenannten Informationen aktualisiert oder bestätigt werden. Im Rahmen der Ausgestaltung des Meldeverfahrens wird festgelegt, dass die Meldung nach § 168 Abs. 1 Nr. 2 TKG nicht als „vollständige Meldung“, sondern als „Folgemeldung“ bezeichnet wird.

Sowohl die Bundesnetzagentur als auch das BSI kann auf Ersuchen eine Zwischenmeldung verlangen.

Spätestens nach einem Monat der Übermittlung des Sicherheitsvorfalls ist eine Abschlussmeldung zu übermitteln. Dauert nach einem Monat nach der Übermittlung der Erstmeldung des Sicherheitsvorfalls dieser noch an, gibt der Adressat/Betroffene zunächst eine Zwischenmeldung ab. Eine Abschlussmeldung ist entsprechend spätestens nach einem Monat nach Abschluss der Bearbeitung des Sicherheitsvorfalls einzureichen.

Der Entwurf des Meldekonzeptes und des Mitteilungsformulars werden nachfolgend zum Download bereitgestellt.

Hinweis zur Vertraulichkeit der Meldung

Im Meldekonzept zu § 168 TKG verweist die Bundesnetzagentur auf die Vertraulichkeit der Meldung. Neben dem Hinweis auf eine - vorbehaltlich anderer gesetzlicher Vorschriften - vertrauliche Behandlung der Meldung durch die Bundesnetzagentur wird empfohlen, ein sicheres Übermittlungsverfahren zu nutzen, um die Vertraulichkeit des Inhaltes der Meldung angemessen zu gewährleisten.

Zur elektronischen Übermittlung von Sicherheitsvorfällen stellt die Bundesnetzagentur den öffentlichen PGP-Schlüssel zur Verfügung, um die Nachricht an die E-Mail-Adresse sicherheitsvorfall.tkg@bnetza.de verschlüsselt zu übertragen.

Zur eindeutigen Authentifizierung dieses öffentlichen PGP-Schlüssels wird die Schlüssel-ID und der Fingerprint mitgeteilt.

Schlüssel-ID: BA96 AB6C 6F98 EE4C
Fingerprint: A3BE50F656D84FA6CA6F9371BA96AB6C6F98EE4C
Erstellt am: 05.01.2022
Gültig bis: 05.01.2030

Schlüssel-ID und Fingerprint des öffentlichen PGP-Schlüssels können nach dem Import in Ihre eigene PGP-Schlüsselsammlung auf Übereinstimmung überprüft werden.