KRITIS-Dachgesetz KRITIS-DachG

§ 18 Meldewesen für Vorfälle

(1) Der Betreiber kritischer Anlagen ist verpflichtet, Vorfälle unverzüglich, spätestens 24 Stunden nach Kenntnis der Meldestelle vom Bundesamt für Sicherheit der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichteten gemeinsamen Meldestelle nach § 32 Absatz 1 des BSI-Gesetzes [in der Fassung des NIS2UmsusCG] zu melden. Bei einem andauernden Vorfall ist die Erstmeldung zu aktualisieren. Spätestens einen Monat nach Kenntnis des Vorfalls ist ein ausführlicher Bericht zu übermitteln. Meldepflichten auf Grund sonstiger gesetzlicher Vorgaben bleiben unberührt.

(2) Die Meldungen müssen die zu ihrem Zeitpunkt verfügbaren Informationen enthalten, die erforderlich sind, damit Art, Ursache und mögliche, auch grenzüberschreitende, Auswirkungen und Folgen des Vorfalls ermittelt und nachvollzogen werden können. Insbesondere sind folgende Angaben zu machen:

  1. die Anzahl und der Anteil der von dem Vorfall Betroffenen,
  2. die bisherige und voraussichtliche Dauer des Vorfalls sowie
  3. das betroffene geografische Gebiet des Vorfalls, unter Berücksichtigung des Umstands, ob das Gebiet geografisch isoliert ist.

(3) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe legt die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte nach Anhörung der zuständigen Behörden im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest, soweit sie möglichen Durchführungsrechtsakten der Europäischen Kommission nicht widersprechen. Die Informationen nach Satz 1 werden durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe auf dessen Internetseite veröffentlicht.

(4) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe unterrichtet die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten der Europäischen Union, sofern der Vorfall erhebliche Auswirkungen auf kritische Einrichtungen im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2022/2057 und die Aufrechterhaltung der Erbringung wesentlicher Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 in mindestens einem anderen Mitgliedstaat der Europäischen Union hat oder haben könnte.

(5) Hat ein Vorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 für oder in mindestens sechs Mitgliedstaaten der Europäischen Union oder könnte er solche Auswirkungen haben, so meldet das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe diesen Vorfall der Europäischen Kommission.

(6) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermittelt dem von dem Vorfall betroffenen Betreiber kritischer Anlagen sachdienliche Folgeinformationen.

(7) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermittelt den zuständigen Behörden sowie den nach § 11 Absatz 1 zuständigen Stellen Auswertungen zu Meldungen von Vorfällen.

(8) Liegt die Offenlegung des Vorfalls im öffentlichen Interesse, so kann das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe nach Anhörung des Betreibers der betroffenen kritischen Anlage und im Einvernehmen mit der zuständigen Behörde des Bundes oder im Benehmen mit der zuständigen Behörde des Landes die Öffentlichkeit über den Vorfall informieren oder den Betreiber verpflichten, dies zu tun.

Stand: 05.11.2024

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!