IT-Sicherheitsgesetz 2.0: Selbsterklärung UBI 1-Unternehmen

Unternehmen im besonderen öffentlichen Interesse (UBI) müssen Selbsterklärung zur IT-Sicherheit abgeben

Nach dem IT-Sicherheitsgesetz 2.0 gibt es seit 2021 für Unternehmen im besonderen öffentlichen Interesse (UBI) zusätzliche Regulierungen für die IT-Sicherheit: Für Unternehmen der Kategorie UBI 1 läuft am 1. Mai 2023 die zweijährige Abgabefrist für die Selbsterklärung zur IT-Sicherheit ab. Unternehmen, die unter die Kategorie UBI 2 fallen, haben dafür voraussichtlich noch mindestens bis 2026 Zeit.

Das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das auch als IT-Sicherheitsgesetz 2.0 bezeichnet wird, ist 2021 in Kraft getreten. Es sieht neue Regelungen für Unternehmen im besonderen öffentlichen Interesse, kurz UBI, vor. Welche Unternehmen im besonderen öffentlichen Interesse stehen, ist im BSI-Gesetz (BSIG, Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) festgelegt.

UBI werden in drei Kategorien eingeteilt

§ 2 Abs. 14 BSIG definiert die UHR-Unternehmen und teilt diese in drei Kategorien ein:

  • UBI 1 (AWV-UBI) sind Hersteller oder Entwickler von Gütern im Sinne von § 60 Außenwirtschaftsverordnung (AWV), also Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentlicher Komponenten solcher Produkte tätig sind.
  • UBI 2 (Wertschöpfungs-UBI) sind die nach ihrer inländischen Wertschöpfung größten Unternehmen Deutschlands sowie wesentliche Zulieferer für diese Unternehmen. Die genauen wirtschaftlichen Kennzahlen zur Identifizierung der größten Unternehmen werden noch per Rechtsverordnung festgelegt.
  • UBI 3 (Störfall-UBI) sind Betreiber „eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung" oder Betreiber, die „nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.“

UBI- und KRITIS-Zuordnungen

Bei der Kategorisierung kommt Unternehmen, die Betreiber Kritischer Infrastrukturen (KRITIS) gemäß BSIG sind, eine Sonderrolle zu. Sie unterliegen immer den KRITIS-Bestimmungen des BSIG und gelten nicht als UBI. Ein Unternehmen kann also nicht gleichzeitig KRITIS-Betreiber und UBI sein. Besteht ein Konzern jedoch aus mehreren Unternehmen, können einige davon UBI-Unternehmen sein, während andere KRITIS-Betreiber sind. Auch ist es durchaus möglich, dass ein Unternehmen in mehrere UBI-Kategorien fällt: Für große Rüstungsunternehmen gelten oft alle drei UBI-Kategorien.

Neue gesetzliche Pflichten für UBI-Unternehmen

UBI-Unternehmen müssen je nach ihrer UBI-Kategorie gesetzliche Pflichten beachten, die in § 8f BSIG geregelt sind:

  1. Für UBI 1 und UBI 2 gilt die Pflicht zur Registrierung und zur Benennung einer erreichbaren Kontaktstelle (§ 8f Abs. 5 BSIG), für UBI 3 ist die Registrierung freiwillig (§ 8f Abs. 6 BSIG).
  2. UBI 1 und UBI 2 müssen nach Abgabe der Selbsterklärung Sicherheitsvorfälle melden (§ 8f Abs. 7 BSIG), für UBI 3 gilt diese Meldepflicht bereits ab dem 01.11.2021 (§ 8f Abs. 8 BSIG).
  3. UBI 1 und UBI 2 sind verpflichtet, eine Selbsterklärung zur IT-Sicherheit abzugeben (§ 8f Abs. 1 Nr. 1 bis 3 BSIG).

Die Selbsterklärung zur IT-Sicherheit ist mit folgenden Fristen verbunden:

  • Unternehmen der Kategorie UBI 1 müssen bis zum 1. Mai 2023 eine Registrierung und eine Selbsterklärung beim BSI (Bundesamt für Sicherheit in der Informationstechnik) abgeben. Dann endet die zweijährige Abgabefrist.
  • Für Unternehmen der Kategorie UBI 2 erarbeitet das BMI (Bundesministerium des Innern und für Heimat) derzeit noch eine Verordnung, die festlegt, welche Unternehmen in diese Kategorie fallen. Die Pflicht zur Registrierung und Abgabe der Selbsterklärung gilt erst nach Inkrafttreten der UBI-Verordnung, die 2024 verkündet werden soll. Für die Abgabe der Unterlagen haben die Unternehmen dann noch zwei Jahre Zeit (§ 8f Abs. 1 und 4 BSIG).

Registrierung und Selbsterklärung

Für die Registrierung und die Selbsterklärung zur IT-Sicherheit hat das BSI Formulare vorbereitet, die auf der BSI-Homepage zum direkten Download bereitstehen ( Registrierung, Selbsterklärung UBI 1). Die Einreichung soll an ein spezielles E-Mail-Postfach verschlüsselt erfolgen, Details und Anleitungen gibt es auf der BSI-Homepage und in den Formularen.

Die wesentlichen Inhalte der Selbsterklärung betreffen

  • IT-Sicherheitszertifizierungen in den letzten 2 Jahren
  • sonstige IT-Sicherheitsaudits und -Prüfungen in letzten 2 Jahren
  • Informationen über Schutz besonders schützenswerter IT-Systeme, Komponenten und Prozesse.

Die Nichteinhaltung der UBI-Pflichten kann mit einem Bußgeld geahndet werden, das bis zu 500.000 EUR betragen kann.

Schlagworte zum Thema:  IT-Sicherheit, IT-Recht, IT-Compliance