Haufe Online Redaktion
Haufe Online Redaktion
BSI-FAQ zu IT-Sicherheitspflichten von UBI-Unternehmen
Bild: Haufe Online Redaktion Unternehmen in besonderem öffentlichen Interesse, sogenannte UBIs, haben starke IT-Sicherheitspflichten

Mit dem Sicherheitsgesetz 2.0 wurde der Kreis von Unternehmen erweitert, für die wegen ihrer großen Bedeutung für das staatliche Gemeinwesen besondere Vorgaben im Hinblick auf die IT-Sicherheit gelten. In einer neuen FAQ erläutert das BSI jetzt, was auf betroffene Unternehmen zukommt.

Schon seit längerem gibt es für Betreiber von kritischen Infrastrukturen spezielle gesetzliche Vorgaben im Bereich der IT-Sicherheit, durch die diese für die Gesellschaft lebenswichtigen Einrichtungen besser vor Ausfällen, insbesondere durch Hackerangriffe aber auch sonstige IT-Probleme, geschützt werden sollen. Zu dieser Gruppe der sogenannten KRITIS-Organisationen gehören etwa Unternehmen und Einrichtungen in Bereichen wie Energie- und Wasserversorgung, Informationstechnik und Telekommunikation oder Transport und Verkehr.

Welches sind Unternehmen in besonderem öffentlichen Interesse (UBI)?

Mit dem im Frühjahr in Kraft getretenen IT-Sicherheitsgesetz 2.0 wurden nun eine weitere Kategorie von Unternehmen eingeführt, die ebenfalls von besonderer Bedeutung sind, und für die es daher gleichfalls neue Vorgaben gibt. Bezeichnet werden diese als Unternehmen im besonderen öffentlichen Interesse (kurz UBI), und in § 2 Abs. 14 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) wird definiert, welche Unternehmen in diese Kategorie fallen. Demnach lassen sich hier drei Bereiche unterscheiden:

  • Unternehmen im Bereich der Rüstungsindustrie (UBI 1)
  • Unternehmen, die aufgrund ihrer Größe eine erhebliche Bedeutung für die Volkswirtschaft haben sowie deren wichtige Zulieferer (UBI 2)
  • Unternehmen im Bereich der Gefahrenstoffe (UBI 3)

FAQ zu den neuen Pflichten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt knapp ein halbes Jahr nach Inkrafttreten des Gesetzes eine  FAQ veröffentlicht, in dem es erläutert, welche neuen Verpflichtungen auf derartige Unternehmen zukommen und wie diese aktiv werden müssen:

  • Registrierungspflicht

So sind die Unternehmen der Gruppen UBI 1 und UBI 2 nach § 8f Abs. 5 BSIG zunächst einmal verpflichtet, sich registrieren zu lassen und eine Kontaktstelle zu benennen. Bei Unternehmen im Bereich der Gefahrenstoffe (UBI 3) sind diese Punkte dagegen freiwillig.

  • Meldepflicht bei Vorfällen

Nach § 8f Abs. 7 müssen die betroffenen Unternehmen zudem auftretende Sicherheitsvorfälle an das BSI melden. Melderelevant sind Vorfälle, die einen Ausfall oder eine erhebliche Beeinträchtigung der Erbringung der Wertschöpfung verursacht haben, oder auch nur das Potenzial zu solchen Beeinträchtigungen besitzen. Kleinere Störfälle müssen dagegen nicht gemeldet werden.

  • Selbsterklärung zur IT-Sicherheit

Unternehmen der Gruppen UBI 1 und UBI 2 sind zudem verpflichtet, alle 2 Jahre eine Selbsterklärung zur IT-Sicherheit abzugeben. Hierin sollen etwa Angaben zu den IT-Sicherheitszertifizierungen in diesem Zeitraum gemacht werden, ebenso soll über sonstige IT-Sicherheitsaudits oder Sicherheitsprüfungen berichtet werden und schließlich sollen in dieser Erklärung auch Informationen über den Schutz der besonders relevanten IT-Systeme enthalten sein.

Fristen für Registrierung und Meldungspflicht

Je nach Unternehmenskategorie besteht daher aktuell mehr oder weniger Handlungsbedarf.

Am meisten Zeit können sich Unternehmen vom Typ UBI 2 lassen, also die besonders großen Unternehmen sowie deren wichtige Zulieferer. Hier beginnt erst nach dem Inkrafttreten der UBI-VO eine zweijährige Frist zu laufen, nach deren Ablauf die Registrierung, die Abgabe der Selbstverpflichtung und die Meldungen von Störungen erfolgen müssen. Wann diese Verordnung durch das Bundesinnenministerium erlassen wird, ist noch offen.

Unternehmen im Bereich der Rüstungsindustrie (UBI 1) haben noch bis zu 1. Mai 2023 Zeit für Registrierung, Selbsterklärung und Abgabe von Meldungen bei IT-Störfällen.

Unternehmen der Gruppe UBI 3 sind zwar von der Registrierungspflicht befreit und müssen auch keine Selbsterklärung zur IT-Sicherheit abgeben, jedoch tritt hier die Pflicht zur Meldung von Störungen bereits ab dem 1. November 2021 in Kraft.

Bei Verletzung der Pflichten drohen Bußgelder

Unternehmen, die gegen die Pflichten zur Registrierung, Benennung von Kontaktstellen, Selbstauskunft oder zur Abgabe von Meldungen bei IT-Sicherheitsvorfällen verstoßen, können mit Bußgeldern von bis zu einer halben Million Euro bestraft werden

BSI-FAQ zu UBI-IT-Pflichten

Weitere News zum Thema:

IT-Sicherheitsbeauftragten bestellen

BSI warnt vor Hackerangriffen über Schwachstellen in Microsoft Exchange

Schlagworte zum Thema:  IT-Sicherheit
Meistgelesene beiträge
Neueste beiträge