Neue Pflichten nach dem IT-Sicherheitsgesetz 2.0 für UBI

Unternehmen im besonderen öffentlichen Interesse sind in § 2 Abs. 14 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) definiert. Sie sind eingeteilt in 3 Kategorien, die sich wie folgt zusammenfassen lassen:

• UBI 1: Unternehmen der Rüstungsbranche
• UBI 2: Unternehmen, die aufgrund ihrer Größe eine erhebliche volkwirtschaftliche Bedeutung für Deutschland haben einschließlich deren bedeutende Zulieferer. (Die relevanten Größen zur Bestimmung der UBI 2 werden gemäß § 2 Abs. 14 letzter Satz i. V. m. § 10 Abs. 5 BSIG noch in einer gesonderten Verordnung festgelegt.)
• UBI 3: Unternehmen, die mit Gefahrenstoffen der oberen Klasse umgehen

Unternehmen, die kritische Infrastrukturen betreiben (KRITIS), sind nicht zugleich auch Unternehmen im besonderen öffentlichen Interesse (§ 2 Abs. 14). Ein Unternehmen, das nicht als KRITIS gilt, kann dennoch als UBI einzustufen sein. Umgekehrt ist ein KRITIS-Unternehmen nicht gleichzeitig auch ein UBI. Bei der Einordnung kommt es entscheidend auf die jeweilige juristische Person an. In einem Unternehmensverbund können also einzelne Unternehmen als KRITIS einzustufen sein, während Schwester- oder Tochtergesellschaft den Pflichten für UBI unterfallen können.

Das IT-Sicherheitsgesetz 2.0 dient der Erhöhung der Sicherheit informationstechnischer Systeme. Das Gesetz stärkt die Stellung des BSI und baut das BSI als Anlaufstelle im Bereich der IT-Sicherheit nicht nur für Verbraucher, sondern auch für Unternehmen aus. Dabei soll eine vertrauensvolle Zusammenarbeit zwischen BSI und den Unternehmen entstehen, um IT-Sicherheit koordiniert zu fördern und (wiederkehrende) Bedrohungsszenarien frühzeitig erkennen und vermeiden zu können. Das BSI unterstützt UBI im Rahmen der Allianz für Cyber-Sicherheit (ACS) und warnt bspw. vor Bedrohungen oder empfiehlt Sicherheitsmaßnahmen.

Seit dem 1. November 2021 müssen UBI 3 verschiedene Arten von Sicherheitsvorfälle gemäß § 8f Abs. 8 BSIG melden. Wie hierbei konkret vorzugehen ist, darüber informiert das BSI hier: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Weitere_regulierte_Unternehmen/UBI/Meldungen/meldungen_node.html

Eine Registrierung für UBI 3 beim BSI ist freiwillig, erleichtert jedoch die Kommunikation nach der Meldung eines Störfalls mit dem BSI.

UBI 1 müssen erst ab dem 1. Mai 2023 den neuen Pflichten nachkommen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Selbsterklärung zur IT-Sicherheit vorzulegen (§ 8f Abs. 1 BSIG), bestimmte Arten von Sicherheitsvorfällen zu melden (§ 8f Abs. 7 BSIG) oder sich unter Nennung von Kontaktstellen zu registrieren (§ 8f Abs. 5 BSIG).

Zur Definition von UBI 2 wird erst noch eine Verordnung gemäß § 2 Abs. 14 letzter Satz i. V. m. § 10 Abs. 5 BSIG geschaffen, die relevante Schwellwerte zur Bestimmung der volkswirtschaftlichen Bedeutung der Unternehmen festlegt. Nach Erlass dieser Verordnung haben die dann definierten Unternehmen noch 2 Jahre Zeit für die Umsetzung.

Das IT-Sicherheitsgesetz 2.0 sieht Bußgelder in Höhe von bis zu 500.000 € vor, wenn bestimmte Pflichten von UBI nicht eingehalten werden. Bußgelder können sowohl bei Verstößen gegen die Registrierungspflicht bzw. bei fehlender Benennung von Kontaktstellen (§ 14 Abs. 2 Nr. 5 BSIG) als auch bei fehlender oder unrichtiger Vorlage von Selbsterklärungen (§ 14 Abs. 2 Nr. 9 BSIG) oder fehlender, verspäteter oder unvollständiger bzw. falscher Meldung von Sicherheitsvorfällen (§ 14 Abs. 2 Nr. 8 BSIG) verhängt werden.

Ausführliche Informationen können auf den Seiten des BSI gefunden werden. Hilfestellungen gibt das BSI hier: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Weitere_regulierte_Unternehmen/UBI/FAQ/faq_ubi_node.html

Bei Fragen rund um Informationssicherheit oder Datenschutz wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dazu einfach unser Kontaktformular. Außerdem sind wir Sie uns telefonisch in unserer Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 erreichbar.