Wenn Sie eine Kritische Infrastruktur betreiben, müssen Sie dem Bundesamt für Sicherheit in der Informationstechnik eine Kontaktstelle nennen, die jederzeit erreichbar ist.
Als Kritische Infrastrukturen werden Organisationen und Einrichtungen bezeichnet, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und bei deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Wenn Sie im Sinne der gesetzlichen Bestimmungen eine Kritische Infrastruktur betreiben, müssen Sie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unter anderem eine Kontaktstelle nennen, über die Sie jederzeit erreichbar sind. An diese Adresse schickt Ihnen das BSI verschiedene Informationen, zum Beispiel Warnungen zur IT-Sicherheit und Lageinformationen.
In der Regel verschickt das BSI Informationen während der üblichen Geschäftszeiten. In Ausnahmefällen sind dringende Warnungen auch außerhalb der üblichen Geschäftszeiten möglich, also an Feiertagen, Wochenenden oder nachts.
Sie müssen eine Kontaktstelle benennen, wenn Ihre Organisation Kritische Infrastrukturen betreibt, das heißt:
Sie müssen in der Regel keine zusätzlichen Unterlagen einreichen.
Die Kontaktstelle können Sie über das Melde- und Informationsportal des BSI benennen:
Hinweis: Wenn Sie keine Kontaktstelle benennen, kann das BSI die Registrierung selbst vornehmen und die zuständige Aufsichtsbehörde des Bundes darüber informieren.
Das BSI erhebt keine Kosten für die Benennung der Kontaktstelle.
Sobald sie erstmalig oder erneut als Betreiberin oder Betreiber einer kritischen Infrastruktur gelten, müssen Sie spätestens am nächsten darauf folgenden Werktag eine Kontaktstelle benennen.
Die Bearbeitung Ihrer Meldung dauert in der Regel 1 bis 2 Wochen.
Wenn Sie „Anlage 2“ ausfüllen, erklären Sie damit nicht, dass Sie Betreiberin oder Betreiber Kritischer Infrastruktur sind. Verwenden Sie die „Anlage 2“ auch dann, wenn Sie meinen, dass Sie nicht unter die Regelungen fallen. Das BSI nimmt die entsprechende Einteilung vor.
Wenn Sie sich im Bereich IT-Sicherheit qualifizieren möchten und Ihre Fachkunde belegen wollen, können unter bestimmten Voraussetzungen eine Zertifizierung beantragen.
Wenn Sie Kritische Infrastrukturen betreiben, müssen Sie nachweisen, dass die Sicherheit Ihrer Informationstechnik dem Stand der Technik entspricht. Nachweise müssen Sie alle 2 Jahre beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen.
Sie können sich als gemeinsame übergeordnete Ansprechstelle (GÜAS) beim BSI registrieren. Nach der Registrierung können Sie als Kontaktstelle für Meldungen und Sicherheitshinweise für Betreiber Kritischer Infrastrukturen, die dem gleichen Sektor angehören, fungieren.