(1) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik einen Sicherheitsvorfall mit beträchtlichen Auswirkungen auf den Betrieb der Netze oder die Erbringung der Dienste unverzüglich mitzuteilen. § 42 Absatz 4 und § 43 Absatz 4 des Bundesdatenschutzgesetzes gelten entsprechend.
(2) Das Ausmaß der Auswirkungen eines Sicherheitsvorfalls ist – sofern verfügbar – insbesondere anhand folgender Kriterien zu bewerten:
- 1.
- die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer,
- 2.
- die Dauer des Sicherheitsvorfalls,
- 3.
- die geographische Ausdehnung des von dem Sicherheitsvorfall betroffenen Gebiets,
- 4.
- das Ausmaß der Beeinträchtigung des Telekommunikationsnetzes oder des Dienstes,
- 5.
- das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.
(3) Die Mitteilung nach Absatz 1 Satz 1 muss die folgenden Angaben enthalten:
- 1.
- Angaben zu dem Sicherheitsvorfall,
- 2.
- Angaben zu den Kriterien nach Absatz 2,
- 3.
- Angaben zu den betroffenen Systemen sowie
- 4.
- Angaben zu der vermuteten oder tatsächlichen Ursache.
(4) Die Bundesnetzagentur legt Einzelheiten des Mitteilungsverfahrens fest. Die Bundesnetzagentur kann einen detaillierten Bericht über den Sicherheitsvorfall und die ergriffenen Abhilfemaßnahmen verlangen.
(5) Erforderlichenfalls unterrichtet die Bundesnetzagentur die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union und die Agentur der Europäischen Union für Cybersicherheit über den Sicherheitsvorfall. Die Bundesnetzagentur kann die Öffentlichkeit unterrichten oder die nach Absatz 1 Satz 1 Verpflichteten zu dieser Unterrichtung verpflichten, wenn sie zu dem Schluss gelangt, dass die Bekanntgabe des Sicherheitsvorfalls im öffentlichen Interesse liegt.
(6) Im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls informieren die nach Absatz 1 Satz 1 Verpflichteten die von dieser Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz- oder Abhilfemaßnahmen, die von den Nutzern ergriffen werden können sowie gegebenenfalls auch über die Gefahr selbst. § 8e des BSI-Gesetzes gilt entsprechend.
(7) Die Bundesnetzagentur legt der Kommission, der Agentur der Europäischen Union für Cybersicherheit und dem Bundesamt für Sicherheit in der Informationstechnik einmal pro Jahr einen zusammenfassenden Bericht über die eingegangenen Meldungen und die ergriffenen Abhilfemaßnahmen vor.