Unternehmen besonderen öffentlichen Interesse

Seit 2021 gehörten Unternehmen im besonderen öffentlichen Interesse, UBI, auch zur Regulierung vom IT-Sicherheitsgesetz 2.0 neben den KRITIS-Betreibern. Mit der NIS2-Umsetzung ab 2024 fallen UBI als eigene Gruppe weg und werden in die besonders wichtigen und wichtigen Einrichtungen integriert.

Die drei Gruppen von UBI waren:

Rüstung (UBI 1): Hersteller von Rüstung und Produkten für Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
Wertschöpfung (UBI 2): Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal.
Gefahrstoffe (UBI 3): Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.

Die UBIs hatten (haben) seit 2021 eigene Pflichten, die sich mit der NIS2-Umsetzung ab 2024 wieder ändern. UBI 1 Rüstung fallen größtenteils in den NIS2-Sektor verarbeitendes Gewerbe, UBI 2 volkswirtschaftliche Bedeutung verteilen sich über alle NIS2-Sektoren und UBI 3 Gefahrstoffe fallen in den Sektor Chemie.

Regulierung von UBI

Gesetzgebung

Die Unternehmen im besonderen öffentlichen Interesse waren im IT-Sicherheitsgesetz 2021 in drei Gruppen definiert. Der Gesetzgeber will Unternehmen schützen, die keine KRITIS-Betreiber, aber für die IT-Sicherheit in Deutschland besonders schützenswürdig sind. Die Bedeutung war im Vergleich zu KRITIS deutlich abgestuft.

Die Begründung für die Aufnahme der UBI in das IT-Sicherheitsgesetz ist in der Bundestagsfassung (1926106) ausführlicher beschrieben, zu den Herstellern von Rüstung und VS-IT heisst es, dass ein Ausfall der Herstellungs- und Entwicklungstätigkeiten [...] wesentliche Sicherheitsinteressen der Bundesrepublik Deutschland gefährden könnte.

Bei den größten Unternehmen nach inländischer Wertschöpfung hätte ein Ausfall oder Störung gesamtgesellschaftliche Bedeutung, wenn diese ihrer Geschäftstätigkeit für einen längeren Zeitraum nicht nachgehen können. Dabei wird auf das Hauptgutachten der Monopolkommission verwiesen, an dem sich Schwellenwerte und Methodik orientieren sollen.

Die Betreiber von Betriebsbereichen der oberen Klassen werden nicht weiter begründet.

Die grundlegenden Definitionen der UBI wurden im IT-Sicherheitsgesetz 2.0 von Mai 2021 vorgenommen. In der Rechtsverordnung KritisV 2021 sind die UBI-Details noch offen. In der deutschen Umsetzung von EU NIS2 werden die UBI in die neue Gruppe(n) der besonders wichtigen und wichtigen Einrichtungen integriert und fallen als eigene Gruppe weg.

Rechtsfolgen

UBI unterlagen ab 2021 im IT-Sicherheitsgesetz 2.0 eigenen UBI-Pflichten, die sich mit der NIS2-Umsetzung ab 2024 wieder deutlich ändern. Die (ehemaligen) UBI-Pflichten umfassten:

Identifikation und Registrierung: Unternehmen müssen sich identifizieren und registrieren.
Selbsterklärung IT-Sicherheit: Unternehmen müssen dem BSI eine Erklärung über die IT-Sicherheit zu Zertifizierungen, Sicherheitsaudits und Sicherheitsmaßnahmen vorlegen.
Vorfallsmeldungen: Unternehmen müssen bestimmte Störungen an das BSI melden.

Betroffene Unternehmen

Rüstung und VS-IT

UBI 1

Die erste Gruppe von UBI umfasst nach §2 (14) 1 BSIG Rüstungsfirmen und Komponentenhersteller, deren Ausfall wesentliche Sicherheitsinteressen der Bundesrepublik Deutschland gefährden würde.

Mit der NIS2-Umsetzung werden die UBI als eigene Gruppe und Pflichten aufgehoben und gehen in NIS2-Sektoren auf, die UBI 1 größtenteils im Sektor verarbeitendes Gewerbe.

Änderungen in NIS2

Firmen sind von NIS2 im verarbeitenden Gewerbe betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter nach NACE produzieren. In der Rüstung könnten Produzenten der folgenden Güter von NIS2 betroffen sein, u.a.:

NACE C 26: Optik, Kommunikation, Elektronik, Radar, GPS, Antennen
NACE C 27: Elektrik, Schaltungen
NACE C 30.3: Luft- und Raumfahrzeugbau, Hubschrauber, Flugzeuge, Teile, Raketen, Bodengeräte
NACE C 30.4: Militärische Kampffahrzeuge, Panzer, Amphibien- und sonstige Fahrzeuge
und mehr

Produzierte Güter

Betroffen von UB1 waren Unternehmen, die Rüstung und IT für Verschlusssachen (VS-IT) nach §60 (1) 1 und 3 AWV entwickeln und produzieren:

aus IT-SiG 2.0 Stand Mai 2021 und Außenwirtschaftsverordnung (AWV) 2013
Produkte und Güter
Rüstung nach §60 (1) 1 AWV
Güter aus Teil I Abschnitt A der Ausfuhrliste: 0001: Handfeuerwaffen 0002: Waffen mit glattem Lauf 0003: Munition 0004: Bomben, Torpedos, Raketen, Flugkörper 0005: Feuerleiteinrichtungen 0006: Landfahrzeuge und Bestandteile 0007: Chemische, biologische Agenzien, Reizstoffe, radioaktive Stoffe 0008: Energetische Materialien — Sprengstoff, Treibstoff 0009: Kriegsschiffe und Ausrüstung 0010: Luftfahrzeuge, UAVs, Triebwerke und Ausrüstung 0011: Elektronische Ausrüstung, "Raumfahrzeuge" 0012: Waffensysteme mit hoher kinetischer Energie 0013: Spezialpanzer und Schutzausrüstung 0014: Ausrüstung für militärische Ausbildung 0015: Bildausrüstung und Gegenmaßnahmen 0016: Schmiede- und Gusstücke für Waffen 0017: Verschiedene Ausrüstung 0018: Herstellungsausrüstung 0019: Strahlenwaffen-Systeme 0020: Kryogenische und supraleitende Ausrüstung 0021: Software für militärische Zwecke und Entwicklung/Herstellung 0022: Technologie für militärische Zwecke und Güter
VS-IT nach §60 (1) 3 AWV
Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen (VS) oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte

Wertschöpfung und Zulieferer

UBI 2

Die zweite UBI Gruppe waren Unternehmen von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland — Großkonzerne und Industrie. Zusätzlich gehörten auch Zulieferer in diese Gruppe, falls sie von wesentlicher Bedeutung für UBI 2 Unternehmen sind.

Die Kennzahlen, Schwellenwerte und Methodik für UBI 2 Wertschöpfung und die Merkmale der Gruppe Zulieferer wurden nie genau definiert.

Mit der NIS2-Umsetzung werden die UBI als eigene Gruppe und Pflichten aufgehoben und gehen in NIS2-Sektoren auf, die UBI 1 größtenteils im Sektor verarbeitendes Gewerbe.

Änderungen in NIS2

Firmen sind von NIS2 betroffen, wenn sie als Einrichtung bestimmte Größen überschreiten (mit Mitarbeitern oder Umsatz) und dabei in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft – der Gesetzgeber geht von 30 Tsd. betroffenen Unternehmen aus, wozu sehr viele Großkonzerne gehören werden.

Gefahrstoffe und Chemie

UBI 3

Betreiber von Betriebsbereichen der oberen Klasse im Sinne der Störfall-Verordnung sind UBI 3. Dies sind (waren) Unternehmen die in Betriebsbereichen gefährliche Stoffe produzieren, verarbeiten und lagern — Chemie-Konzerne, produzierende Unternehmen, Lager und Speicher.

Das Kriterium war ein eigener Betriebsbereich der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung. Die Schwellenwerte und Kategorien ergeben sich aus Spalte 5 der Stoffliste in Anhang I BImSchV.

Mit der NIS2-Umsetzung werden die UBI als eigene Gruppe und Pflichten aufgehoben und gehen in NIS2-Sektoren auf, die UBI 3 größtenteils im Sektor Chemie.

Änderungen in NIS2

Firmen sind von NIS2 in der Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:

Hersteller und Händler von chemischen Stoffen Art. 3 Nr. 9, 14 Verordnung (EG) 1907/2006
Produzenten von chemischen Erzeugnissen im Sinne Art. 3 Nr. 3 Verordnung (EG) 1907/2006

Weitere Informationen

Literatur

Unternehmen im besonderen öffentlichen Interesse - FAQ UBI Bundesamt für Sicherheit in der Informationstechnik, 2022
Hauptgutachten XXIII: Wettbewerb 2020, Hauptgutachten gemäß § 44 Abs. 1 Satz 1 GWB, Monopolkommission, 29. Juli 2020
Die nach inländischer Wertschöpfung 100 größten Unternehmen im Berichtsjahr (XLS), Tabelle II.1 aus Kapitel II Hauptgutachten, Monopolkommission, 29. Juli 2020, Excel
Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online News 08/2021
Webinar Unternehmen im besonderen öffentlichen Interesse (UBI) der Kategorie 1 (AWV-UBI), 9. Cyber-Sicherheits-Web-Talk, Allianz für Cybersicherheit, 2022

Quellen

BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geändert worden ist
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, IT-Sicherheitsgesetz 2.0, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021
Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
Außenwirtschaftsverordnung (AWV) vom 2. August 2013 (BGBl. I S. 2865), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2020 (BAnz AT 28.10.2020 V1) geändert worden ist
Teil I Abschnitt A der Ausfuhrliste, Bundesministerium für Wirtschaft und Energie, 8.7.2015
Störfall-Verordnung - 12. BImSchV vom 15. März 2017 (BGBl. I S. 483), die zuletzt durch Artikel 107 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Anhang I Mengenschwellen Störfall-Verordnung - 12. BImSchV, BGBl. I 2017, 494-500