KRITIS-Meldepflicht in 72 Stunden: der Eskalationsleitfaden

Die Frist von 72 Stunden ist keine Empfehlung, sondern eine harte Bedingung an die Organisation eines KRITIS-Betreibers. Wer sie nicht halten kann, hat kein Meldethema, sondern ein Strukturthema.

Boswau und Knauer arbeitet seit Jahren in Sektoren, in denen Sicherheitsvorfälle nicht nur technische, sondern aufsichtsrechtliche Konsequenzen tragen. Die Beobachtung aus der Praxis ist deutlich: Die Mehrheit der Verspätungen in der KRITIS-Meldung entsteht nicht in der Technik, sondern in der Eskalationskette. Der Vorfall ist erkannt. Die Person, die die Erstmeldung erstellen darf, ist nicht erreichbar. Der Zugang zum BSI-Meldeportal liegt bei einem Mitarbeiter, der im Urlaub ist. Die Faktenlage ist zwischen Werkschutz, IT und Geschäftsführung verteilt, ohne dass ein abgestimmter Text existiert. Aus diesen Lücken entstehen Verspätungen, die später als technische Verzögerungen dargestellt werden, aber organisatorische Lücken sind.

Dieser Beitrag ordnet die operative Praxis einer rechtzeitigen Meldung. Er ist nicht als juristische Beratung gedacht, sondern als Beschreibung der Abläufe, die ein Betreiber vorhalten muss, damit die 72-Stunden-Frist im Ernstfall nicht zur zusätzlichen Belastung wird.

Was die 72 Stunden tatsächlich bedeuten

Die Frist beginnt nicht mit dem ersten technischen Alarm, sondern mit der Kenntnisnahme einer erheblichen Störung im Sinne des BSI-Gesetzes. Diese Unterscheidung ist in der Praxis selten so klar, wie sie in der Norm erscheint. Eine erhebliche Störung kann sich aus einer Reihe von Einzelvorfällen aufbauen, deren erste Glieder zunächst als Routineereignisse eingeordnet werden. Die Bewertung, ab welchem Punkt aus einer Sammlung von Anomalien eine meldepflichtige Lage wird, ist Aufgabe einer benannten Funktion im Unternehmen. Sie kann nicht an die Schichtleitung delegiert werden, weil die Schichtleitung in der Regel weder den regulatorischen Rahmen noch die Folgen einer verspäteten Meldung im Blick hat.

In der Praxis bedeutet das, dass jeder Betreiber eine klare Bewertungskaskade definieren muss. Diese Kaskade beschreibt, welcher Sachverhalt von welcher Person innerhalb welcher Frist beurteilt wird. Sie endet bei einer Funktion, die berechtigt und verpflichtet ist, die Meldung auszulösen. Diese Funktion ist in der Regel die Beauftragte oder der Beauftragte für die Informationssicherheit, abgestimmt mit der Geschäftsführung. Wer diese Kaskade nicht dokumentiert hat, beginnt die 72 Stunden mit interner Klärung statt mit operativer Meldung.

Die Zeit, die in der internen Bewertung verloren geht, ist nach Beobachtung der Branche der größte Einzelposten in der Frist. Wer die Bewertungskaskade nicht so eingerichtet hat, dass sie innerhalb weniger Stunden zu einem belastbaren Ergebnis kommt, verliert von den 72 Stunden regelmäßig die ersten 24. Was bleibt, ist die Hälfte der Frist für die eigentliche Aufgabe: Faktenlage, Erstmeldung, interne Abstimmung, Übermittlung.

Die 72 Stunden enthalten auch das Wochenende. Sie enthalten Feiertage, Nachtstunden, Urlaubszeiten. Wer seine Eskalationskette ausschließlich auf Werktage angelegt hat, hat die Frist in einem Drittel des Jahres nicht im Griff. Diese Beobachtung ist trivial, sie wird in der Auditpraxis aber regelmäßig als Lücke festgestellt.

Die Erstmeldung als operativer Mindeststandard

Die Erstmeldung im BSI-Meldeportal ist bewusst auf das Wesentliche beschränkt. Sie verlangt eine Beschreibung der Störung, eine Einschätzung der Auswirkungen, eine erste Angabe zur Ursache, soweit bekannt, und eine Aussage zur betroffenen Anlage. Die Erstmeldung ist nicht der Abschlussbericht. Sie ist die rechtzeitige Information der Aufsicht über eine Lage, die sich noch in Klärung befindet.

In der Praxis bedeutet das, dass die Erstmeldung erstellbar sein muss, bevor alle Fragen beantwortet sind. Wer mit dem Meldetext wartet, bis er vollständig ist, meldet zu spät. Die operative Konsequenz ist ein Textbaustein-System, das die Standardformulierungen vorhält und nur noch um die fallspezifischen Angaben ergänzt wird. Solche Bausteine müssen vorab juristisch geprüft sein, damit im Ernstfall keine Diskussion über Formulierungen entsteht. Wer die Erstmeldung in der Krise frei formuliert, riskiert Aussagen, die in späteren Verfahren gegen ihn verwendet werden.

Die Erstmeldung verlangt einen Absender mit Zeichnungsbefugnis. Diese Befugnis muss redundant hinterlegt sein. Es genügt nicht, wenn eine einzelne Person den Zugang zum Meldeportal hat. Mindestens zwei, besser drei Personen müssen in der Lage sein, die Meldung im Namen des Betreibers abzugeben. Die Zugänge müssen regelmäßig getestet werden. Ein Zugang, der seit zwölf Monaten nicht benutzt wurde, ist mit hoher Wahrscheinlichkeit nicht mehr funktionsfähig, weil Passwörter abgelaufen sind, Token nicht synchronisiert wurden oder personelle Veränderungen den Zugang faktisch geschlossen haben. Der Test des Meldezugangs gehört zum quartalsweisen Routinegeschäft eines KRITIS-Betreibers.

Die Erstmeldung muss intern abgestimmt sein, bevor sie das Haus verlässt. Diese Abstimmung umfasst die Geschäftsführung, die Informationssicherheit, die Rechtsabteilung und, je nach Lage, die Kommunikation. Wer diese Abstimmung in der Krise ad hoc organisiert, verliert Stunden, die später fehlen. Die operative Antwort ist ein vordefinierter Verteiler mit gestaffelten Zustimmungsfristen. Wer innerhalb von zwei Stunden nicht widerspricht, gilt als zustimmend. Diese Verfahrensregel klingt streng. Sie ist die einzige, die unter Zeitdruck trägt.

Die Eskalationskette in der Praxis

Eine funktionierende Eskalationskette hat drei Eigenschaften. Sie ist hierarchisch klar, sie ist redundant besetzt, und sie ist zeitlich definiert. Wer eine dieser drei Eigenschaften verletzt, baut eine Kette, die im Ernstfall reißt.

Hierarchische Klarheit bedeutet, dass jeder Schritt der Kette eine eindeutige Verantwortlichkeit hat. Die Schichtleitung erkennt den Vorfall und meldet ihn an die Lagezentrale. Die Lagezentrale prüft die Faktenlage und alarmiert die Informationssicherheit. Die Informationssicherheit bewertet die Meldepflicht und informiert die Geschäftsführung. Die Geschäftsführung entscheidet über die Erstmeldung. Diese vier Schritte sind in der Theorie einfach. In der Praxis scheitern sie häufig daran, dass mehrere Personen gleichzeitig glauben, eine andere Person sei zuständig.

Redundante Besetzung bedeutet, dass jede Rolle mindestens zweifach besetzt ist und dass die Vertretung im Vorhinein geregelt ist. Wer im Urlaub ist, hat eine namentlich benannte Vertretung. Wer krank ist, hat eine namentlich benannte zweite Vertretung. Diese Kette darf nicht nach drei Stufen ins Leere laufen. Die Bundesnetzagentur und das BSI akzeptieren keine Abwesenheit als Begründung für eine Fristverletzung. Der Betreiber muss die Erreichbarkeit organisatorisch sicherstellen.

Zeitliche Definition bedeutet, dass jede Stufe der Eskalation eine maximale Reaktionszeit hat. Die Schichtleitung meldet innerhalb von 30 Minuten. Die Lagezentrale bewertet innerhalb von 60 Minuten. Die Informationssicherheit gibt ihre Einschätzung innerhalb von 120 Minuten. Die Geschäftsführung entscheidet innerhalb von 240 Minuten. Wer diese Zeiten nicht definiert hat, verlässt sich auf gute Absichten. Gute Absichten sind unter Druck unzuverlässig.

Boswau und Knauer hat im Rahmen seiner Sicherheitsaudits regelmäßig die Beobachtung gemacht, dass die Eskalationskette auf dem Papier existiert, in der Übung aber nicht hält. Die Übung ist die einzige Methode, die Funktionsfähigkeit der Kette nachzuweisen. Mindestens einmal jährlich sollte ein realitätsnaher Probelauf erfolgen, in dem ein fiktiver Vorfall durch die gesamte Kette geführt wird, einschließlich der Erstellung einer Test-Erstmeldung. Diese Übung deckt Lücken auf, die in der täglichen Routine nicht sichtbar sind. Sie ist im Buch BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie, als eines der Elemente beschrieben, die einen Betreiber von einer formalen zu einer faktischen Compliance führen.

Die Folgemeldung und der Abschlussbericht

Die Erstmeldung ist nur der erste Schritt. Das BSI erwartet, dass der Betreiber den Vorfall nachhält und in regelmäßigen Abständen aktualisierte Meldungen abgibt. Diese Folgemeldungen enthalten den Stand der Untersuchung, die ergriffenen Maßnahmen, die festgestellten Ursachen und die Wirkungsabschätzung. Sie sind nicht freiwillig. Sie sind Teil der Mitwirkungspflicht.

In der Praxis bedeutet das, dass nach der Erstmeldung sofort die Aufgabenverteilung für die Folgemeldungen organisiert werden muss. Die Person, die die Erstmeldung abgegeben hat, ist in der Regel nicht die Person, die die Untersuchung leitet. Aber sie ist die Person, die für die Aufsicht der Ansprechpartner bleibt. Diese Rolle muss durchgehend besetzt sein, von der Erstmeldung bis zum Abschlussbericht. Wechselt der Ansprechpartner mehrfach, entstehen Reibungsverluste, die im Verhältnis zur Aufsicht unangenehm sind.

Der Abschlussbericht fasst den Vorfall in einer Form zusammen, die der Aufsicht erlaubt, die Lage abschließend zu bewerten. Er enthält die Ursachenanalyse, die Schadensbilanz, die ergriffenen und die geplanten Maßnahmen sowie eine Bewertung der eigenen Eskalationskette. Letzteres ist ein Punkt, der in der Praxis häufig vergessen wird. Die Aufsicht interessiert nicht nur, was passiert ist, sondern auch, was der Betreiber daraus für seine eigene Organisation gelernt hat. Wer hier substantielle Erkenntnisse liefert, signalisiert Reife. Wer ausweicht, signalisiert das Gegenteil.

Die Dokumentation aller Meldungen und Berichte muss revisionsfest archiviert werden. In späteren Verfahren, sei es aufsichtsrechtlich oder versicherungsrechtlich, ist die Konsistenz der Aussagen über die Zeit hinweg entscheidend. Widersprüche zwischen Erstmeldung, Folgemeldungen und Abschlussbericht sind eine der häufigsten Ursachen für Folgekomplikationen. Wer seine Meldungen mit der gleichen Sorgfalt erstellt wie eine Bilanz, schützt sich vor diesen Komplikationen.

Die Schnittstelle zur Versicherung und zu weiteren Behörden

Eine KRITIS-Meldung an das BSI ist selten die einzige Pflicht, die durch einen Sicherheitsvorfall ausgelöst wird. Je nach Lage kommen Meldungen an die zuständige Datenschutzaufsicht hinzu, an die Bundesnetzagentur, an Branchenaufsichten, an die Polizei, an Versicherer. Jede dieser Meldungen hat ihre eigene Frist, ihre eigene Form, ihren eigenen Adressaten. Wer sie nicht koordiniert, läuft Gefahr, in verschiedenen Meldungen unterschiedliche Sachverhalte zu schildern.

Die operative Konsequenz ist eine zentrale Meldekoordination, die alle ausgehenden Meldungen auf inhaltliche Konsistenz prüft. Diese Funktion ist nicht identisch mit der Person, die die einzelnen Meldungen abgibt. Sie ist die Funktion, die sicherstellt, dass die Sachverhaltsdarstellung über alle Adressaten hinweg dieselbe ist. Inkonsistenzen zwischen einer BSI-Meldung und einer parallelen Versicherungsmeldung können dazu führen, dass die Versicherung den Schaden nicht reguliert, weil sie den Eindruck einer veränderten Darstellung gewinnt. Diese Konstellation ist in der Branche dokumentiert und wird in der GDV-Praxis regelmäßig diskutiert.

Auch die Kommunikation mit Strafverfolgungsbehörden verlangt Sorgfalt. Eine Anzeige bei der Polizei ist in vielen KRITIS-Fällen sinnvoll oder geboten. Sie hat aber Konsequenzen für die parallele Untersuchung, weil bestimmte Beweise nicht mehr frei zugänglich sind, sobald sie in einem Ermittlungsverfahren liegen. Die Reihenfolge der Meldungen und Anzeigen sollte deshalb vorab mit der Rechtsabteilung geklärt sein. Wer in der Krise spontan handelt, schließt sich später Wege zu, die er gebraucht hätte.

Die TÜV-Auditoren, die im Rahmen der Nachweispflichten nach Paragraf 8a BSIG die Umsetzung der Sicherheitsmaßnahmen prüfen, betrachten regelmäßig auch die Meldeorganisation. Wer hier Lücken zeigt, sammelt Feststellungen, die im nächsten Auditzyklus geschlossen werden müssen. Die Meldeorganisation ist damit nicht nur ein Krisenthema, sondern ein dauerhaftes Thema der Aufsicht.

Was bleibt

Die 72-Stunden-Frist ist eine Stresstestfrist für die Organisation eines KRITIS-Betreibers. Wer sie hält, hat eine funktionierende Eskalationskette, redundante Zugänge, vordefinierte Textbausteine und eine geübte Koordination zwischen Informationssicherheit, Rechtsabteilung und Geschäftsführung. Wer sie nicht hält, hat in der Regel kein technisches, sondern ein strukturelles Defizit.

Die Beobachtung aus der Praxis ist klar. Verspätungen entstehen in der internen Bewertung, in der Erreichbarkeit der entscheidungsbefugten Funktionen und in der Abstimmung der Meldetexte. Diese drei Punkte lassen sich vorbereiten. Sie verlangen Disziplin, Übung und eine schriftliche Verankerung, die im Ernstfall nicht diskutiert wird. Wer diese Vorbereitung leistet, sieht in der Frist keine Bedrohung, sondern eine handhabbare Verpflichtung.

Wer überprüfen will, ob die eigene Meldeorganisation diesen Anforderungen genügt, beginnt am besten mit einem strukturierten Audit, das die Eskalationskette von der Schichtleitung bis zur Erstmeldung in einem realitätsnahen Szenario durchläuft. Ein solches Audit dauert in der Regel drei bis fünf Tage und liefert eine dokumentierte Standortbestimmung, die intern oder gegenüber Aufsicht und Versicherer verwertbar ist. Wer den Schritt nicht in dieser Tiefe gehen will, kann mit einem vertraulichen Gespräch über sechzig Minuten beginnen, in dem die kritischen Punkte der eigenen Meldeorganisation gemeinsam mit einem Mitglied der Geschäftsleitung von Boswau und Knauer durchgegangen werden. In beiden Fällen ist das Ergebnis dasselbe: eine Lage, die vorher diffus war, ist danach konkret.

Häufige Fragen

Wie wird eine Erstmeldung erstellt?

Die Erstmeldung erfolgt über das Meldeportal des BSI mit den hinterlegten Zugangsdaten des Betreibers. Sie verlangt eine Kurzbeschreibung der Störung, eine Einschätzung der Auswirkungen auf die kritische Dienstleistung, eine erste Ursachenangabe, soweit bekannt, und Angaben zur betroffenen Anlage. Operativ funktioniert das nur, wenn vordefinierte Textbausteine vorliegen, die juristisch geprüft sind, und wenn der Zugang zum Portal redundant besetzt ist. Die Erstmeldung ist bewusst unvollständig, sie wird durch Folgemeldungen ergänzt. Wer auf vollständige Klärung wartet, meldet zu spät.

Wer meldet im Unternehmen?

Die Meldebefugnis liegt typischerweise bei der oder dem Beauftragten für Informationssicherheit, abgestimmt mit der Geschäftsführung. Entscheidend ist nicht der Titel, sondern die schriftlich hinterlegte Zeichnungsbefugnis im Verhältnis zum BSI. Diese Befugnis muss mindestens dreifach besetzt sein, damit Urlaub, Krankheit und unvorhergesehene Abwesenheit die Meldung nicht blockieren. Die benannten Personen müssen den Zugang zum Meldeportal quartalsweise testen und die Kontaktdaten beim BSI aktuell halten. Eine ungetestete Befugnis ist im Ernstfall häufig keine funktionierende Befugnis.

Welche Informationen sind Pflicht?

Pflichtangaben umfassen die Identität des Betreibers und der betroffenen Anlage, eine Beschreibung der Störung mit Beginn und Dauer, die Auswirkungen auf die kritische Dienstleistung, die bisher erkannten Ursachen, die ergriffenen Sofortmaßnahmen und eine Einschätzung der weiteren Entwicklung. Hinzu kommen Angaben zu betroffenen Dritten, soweit bekannt, und zur Frage, ob weitere Behörden parallel informiert wurden. Die Angaben müssen mit späteren Folgemeldungen konsistent bleiben. Widersprüche zwischen Erst- und Folgemeldung sind in aufsichtsrechtlichen Nachprüfungen und in versicherungsrechtlichen Verfahren regelmäßig nachteilig.

Was passiert bei verspäteter Meldung?

Eine verspätete oder unterlassene Meldung ist eine Ordnungswidrigkeit nach dem BSI-Gesetz und kann mit Bußgeldern belegt werden, die je nach Schwere und Betreibergröße erheblich ausfallen. Schwerer wiegen in der Praxis die mittelbaren Folgen: Verlust des Vertrauens der Aufsicht, intensivere Prüfungen in den folgenden Auditzyklen, Komplikationen mit Versicherern und Reputationsschäden gegenüber Geschäftspartnern. Eine verspätete Meldung wird selten durch eine spätere ausführliche Meldung geheilt. Sie bleibt als Eintrag in der Beziehung zur Aufsicht erhalten und prägt diese über mehrere Jahre.