(2) Wer ein öffentliches Telekommunikationsnetz betreibt, hat der Bundesnetzagentur das Sicherheitskonzept unverzüglich nach der Aufnahme des Netzbetriebs vorzulegen. Wer öffentlich zugängliche Telekommunikationsdienste erbringt, kann von der Bundesnetzagentur verpflichtet werden, das Sicherheitskonzept vorzulegen.
(3) Mit dem Sicherheitskonzept ist eine Erklärung vorzulegen, dass die in dem Sicherheitskonzept aufgezeigten technischen Vorkehrungen und sonstigen Schutzmaßnahmen umgesetzt sind oder unverzüglich umgesetzt werden.
(4) Stellt die Bundesnetzagentur im Sicherheitskonzept oder bei dessen Umsetzung Sicherheitsmängel fest, so kann sie die unverzügliche Beseitigung dieser Mängel verlangen. Sofern sich die dem Sicherheitskonzept zugrunde liegenden Gegebenheiten ändern, hat der nach Absatz 2 Verpflichtete das Sicherheitskonzept unverzüglich nach der Änderung anzupassen und der Bundesnetzagentur unverzüglich nach erfolgter Anpassung unter Hinweis auf die Änderungen erneut vorzulegen.
(5) Die Bundesnetzagentur überprüft regelmäßig die Umsetzung des Sicherheitskonzepts. Die Überprüfung soll mindestens alle zwei Jahre erfolgen.
§ 167 Katalog von Sicherheitsanforderungen (1) Die Bundesnetzagentur legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit durch Allgemeinverfügung in einem Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations-​ und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten fest:
1.
Einzelheiten der nach § 165 Absatz 1 bis 7 zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen unter Be‑
achtung der verschiedenen Gefährdungspotenziale der öffentlichen Telekommunikationsnetze und öffentlich zugänglichen Telekommunikationsdienste,
2.
welche Funktionen kritische Funktionen im Sinne von § 2 Absatz 13 Satz 1 Nummer 3 Buchstabe b des BSI-​Gesetzes sind, die von kritischen Komponenten im Sinne von § 2 Absatz 13 des BSI-​Gesetzes realisiert werden, und
3.
wer als Betreiber öffentlicher Telekommunikationsnetze und als Anbieter öffentlich zugänglicher Telekommunikationsdienste mit erhöhtem Gefährdungspotenzial einzustufen ist.
Der Katalog von Sicherheitsanforderungen nach Satz 1 kann auch Anforderungen zur Offenlegung und Interoperabilität von Schnittstellen von Netzkomponenten einschließlich einzuhaltender technischer Standards enthalten. Die Bundesnetzagentur gibt den Herstellern, den Verbänden der Betreiber öffentlicher Telekommunikationsnetze und den Verbänden der Anbieter öffentlich zugänglicher Telekommunikationsdienste Gelegenheit zur Stellungnahme.
(2) Die Verpflichteten haben die Vorgaben des Katalogs spätestens ein Jahr nach dessen Inkrafttreten zu erfüllen, es sei denn, in dem Katalog ist eine davon abweichende Umsetzungsfrist festgelegt worden.
§ 168 Mitteilung eines Sicherheitsvorfalls (1) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik einen Sicherheitsvorfall mit beträchtlichen Auswirkungen auf den Betrieb der Netze oder die Erbringung der Dienste unverzüglich mitzuteilen. § 42 Absatz 4 und § 43 Absatz 4 des Bundesdatenschutzgesetzes gelten entsprechend.