amtsblatt-22
Dieses Dokument ist Teil der Anfrage „Amtsblätter bis 2018“
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2017 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3445
Mitteilung nach § 109 Abs. 5
Telekommunikationsgesetz
-Umsetzungskonzept-
Herausgeber:
Bundesnetzagentur für Elektrizität, Gas,
Telekommunikation, Post und Eisenbahn
Stand: 10.11.2017
Version: 4.0
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3446 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 22 2017
Inhaltverzeichnis Seite
Einleitung 3
1 Verfahren 4
1.1 Pflichtadressat und Verfahrensgegenstand 4
1.2 Verfahrensablauf 4
2 Begriff der mitteilungspflichtigen Beeinträchtigung 5
3 Kriterien 6
3.1 Bewertungskriterien 6
3.1.1 Erläuterung der Kriterien 6
3.1.1.1 Betroffene Teilnehmerstunden 6
3.1.1.2 Auswirkung auf internationale Zusammenschaltungen (Interconnection) 7
3.1.1.3 Auswirkung auf Notruflenkung 7
3.1.1.4 Außergewöhnliche IT-Störung 7
4 Ursache der mitteilungspflichtigen Beeinträchtigung 8
5 Meldung der mitteilungspflichtigen Beeinträchtigung 8
5.1 Mitteilungsformen 8
5.1.1 Initiale Kurzmitteilung 8
5.1.2 Vollständige Mitteilung 8
5.2 Mitteilungswege 9
5.3 Vertraulichkeit der Mitteilung 9
6 Detaillierter Bericht 10
Seite 2 von 10
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2017 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3447
Einleitung
Mit der TKG Novelle 2012 wurde § 109 TKG a. F. ein neuer Abs. 5 angefügt. Die Ergänzung setzte
Vorgaben aus der europäischen Richtlinie „Bessere Regulierung“ (2009/140/EG) in nationales
Recht um (BT-Drs. 17/5707, S. 83). Geschützt werden sollte mit der Neuerung die Integrität und
Sicherheit öffentlicher Kommunikationsnetze. Zu deren Bedeutung für Wirtschaft und Gesellschaft
führt Erwägungsgrund 44 der RL 2009/140/EG ausdrücklich aus:
„Die zuverlässige und sichere Kommunikation von Informationen über elektronische
Kommunikationsnetze erlangt zunehmend zentrale Bedeutung für die Gesamtwirtschaft und die
Gesellschaft im Allgemeinen. Die Systemkomplexität, technische Ausfälle, Bedienungsfehler,
Unfälle und vorsätzliche Eingriffe können Auswirkungen auf die Funktion und die Verfügbarkeit der
physischen Infrastruktur haben, die wichtige Dienste für die EU-Bürger, einschließlich elektronischer
Behördendienste, bereitstellt. Die nationalen Regulierungsbehörden sollten daher sicherstellen,
dass die Integrität und Sicherheit öffentlicher Kommunikationsnetze aufrechterhalten werden.“
Zur Schaffung einer ausreichenden Informationsgrundlage für die zuständigen Behörden wurde
daher mit § 109 Abs. 5 TKG a. F. eine „Melde- und Informationspflicht“ eingeführt. Die
Bundesnetzagentur sollte nach eigenem Ermessen die „Öffentlichkeit“ sowie das Bundesamt für
Sicherheit in der Informationstechnik, nationale Regulierungsbehörden anderer Mitgliedstaaten der
Europäischen Union sowie die ENISA über Sicherheitsvorfälle informieren.
Mit dem Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und
des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen
Sicherheitsniveaus von Netz- und Informationssystemen in der Union vom 23.06.2017
(BGBl. I S. 1885) wurden die Meldemodalitäten des § 109 Abs. 5 Satz 1 TKG a. F. weiter
modifiziert. § 109 Abs. 5 Satz 1 TKG in seiner ab 30.06.2017 gültigen Fassung lautet:
„(5) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche
Telekommunikationsdienste erbringt, hat der Bundesnetzagentur und dem Bundesamt für
Sicherheit in der Informationstechnik unverzüglich Beeinträchtigungen von
Telekommunikationsnetzen und -diensten mitzuteilen, die
1. zu beträchtlichen Sicherheitsverletzungen führen oder
2. zu beträchtlichen Sicherheitsverletzungen führen können.“
Mit dem folgendem Umsetzungskonzept beschreibt die Bundesnetzagentur das neue nationale
Meldeverfahren.
Seite 3 von 10
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3448 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 22 2017
1 Verfahren
Nachfolgend werden bezüglich der Mitteilung nach § 109 Abs. 5 TKG der Verfahrensablauf,
Pflichtadressat und Verfahrensgegenstand näher beschrieben.
1.1 Pflichtadressat und Verfahrensgegenstand
Gemäß § 109 Abs. 5 TKG besteht für Betreiber öffentlicher Telekommunikationsnetze oder
Erbringer öffentlich zugänglicher Telekommunikationsdienste die gesetzliche Verpflichtung, der
Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik
Beeinträchtigungen von Telekommunikationsnetzen und -diensten unverzüglich mitzuteilen, sofern
diese zu beträchtlichen Sicherheitsverletzungen führen oder führen können. Die Meldepflicht
bezieht sich insofern auch auf das Vorfeld einer Beeinträchtigung (BT-Drs. 18/4096, S. 36). Sie
schließt ferner Störungen ein, welche zu einer Einschränkung der Verfügbarkeit, der über diese
Netze erbrachten Dienste oder einem unerlaubten Zugriff auf Telekommunikations- und
Datenverarbeitungssysteme der Nutzer führen können. In Betracht kommen in diesem
Zusammenhang z. B. auch Angriffe, welche die infrastrukturellen Einrichtungen des Angriffsopfers
unbeeinträchtigt lassen.
Die Pflicht zur Erteilung von Auskünften gegenüber der Bundesnetzagentur nach § 115 Abs.
1 Satz 2 TKG bleibt hiervon unberührt.
1.2 Verfahrensablauf
Bei einer Beeinträchtigung von Telekommunikationsnetzen und -diensten stellt der Verpflichtete mit
einer Bewertung in eigener Verantwortung fest, ob diese Beeinträchtigung zu einer beträchtlichen
Sicherheitsverletzung führt bzw. führen kann.
Zur Bewertung sind die in Abschnitt 3 beschriebenen Kriterien heranzuziehen. Dem Verpflichteten
obliegt es jedoch, weitere fallspezifische Kriterien zur Bewertung der Beeinträchtigung
heranzuziehen, welche nach seinem Ermessen eine Mitteilung nach § 109 Abs. 5 TKG an die
Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik erforderlich
macht.
Nach Feststellung, dass es sich bei der Beeinträchtigung um eine mitteilungspflichtige
Beeinträchtigung handelt, teilt der Verpflichtete der Bundesnetzagentur und dem Bundesamt für
Sicherheit in der Informationstechnik diese unverzüglich (d. h. ohne schuldhaftes Zögern, vgl.
§ 121 BGB) mit. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen
Angaben zur Beeinträchtigung eines Telekommunikationsnetzes oder-dienstes gemacht werden, ist
eine initiale Kurzmitteilung gemäß 5.1.1 als Erstmeldung vorzusehen. Im Zweifelsfall ist eine
Mitteilung nachrangig gegenüber der Eindämmung der akuten Folgen der Beeinträchtigung eines
Telekommunikationsnetzes oder-dienstes.
Für die Erstmeldung gilt grundsätzlich Schnelligkeit vor Vollständigkeit.
Auf Grundlage der eingegangenen Mitteilung bewertet die Bundesnetzagentur diese und behält sich
vor, falls erforderlich, weitere Auskünfte einzuholen und in eigenem Ermessen eine Einstufung nach
§ 109 Abs. 5 TKG vorzunehmen. Das betroffene Unternehmen wird darüber in Kenntnis gesetzt.
Seite 4 von 10
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2017 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3449
2 Begriff der mitteilungspflichtigen Beeinträchtigung
Beeinträchtigung von Telekommunikationsnetzen und -diensten
bedeutet, dass noch keine Auswirkung eingetreten sein muss. Ausreichend ist schon ein
potenzieller Einfluss auf die Sicherheit des Telekommunikationsnetzes oder des -dienstes.
Die Beeinträchtigung hat somit auch Prognosecharakter.
Mitteilungspflichtige Beeinträchtigung
Die Mitteilungspflicht entsteht nicht bei jeder Beeinträchtigung. Erfasst werden sollen nur solche, die
zu einer beträchtlichen Sicherheitsverletzung führen oder führen können.
Die Beeinträchtigung muss somit ein gewisses Ausmaß haben.
Beträchtliche Sicherheitsverletzung
Eine Sicherheitsverletzung im Sinne des § 109 Abs. 5 TKG liegt dann vor, wenn die Sicherheit des
Telekommunikationsnetzes oder -dienstes durch die Verletzung der Vertraulichkeit1, Integrität2,
Authentizität3 und/oder eine Einschränkung der Verfügbarkeit4 betroffen ist.
Beträchtlich ist die Sicherheitsverletzung auf jeden Fall, wenn eines oder mehrere der Kriterien die
in Abschnitt 3 näher erläutert sind, zutreffen. Dem Verpflichteten obliegt es jedoch weitere
fallspezifische Kriterien zur Bewertung der Beeinträchtigung heranzuziehen, welche nach seinem
Ermessen eine Mitteilung nach § 109 Abs. 5 TKG an die Bundesnetzagentur und an das
Bundesamt für Sicherheit in der Informationstechnik erforderlich machen.
1
Vertraulichkeit: „Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche
Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.“, vgl. BSI
IT-Grundschutzkatalog, Abschnitt 4 Glossar und Begriffsdefinitionen.
2
Integrität: „Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der
korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er
aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber
weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten"
verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung
zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese
unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.“, s.
o. Fn. 1.
3
Authentizität: „Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein
Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein.“, s. o. Fn. 1.
4
Verfügbarkeit: „Die Verfügbarkeit von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen
Telekommunikationsdiensten einschließlich Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen
oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt
werden können.“, s. o. Fn. 1.
Seite 5 von 10
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3450 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 22 2017
3 Kriterien
Der Begriff der „Beträchtlichkeit“ ist im TKG nicht legal definiert. Es wird jedoch davon
ausgegangen, dass Ausfalldauer (Dauer des Verlustes der Verfügbarkeit), Wirkbreite (Anzahl der
betroffenen Nutzer) sowie Art und Bedeutung (z. B. Notrufeinrichtungen) bei der Bewertung eine
Rolle spielen können (Eckhardt in Beck’scher TKG-Kommentar, 4. Auflage 2013, § 109 Rn 72). Die
Bundesnetzagentur empfiehlt, die Sicherheitsverletzung anhand von Kriterien des „Technical
Guideline on Incident Reporting“ der ENISA in Version 2.1 vom Oktober 2014 vorzunehmen.
„Beträchtlich“ und damit mitteilungspflichtig ist die mögliche Sicherheitsverletzung u. a. dann, wenn
eins der nachfolgenden Kriterien in hinreichendem Maß erfüllt ist.
3.1 Bewertungskriterien
1. Betroffene Teilnehmerstunden
2. Auswirkung auf internationale Zusammenschaltungen (Interconnection)
3. Auswirkung auf Notruflenkung
4. Außergewöhnliche IT-Störung
Dem Verpflichteten bleibt es jedoch grundsätzlich unbenommen, weitere fallspezifische Kriterien zur
Bewertung der Sicherheitsverletzung heranzuziehen.
3.1.1 Erläuterung der Kriterien
Zur differenzierten Betrachtung ist es notwendig die Bewertungskriterien entsprechend zu erläutern.
3.1.1.1 Betroffene Teilnehmerstunden
Produkt aus Anzahl der betroffenen Teilnehmer5 und der Dauer in Stunden.
Eine Sicherheitsverletzung ist beträchtlich, wenn bei dem Kriterium „Betroffene
Teilnehmerstunden“ der Grenzwert von 1 Million überschritten wird.
5
"Teilnehmer" ist jede natürliche oder juristische Person, die mit einem Anbieter von öffentlich zugänglichen
Telekommunikationsdiensten einen Vertrag über die Erbringung derartiger Dienste geschlossen hat.
Seite 6 von 10
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2017 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3451
3.1.1.2 Auswirkung auf internationale Zusammenschaltungen (Interconnection)
Unter Zusammenschaltung wird der Zugang verstanden, der die physische und logische
Verbindung öffentlicher Telekommunikationsnetze herstellt, um Teilnehmern eines Unternehmens
die Kommunikation mit Teilnehmern desselben oder eines anderen Unternehmens oder die
Inanspruchnahme von Telekommunikationsdiensten eines anderen Unternehmens zu ermöglichen.
Der hier betrachtete Zugang beschränkt sich auf Zusammenschaltungspunkte mit internationaler
Ausprägung.
Jegliche Sicherheitsverletzung zum Kriterium „Zusammenschaltungspunkte mit internationaler
Ausprägung“ ist beträchtlich.
3.1.1.3 Auswirkung auf Notruflenkung
Bei diesem Kriterium geht es nicht um die Funktionalität eines Telekommunikations- und
Datenverarbeitungssystems der Nutzer sondern um:
• Hard- und/oder Software, die dediziert zur Notruflenkung benötigt wird
• Den Anschluss einer Notrufabfragestelle an ein Telekommunikationsnetz, der je nach
technischer Ausgestaltung ausschließlich genutzt wird für die Entgegennahme
a) von Notrufverbindungen einschließlich der zugehörigen Daten oder
b) der den Notruf begleitenden Daten
Jegliche Sicherheitsverletzung zum Kriterium „Notruflenkung“ ist beträchtlich.
3.1.1.4 Außergewöhnliche IT-Störung
Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher
Telekommunikationsdienste, welche unter die Verordnung zur Bestimmung Kritischer
Infrastrukturen nach dem BSI-Gesetz vom 21.06.2017 (Anhang 4) fallen, müssen dann eine
Mitteilung abgeben, wenn
• die Ursache der Beeinträchtigung außergewöhnlich oder zum Zeitpunkt der Meldung nicht
nachvollziehbar ist und
• die Beeinträchtigung nicht mehr im Rahmen des Tagesgeschäfts durch übliche Maßnahmen
bewältigt werden kann (es müssen ggf. zusätzliche deutlich erhöhte Ressourcen eingesetzt
werden).
Eine Ursache ist außergewöhnlich, wenn sie
• (z. B. als Folge von Softwareupdates oder Systemfehlern) zu einer unerwarteten
Beeinträchtigung führt oder
• auf einen nicht alltäglichen technischen Angriff zurückzuführen ist (z. B. ungewöhnlicher
(D)DoS-Angriff aufgrund der Bandbreite bzw. Vorgehensweise oder Ausnutzung einer
neuen, bisher nicht veröffentlichten Sicherheitslücke).
Jegliche Sicherheitsverletzung zum Kriterium „außergewöhnliche IT-Störung“ ist beträchtlich.
Seite 7 von 10
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3452 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 22 2017
4 Ursache der mitteilungspflichtigen Beeinträchtigung
Aufgrund der Vielzahl von theoretisch möglichen Ursachen ist es praktisch unmöglich, diese in einer
allumfassenden Tabelle abzubilden. Dennoch ist es für die Analyse, die Bewertung und zur
Behebung der mitteilungspflichtigen Beeinträchtigung unerlässlich, die Ursache zu identifizieren und
entsprechend darzulegen. Hierzu ist im Mitteilungsformular die Einordnung der Ursache in eine
Kategorie vorzunehmen und der initiale Auslöser zu benennen.
5 Meldung der mitteilungspflichtigen Beeinträchtigung
Grundsätzlich hat der Verpflichtete nach Feststellung einer mitteilungspflichtigen Beeinträchtigung
der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik diese in Form
einer vollständigen Mitteilung unverzüglich zu melden.
Ist dies nicht möglich, muss dennoch unverzüglich eine Meldung in Form einer initialen
Kurzmitteilung erfolgen.
5.1 Mitteilungsformen
Hinsichtlich der möglichen Mitteilungsformen wird zwischen "Initiale Kurzmitteilung" und
"Vollständiger Mitteilung" unterschieden.
5.1.1 Initiale Kurzmitteilung
Die initiale Kurzmitteilung kann aus Zeitmangel oder auf Grund eines unvollständigen
Informationsstands auf die bereits vorliegenden Informationen zur mitteilungspflichtigen
Beeinträchtigung beschränkt werden. Mindestens jedoch sind folgende Angaben zu machen:
• Kontaktdaten des Mitteilenden
• Information darüber, was nach ersten Erkenntnissen vorgefallen ist
• Eintritt der Beeinträchtigung(en) von Telekommunikationsnetzen und -diensten gem.
§ 109 Abs. 5 TKG (Datum und Zeit)
• Erste Einschätzung der Auswirkungen (bezüglich Bewertungskriterien)
• Mögliche Ursache(n)
Die zur vollständigen Mitteilung ausstehenden Angaben sind zu einem späteren Zeitpunkt
nachzureichen. Hierzu sollte das Mitteilungsformular verwendet werden.
Die Kurzmitteilung kann per E-Mail oder Fax an die Bundesnetzagentur und an das Bundesamt für
Sicherheit in der Informationstechnik gerichtet werden. Details hierzu sind in Abschnitt 5.2
„Mitteilungswege“ nachzulesen.
5.1.2 Vollständige Mitteilung
Die vollständige Meldung der mitteilungspflichtigen Beeinträchtigung soll in Textform erfolgen.
Hierzu sollte das Formblatt „Mitteilung nach § 109 Abs. 5 TKG" verwendet werden.
Das Formblatt zur „Mitteilung nach § 109 Abs. 5 TKG“ steht auf der Internetseite der
Bundesnetzagentur zur Verfügung. Entsprechende Funktionen zum Ausfüllen, Ausdruck,
Zurücksetzen, Speichern und E-Mail-Versand des Formulars an die Bundesnetzagentur sind im
Formblatt integriert.
Falls das Formblatt „Mitteilung nach § 109 Abs. 5 TKG“ nicht verwendet wird, so sollte die Mitteilung
inhaltlich dennoch der des Formblatts entsprechen.
Seite 8 von 10
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
22 2017 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 3453
Kommt es zu einer beträchtlichen Sicherheitsverletzung, kann die Bundesnetzagentur einen
detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen
verlangen. Details hierzu sind in Abschnitt 6, Detaillierter Bericht nachzulesen.
5.2 Mitteilungswege
Die Mitteilung sollte unverzüglich und damit auch schnellst möglichst erfolgen.
Es bietet sich daher an, die Mitteilung
per E-Mail an Sicherheitsverletzung.109@bnetza.de
oder per Telefax an (0681) 9330 734
zu übersenden, (siehe hierzu auch Abschnitt 5.3).
Nachlieferungen oder Anlagen können ggf.
per Post an die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und
Eisenbahnen
Referat IS17
An der Trift 40
66123 Saarbrücken
gesendet werden.
Die Mitteilung ist ebenso unverzüglich auch an das Bundesamt für Sicherheit in der
Informationstechnik zu richten:
Mitteilungswege des Bundesamtes für Sicherheit in der Informationstechnik sind
per E-Mail: Meldungen-tkg@bsi.bund.de
oder per Telefax: (0228) 9910 9582 6171
5.3 Vertraulichkeit der Mitteilung
Vorbehaltlich anderer gesetzlicher Vorschriften werden die näheren Umstände der Mitteilung, deren
Existenz und deren Inhalt, von der Bundesnetzagentur vertraulich behandelt.
Bei Übermittlung einer Mitteilung per E-Mail durch den Verpflichteten an die unter Abschnitt 5.2.
angegebene Adresse, wird von der Bundesnetzagentur empfohlen ein sicheres
Übermittlungsverfahren anzuwenden. Das von der Bundesnetzagentur hierzu bereitgestellte
Verfahren ist auf der Internetseite der Bundesnetzagentur unter folgendem Link ersichtlich:
https://www.bundesnetzagentur.de/siv-mitteilung
Zur elektronischen Übermittlung von Sicherheitsverletzungen stellt die Bundesnetzagentur und das
Bundesamt für Sicherheit in der Informationstechnik einen öffentlichen PGP-Schlüssel zur
Verfügung, um die Nachricht als E-Mail verschlüsselt zu übertragen.
Der öffentliche PGP-Schlüssel der Bundesnetzagentur wird unter folgendem Link als Textdatei zum
Download bereitgestellt:
https://www.bundesnetzagentur.de/siv-mitteilung
Seite 9 von 10
Bonn, 22. November 2017
Amtsblatt der Bundesnetzagentur
für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen
3454 – Mitteilungen, Telekommunikation, Teil A, Mitteilungen der Bundesnetzagentur – 22 2017
Der öffentliche PGP-Schlüssel des Bundesamts für Sicherheit in der Informationstechnik wird unter
folgendem Link als Textdatei zum Download bereitgestellt:
http://bsi.bund.de/FAQ-Meldepflicht-IT-SiG
Der Jahresbericht über die eingegangenen Mitteilungen und die ergriffenen Abhilfemaßnahmen wird
von der Bundesnetzagentur in anonymisierter Form an die Europäische Kommission, die
Europäische Agentur für Netz- und Informationssicherheit und an das Bundesamt für Sicherheit in
der Informationstechnik versendet.
6 Detaillierter Bericht
Ergibt die Auswertung der Mitteilung durch die Bundesnetzagentur, dass Aspekte der beträchtlichen
Sicherheitsverletzung genauer untersucht werden müssen, verlangt diese vom Verpflichteten einen
detaillierten Bericht, inklusive der ergriffenen Abhilfemaßnahmen.
Seite 10 von 10
Bonn, 22. November 2017
