KRITIS-Dachgesetz KRITIS-DachG

§ 18 Meldewesen für Vorfälle

(1) Der Betreiber kritischer Anlagen ist verpflichtet, Vorfälle unverzüglich, spätestens 24 Stunden nach Kenntnis an die Meldestelle nach § 32 Abs. 1 BSIG zu melden. Bei einem andauernden Vorfall ist die Erstmeldung zu aktualisieren. Spätestens einen Monat nach Kenntnis des Vorfalls ist ein ausführlicher Bericht zu übermitteln. Andere Meldepflichten auf Grund anderer gesetzlicher Vorgaben bleiben unberührt.

(2) Die Meldungen müssen die zu ihrem Zeitpunkt verfügbaren Informationen enthalten, die erforderlich sind, damit Art, Ursache und mögliche, auch grenzüberschreitende, Auswirkungen und Folgen des Vorfalls ermittelt und nachvollzogen werden können. Insbesondere sind folgende Angaben zu machen:

1. die Anzahl und der Anteil der von dem Vorfall Betroffenen,

2. die bisherige und voraussichtliche Dauer des Vorfalls sowie

3. das betroffene geografische Gebiet des Vorfalls, unter Berücksichtigung des Umstands, ob das Gebiet geografisch isoliert ist.

(3) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe legt die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte nach Anhörung der betroffenen Betreiber und der betroffenen Wirtschaftsverbände und Wissenschaftsorganisationen im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest, soweit sie möglichen Durchführungsrechtsakten der Europäischen Kommission nicht widersprechen. Die Informationen nach Satz 1 werden durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe auf dessen Internetseite veröffentlicht.

(4) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe unterrichtet die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten der Europäischen Union, sofern der Vorfall erhebliche Auswirkungen auf kritische Einrichtungen im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2022/2057 und die Aufrechterhaltung der Erbringung wesentlicher Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 in mindestens einem anderen Mitgliedstaat hat oder haben könnte.

(5) Hat ein Vorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 für oder in mindestens sechs Mitgliedstaaten der Europäischen Union oder könnte er solche Auswirkungen haben, so meldet das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe diesen Vorfall der Europäischen Kommission.

(6) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermittelt dem von dem Vorfall betroffenen Betreiber kritischer Anlagen sachdienliche Folgeinformationen.

(7) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermittelt den zuständigen Behörden sowie den für die nationalen Risikoanalysen und Risikobewertungen zuständigen Bundesministerien und Landesministerien Auswertungen zu Meldungen von Vorfällen.

(8) Liegt die Offenlegung des Vorfalls im öffentlichen Interesse, so kann das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe nach Anhörung des Betreibers der betroffenen kritischen Anlage und im Benehmen mit der zuständigen Behörde die Öffentlichkeit über den Vorfall informieren oder den Betreiber verpflichten, dies zu tun.

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!