Neue Pflichten nach dem IT-Sicherheitsgesetz 2.0 für UBI

von Désirée Wittwer

Das neue IT-Sicherheitsgesetz 2.0, das am 28. Mai 2021 in Kraft trat, bringt verschiedene Neuerungen mit sich – so auch neue Pflichten für sogenannte Unternehmen im besonderen öffentlichen Interesse (UBI). Unternehmen, die als solche gelten, sollten sich frühzeitig darüber informieren, welche Maßnahmen sie umsetzen müssen. Für die neuen Pflichten gelten unterschiedliche Umsetzungsfristen, die frühesten begannen bereits am 01. November 2021.

Was sind Unternehmen im besonderen öffentlichen Interesse?

Unternehmen im besonderen öffentlichen Interesse sind in § 2 Abs. 14 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) definiert. Sie sind eingeteilt in 3 Kategorien, die sich wie folgt zusammenfassen lassen:

  • UBI 1: Unternehmen der Rüstungsbranche
  • UBI 2: Unternehmen, die aufgrund ihrer Größe eine erhebliche volkwirtschaftliche Bedeutung für Deutschland haben einschließlich deren bedeutende Zulieferer. (Die relevanten Größen zur Bestimmung der UBI 2 werden gemäß § 2 Abs. 14 letzter Satz i. V. m. § 10 Abs. 5 BSIG noch in einer gesonderten Verordnung festgelegt.)
  • UBI 3: Unternehmen, die mit Gefahrenstoffen der oberen Klasse umgehen

Was ist der Unterschied zu KRITIS?

Unternehmen, die kritische Infrastrukturen betreiben (KRITIS), sind nicht zugleich auch Unternehmen im besonderen öffentlichen Interesse (§ 2 Abs. 14). Ein Unternehmen, das nicht als KRITIS gilt, kann dennoch als UBI einzustufen sein. Umgekehrt ist ein KRITIS-Unternehmen nicht gleichzeitig auch ein UBI. Bei der Einordnung kommt es entscheidend auf die jeweilige juristische Person an. In einem Unternehmensverbund können also einzelne Unternehmen als KRITIS einzustufen sein, während Schwester- oder Tochtergesellschaft den Pflichten für UBI unterfallen können.

Warum braucht es diese Pflichten für UBI

Das IT-Sicherheitsgesetz 2.0 dient der Erhöhung der Sicherheit informationstechnischer Systeme. Das Gesetz stärkt die Stellung des BSI und baut das BSI als Anlaufstelle im Bereich der IT-Sicherheit nicht nur für Verbraucher, sondern auch für Unternehmen aus. Dabei soll eine vertrauensvolle Zusammenarbeit zwischen BSI und den Unternehmen entstehen, um IT-Sicherheit koordiniert zu fördern und (wiederkehrende) Bedrohungsszenarien frühzeitig erkennen und vermeiden zu können. Das BSI unterstützt UBI im Rahmen der Allianz für Cyber-Sicherheit (ACS) und warnt bspw. vor Bedrohungen oder empfiehlt Sicherheitsmaßnahmen.

Neue Pflichten nach dem IT-Sicherheitsgesetz 2.0 für UBI 3 seit November 2021

Seit dem 1. November 2021 müssen UBI 3 verschiedene Arten von Sicherheitsvorfälle gemäß § 8f Abs. 8 BSIG melden. Wie hierbei konkret vorzugehen ist, darüber informiert das BSI hier: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Weitere_regulierte_Unternehmen/UBI/Meldungen/meldungen_node.html

Eine Registrierung für UBI 3 beim BSI ist freiwillig, erleichtert jedoch die Kommunikation nach der Meldung eines Störfalls mit dem BSI.

Neue Pflichten für UBI 1 erst ab Mai 2023

UBI 1 müssen erst ab dem 1. Mai 2023 den neuen Pflichten nachkommen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Selbsterklärung zur IT-Sicherheit vorzulegen (§ 8f Abs. 1 BSIG), bestimmte Arten von Sicherheitsvorfällen zu melden (§ 8f Abs. 7 BSIG) oder sich unter Nennung von Kontaktstellen zu registrieren (§ 8f Abs. 5 BSIG).

UBI 2 haben noch länger Zeit

Zur Definition von UBI 2 wird erst noch eine Verordnung gemäß § 2 Abs. 14 letzter Satz i. V. m. § 10 Abs. 5 BSIG geschaffen, die relevante Schwellwerte zur Bestimmung der volkswirtschaftlichen Bedeutung der Unternehmen festlegt. Nach Erlass dieser Verordnung haben die dann definierten Unternehmen noch 2 Jahre Zeit für die Umsetzung.

Welche Konsequenzen drohen bei Nichtumsetzung?

Das IT-Sicherheitsgesetz 2.0 sieht Bußgelder in Höhe von bis zu 500.000 € vor, wenn bestimmte Pflichten von UBI nicht eingehalten werden. Bußgelder können sowohl bei Verstößen gegen die Registrierungspflicht bzw. bei fehlender Benennung von Kontaktstellen (§ 14 Abs. 2 Nr. 5 BSIG) als auch bei fehlender oder unrichtiger Vorlage von Selbsterklärungen (§ 14 Abs. 2 Nr. 9 BSIG) oder fehlender, verspäteter oder unvollständiger bzw. falscher Meldung von Sicherheitsvorfällen (§ 14 Abs. 2 Nr. 8 BSIG) verhängt werden.

Ausführliche Informationen können auf den Seiten des BSI gefunden werden. Hilfestellungen gibt das BSI hier: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Weitere_regulierte_Unternehmen/UBI/FAQ/faq_ubi_node.html

Bei Fragen rund um Informationssicherheit oder Datenschutz wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dazu einfach unser Kontaktformular. Außerdem sind wir Sie uns telefonisch in unserer Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 erreichbar.

assets/images/0/k-Desiree-Eder-8be89466.jpg
Désirée Wittwer

Die Diplomjuristin Désirée Eder studierte Rechtswissenschaften an der Universität Passau und war mehrere Jahre in Berlin in einem landeseigenen Unternehmen für Immobilienprojekte als Projektmanagerin Recht und Datenschutzbeauftragte tätig. Désirée Eder bereichert das Team nicht nur mit ihrem juristischen Know-How sondern ist auch im Bereich der Organisation und Dokumentation, sowie im Rahmen der immer wichtiger werdenden DIN-ISO Normen und für Zertifizierungsprozesse erste Ansprechpartnerin. „Für das Wohl unserer Kunden sind mir offene Kommunikation sowie eine strukturierte, effiziente und gründliche Arbeitsweise wichtig.“

Schlagworte: IT-Sicherheit, Gesetz