Telekommunikationsgesetz – TKG

(1) ¹Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, macht an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik:
²

1.

unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;

2.

unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;

3.

auf Ersuchen der Bundesnetzagentur oder dem Bundesamt für Sicherheit in der Informationstechnik eine Zwischenmeldung über relevante Statusaktualisierungen;

4.

spätestens einen Monat nach Übermittlung der Meldung des erheblichen Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:

a)

eine ausführliche Beschreibung des erheblichen Sicherheitsvorfalls, einschließlich seines Schwergrads und seiner Auswirkungen;

b)

Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;

c)

Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;

d)

Gegebenenfalls die grenzüberschreitenden Auswirkungen des erheblichen Sicherheitsvorfalls.

§ 42 Absatz 4 und § 43 Absatz 4 des Bundesdatenschutzgesetzes gelten entsprechend.

(2) Dauert der erhebliche Sicherheitsvorfall im Zeitpunkt des Absatz 1 Satz 1 Nummer 4 noch an, legt der Betroffene statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fortschrittsmeldung und eine Abschlussmeldung innerhalb eines Monats nach Abschluss der Bearbeitung des erheblichen Sicherheitsvorfalls vor.

(3) Ein Sicherheitsvorfall gilt als erheblich, wenn

1.

er schwerwiegende Betriebsstörungen oder finanzielle Verluste für den betreffenden Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste verursacht hat oder verursachen kann, oder

2.

er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

(4) ¹Die Bundesnetzagentur legt Einzelheiten des Meldeverfahrens fest.
²Die Bundesnetzagentur kann einen detaillierten Bericht über den Sicherheitsvorfall und die ergriffenen Abhilfemaßnahmen verlangen.

(5) ¹Die Bundesnetzagentur übermittelt den nach Absatz 1 Satz 1 Verpflichteten unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach der frühen Erstmeldung nach Absatz 1 Satz 1 Nummer 1 eine Bestätigung über den Eingang der Meldung.
²Das Bundesamt für Sicherheit in der Informationstechnik kann auf Ersuchen der nach Absatz 1 Satz 1 Verpflichteten zusätzliche technische Unterstützung, Orientierungshilfen oder operative Beratung zu Abhilfemaßnahmen leisten.
³Das Bundesamt für Sicherheit in der Informationstechnik informiert die Bundesnetzagentur über Maßnahmen nach Satz 2.

(6) ¹Erforderlichenfalls unterrichtet die Bundesnetzagentur die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union und die Agentur der Europäischen Union für Cybersicherheit über den Sicherheitsvorfall.
²Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Sicherheitsvorfall zu verhindern oder zu bewältigen, oder liegt die Offenlegung des erheblichen Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann die Bundesnetzagentur nach Anhörung der nach Absatz 1 Satz 1 Verpflichteten die Öffentlichkeit unterrichten oder die nach Absatz 1 Satz 1 Verpflichteten zu dieser Unterrichtung verpflichten.

(7) ¹Im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls informieren die nach Absatz 1 Satz 1 Verpflichteten die von dieser Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz- oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können sowie gegebenenfalls auch über die Gefahr selbst.
²§ 42 des BSI-Gesetzes gilt entsprechend.

(8) Die Bundesnetzagentur legt der Kommission, der Agentur der Europäischen Union für Cybersicherheit und dem Bundesamt für Sicherheit in der Informationstechnik einmal pro Jahr einen zusammenfassenden Bericht über die eingegangenen Meldungen und die ergriffenen Abhilfemaßnahmen vor.