Pflichten für UBI
Unternehmen im besonderen öffentlichen Interesse, UBI, unterlagen ab 2021 mit dem IT-Sicherheitsgesetz 2.0 zusätzlicher Regulierung für IT-Sicherheit. Mit der NIS2-Umsetzung ab 2024 fallen die UBI als separate Gruppe wieder weg und werden in die besonders wichtigen und wichtigen Einrichtungen integriert.
Die Pflichten betrafen die drei Gruppen von UBI:
- Rüstung: Hersteller von Rüstung und Produkten für Verschlusssachen (VS-IT), ab 2023
- Wertschöpfung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, und deren Zulieferer mit Alleinstellungsmerkmalen
- Gefahrstoffe: Betreiber von Betriebsbereichen der oberen Klasse, ab 2021
Pflicht | Gruppe | Bedeutung | ||
---|---|---|---|---|
Selbsterklärung IT-Sicherheit |
1 | 2 | Erklärung über Zertifizierungen, Sicherheitsaudits, Prüfungen der IT-Sicherheit, und Schutzmaßnahmen wichtiger Systeme | |
Registrierung | 1 | 2 | Registrierung beim BSI und Benennung einer erreichbaren Stelle | |
3 | Freiwillige Registrierung | |||
Meldungen | 1 | 2 | Meldung von Störungen der IT ans BSI, welche die Wertschöpfung beeinträchtigen | |
3 | Meldung von Störungen der IT ans BSI, die zu einem Störfall nach der Störfall-Verordnung führen (können) | |||
Frist | 1 | Für UBI 1 ab Mai 2023 | ||
2 | Für UBI 2 frühestens 2 Jahre nach Inkrafttreten der Verordnung (d.h. ab 2024) |
|||
Darlegung | 2 | Betroffenheit darlegen bei Zweifeln durch das BSI, bzw. Bestätigung einer WPG |
Cybersecurity
Mit der NIS2-Umsetzung ab 2024 fallen die UBI als separate Gruppe wieder weg und werden in die besonders wichtigen und wichtigen Einrichtungen integriert. Die separaten UBI-Pflichten fallen damit auch weg und werden durch die regulären NIS2-Pflichten abgelöst.
UBI 1: Rüstung und Verschlusssachen
Für Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (UBI 1: Rüstung) bestehen ab dem 1. Mai 2023 die folgenden UBI-Pflichten von der Identifikation bis zur Selbsterklärung IT-Sicherheit.
Mit der NIS2-Umsetzung fallen die eigenen UBI-Pflichten weg. Betroffene Unternehmen müssen als Einrichtung NIS2-Pflichten umsetzen.
Identifikation und Registrierung
Unternehmen müssen sich selbst als UBI identifizieren. Zurzeit ist noch keine Methodik zur Identifikation definiert. Kriterien könnten die Entwicklung und Herstellung von Rüstung §60 (1) 1 und 3 AWV und Produkten für staatliche Verschlusssachen (VS) nach sein. Die Pflicht zur Registrierung und Selbsterklärung galt ab dem 1. Mai 2023.
Selbsterklärung IT-Sicherheit
Unternehmen müssen nach Feststellung der Betroffenheit eine Selbsterklärung zur IT-Sicherheit beim BSI vorlegen. Diese beinhaltet Erklärungen zu:
- Zertifizierungen der IT-Sicherheit der letzten zwei Jahre samt Prüfgrundlage und Geltungsbereich
- Sicherheitsaudits und Prüfungen der IT-Sicherheit der letzten zwei Jahre samt Prüfgrundlage und Geltungsbereich
- Sicherheitsmaßnahmen für
besonders schützenswerte IT-Systeme, Komponenten und Prozesse
und den Stand der Technik
Die Selbsterklärung muss dann alle zwei Jahre dem BSI vorgelegt werden. Das BSI kann für die Selbsterklärung Formulare einführen und Unternehmen auf Grundlage der eingereichten Erklärungen Hinweise zu technischen und organisatorischen Maßnahmen geben.
Vorfallsmeldungen
Unternehmen müssen Störungen unverzüglich an das BSI melden.
Dies betrifft Störungen der IT, Komponenten und Prozesse, die zu
einem Ausfall oder erheblichen Beeinträchtigung
der Wertschöpfung geführt haben oder führen können.
Die Meldung an das BSI muss Informationen zur von der Störung betroffenen IT, der Ursache und der Art der betroffenen Einrichtung oder Anlage
enthalten.
Störungsmeldungen sind ab dem Zeitpunkt der Frist zur Selbsterklärung notwendig, über die vom Unternehmen benannte Stelle ans BSI.
UBI 2: Wertschöpfung und Zulieferer
Für UBI der Gruppe Wertschöpfung und deren Zulieferer bestehen alle Pflichten von der Identifikation bis zur Selbsterklärung IT-Sicherheit. Zusätzlich kann das BSI eine Darlegung verlangen, ob und warum ein Unternehmen UBI ist oder nicht.
Mit der NIS2-Umsetzung fallen die eigenen UBI-Pflichten weg. Betroffene Unternehmen müssen als Einrichtung NIS2-Pflichten umsetzen.
Identifikation und Registrierung
Unternehmen müssen sich selbst als UBI identifizieren. Zurzeit ist noch keine Methodik zur Identifikation definiert, Kriterien und Schwellenwerte könnten sich an der Arbeit der Monopolkommission nach §44 Absatz 1 GWB orientieren.
Die Pflicht zur Registrierung und Selbsterklärung gilt frühestens zwei Jahre nach Verkündung der UBI-Verordnung (UBI-VO), die nicht (nie) verabschiedet wurde.
Unternehmen müssen sich mit Vorlage der ersten Selbsterklärung zur IT-Sicherheit beim BSI registrieren.
Dabei müssen sie eine zu den üblichen Geschäftszeiten erreichbare Stelle
benennen.
Selbsterklärung IT-Sicherheit
Unternehmen müssen nach Feststellung der Betroffenheit eine Selbsterklärung zur IT-Sicherheit beim BSI vorlegen. Diese beinhaltet Erklärungen zu:
- Zertifizierungen der IT-Sicherheit der letzten zwei Jahre samt Prüfgrundlage und Geltungsbereich
- Sicherheitsaudits und Prüfungen der IT-Sicherheit der letzten zwei Jahre samt Prüfgrundlage und Geltungsbereich
- Sicherheitsmaßnahmen für
besonders schützenswerte IT-Systeme, Komponenten und Prozesse
und den Stand der Technik
Die Selbsterklärung muss dann alle zwei Jahre dem BSI vorgelegt werden. Das BSI kann für die Selbsterklärung Formulare einführen und Unternehmen auf Grundlage der eingereichten Erklärungen Hinweise zu technischen und organisatorischen Maßnahmen geben.
Vorfallsmeldungen
Unternehmen müssen Störungen unverzüglich an das BSI melden.
Dies betrifft Störungen der IT, Komponenten und Prozesse, die zu
einem Ausfall oder erheblichen Beeinträchtigung
der Wertschöpfung geführt haben oder führen können.
Die Meldung an das BSI muss Informationen zur von der Störung betroffenen IT, der Ursache und der Art der betroffenen Einrichtung oder Anlage
enthalten.
Störungsmeldungen sind ab dem Zeitpunkt der Frist zur Selbsterklärung notwendig, über die vom Unternehmen benannte Stelle ans BSI.
Darlegung
Unternehmen müssen im Zweifel dem BSI die eigene (Nicht-)Betroffenheit als Unternehmen im besonderen öffentlichen Interesse nach §2 Abs. 14 Nr. 2 BSIG-E darlegen, durch
- Berechnung der inländischen Wertschöpfung nach der in der KRITIS-Verordnung definierten Methode
Bestätigung einer anerkannten Wirtschaftsprüfungsgesellschaft,
dass das Unternehmen kein UBI ist
UBI 3: Gefahrstoffe und Chemie
Für Betreiber von Betriebsbereichen der oberen Klasse mit gefährlichen Stoffen und Chemie (UBI 3 Gefahrstoffe) bestehen teilweise freiwillige Pflichten.
Mit der NIS2-Umsetzung fallen die eigenen UBI-Pflichten weg. Betroffene Unternehmen müssen als Einrichtung NIS2-Pflichten umsetzen.
Identifikation und Registrierung
Unternehmen müssen sich selbst als UBI identifizieren. Zurzeit ist noch keine Methodik zur Identifikation definiert. Ein Kriterium könnten Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung sein.
Unternehmen können sich ab sofort freiwillig beim BSI registrieren und eine zu den üblichen Geschäftszeiten erreichbare Stelle
benennen.
Die Registrierung erfolgt per Mail an das BSI UBI-Büro — siehe zum genauen Prozedere die BSI FAQ.
Vorfallsmeldungen
Unternehmen müssen Störungen unverzüglich an das BSI melden.
- Dies betrifft Störungen der IT, Komponenten und Prozesse, die zu einem
Störfall nach der Störfall-Verordnung
geführt haben oder führen können. - Die Meldung an das BSI muss Informationen zur von der Störung betroffenen IT, der Ursache und der
Art der betroffenen Einrichtung oder Anlage
enthalten.
Störfall-Meldungen können über ein BSI-Formular an das BSI gesendet werden. Siehe für das PDF und Mail-Adresse ebenfalls die BSI-FAQ.
Bußgelder für UBI
Für Unternehmen im besonderen öffentlichen Interesse gibt es analog zu KRITIS-Betreibern bei Versößen gegen die Regulierung und Security Pflichten Bußgelder:
- Registrierung beim BSI fehlt oder ist nicht rechtzeitig
- Kontaktstelle zum BSI wurde nicht oder nicht rechtzeitig benannt
- Selbsterklärung IT-Sicherheit fehlt oder unvollständig beim BSI abgegeben
- Vorfallsmeldungen nicht oder nicht rechtzeitig ans BSI gemeldet
Weitere Informationen
Sicherheitsstandards
- NIST Cybersecurity Framework Manufacturing Profile, National Institute of Standards and Technology, October 2020
- Chemical Sector Cybersecurity Framework Implementation Guidance , Department of Homeland Security, 2015
- Critical Manufacturing Sector Cybersecurity Framework Implementation Guidance , Department of Homeland Security, 2015
Literatur
- Unternehmen im besonderen öffentlichen Interesse auf OpenKRITIS
- Unternehmen im besonderen öffentlichen Interesse - FAQ UBI Bundesamt für Sicherheit in der Informationstechnik, 2022
- FAQ zu UBI: Registrierung/Kontaktstelle Bundesamt für Sicherheit in der Informationstechnik, 2022
- FAQ zu UBI: Meldepflicht Bundesamt für Sicherheit in der Informationstechnik, 2022
- FAQ zur UBI 3 (Störfall-UBI): Meldepflicht Bundesamt für Sicherheit in der Informationstechnik, 2022
- FAQ zu UBI 1 und 2: Selbsterklärung Bundesamt für Sicherheit in der Informationstechnik, 2022
- FAQ zu UBI: Bußgelder Bundesamt für Sicherheit in der Informationstechnik, 2022
Quellen
- Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
- Beschlussempfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, Deutscher Bundestag, Drucksache 19/28844, 21.4.2021
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
- Außenwirtschaftsverordnung (AWV) vom 2. August 2013 (BGBl. I S. 2865), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2020 (BAnz AT 28.10.2020 V1) geändert worden ist