Die sog. Unternehmen im besonderen öffentlichen Interesse (UBI) unterliegen seit 2021 dem IT-Sicherheitsgesetz 2.0, wodurch sich zusätzliche Regulierungen für die IT-Sicherheit ergeben. Bei Unternehmen der Kategorie „UBI 1“ läuft am 1. Mai 2023 die Frist für die Selbsterklärung zur IT-Sicherheit ab. Was Unternehmen dieser Gruppe nun tun müssen und welche Pflichten die Unternehmen der anderen UBI-Gruppen zu beachten haben, erfahren Sie in diesem Beitrag.

Unternehmen im besonderen öffentlichen Interesse (UBI) gemäß BSI-Gesetz

Im BSI-Gesetz (siehe § 2 Abs. 14 BSIG) werden die UBI in drei Gruppen unterteilt:

UBI 1 sind Unternehmen, „die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung herstellen oder entwickeln“. Zu diesen sog. AWV-UBI zählen Unternehmen, die in folgenden Bereichen tätig sind:

  • Waffen, Munition und Rüstungsmaterial
  • Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen
  • wesentliche Komponenten für die IT-Sicherheitsfunktion der genannten Produkte

UBI 2 sind Unternehmen, „die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind“. Diese Kategorie wird vom BSI auch als Wertschöpfungs-UBI bezeichnet. Die genauen wirtschaftlichen Kennzahlen zur Identifizierung der größten Unternehmen werden noch per Rechtsverordnung festgelegt. Fragen dazu, z. B. ab welchem Umsatz oder welcher Mitarbeiterzahl ein Unternehmen als UBI 2 zählt, beantwortet das BSI auf einer FAQ-Seite – wenngleich viele Antworten hier noch offen sind.

UBI 3 sind „Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung oder nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt“. Die sog. Störfall-UBI sind in einem Bereich tätig, in dem gefährliche Stoffe in Mengen vorhanden sind, die die Mengenschwellen in Spalte 5 der Stoffliste in Anhang I der Störfall-Verordnung erreichen oder überschreiten.

Unternehmen, die Betreiber Kritischer Infrastrukturen (KRITIS) gemäß BSIG sind, unterliegen den Bestimmungen des BSIG und nicht denen als UBI. Ein Unternehmen kann nicht gleichzeitig KRITIS-Betreiber und UBI sein. In Konzernstrukturen, die aus mehreren Unternehmen bestehen, kann jedoch ein Unternehmen UBI sein, während ein Schwesterunternehmen KRITIS-Betreiber ist. Zudem kann ein Unternehmen in mehr als eine UBI-Kategorie fallen – große Rüstungsunternehmen bspw. sogar in alle drei Kategorien. UBI werden teilweise auch als „KRITIS light“ bezeichnet: Sie sind zwar keine KRITIS-Unternehmen, werden jedoch im Hinblick auf die IT-Sicherheit in Deutschland als besonders schutzwürdig angesehen.

Gesetzliche Pflichten für UBI

Auf UBI-Unternehmen kommen in 2023 und 2024 – je nach Gruppe – neue Pflichten zu. Folgende gesetzliche Pflichten gelten für UBI gemäß § 8f BSIG:

  1. Die Pflicht zur Registrierung bzw. zur Benennung einer Kontaktstelle (§ 8f Abs. 5) gilt für UBI 1 und UBI 2. Für UBI 3 ist die Registrierung freiwillig (§ 8f Abs. 6).
  2. Die Meldepflicht bei Sicherheitsvorfällen gilt für UBI 1 und UBI 2 (§ 8f Abs. 7). UBI 3 müssen bereits seit dem 1. November 2021 bestimmte Sicherheitsvorfälle melden, z. B. wenn diese zu einem Störfall führen könnten (§ 8f Abs. 8).
  3. Die Pflicht einer Selbsterklärung zur IT-Sicherheit (§ 8f Abs. 1 Nr. 1 bis 3) gilt nur für UBI 1 und UBI 2.

Insbesondere die Pflicht zur Selbsterklärung sollten Unternehmen der Gruppe UBI 1 und UBI 2 im Blick haben:

  • UBI 1-Unternehmen, also Hersteller/Entwickler von Gütern im Sinne von § 60 AWV, müssen bis zum 1. Mai 2023 eine Selbsterklärung und eine Registrierung beim BSI einreichen.
  • Für UBI 2-Unternehmen, also Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, wird das BMI eine Verordnung erstellen, welche Unternehmen in diese Gruppe fallen. Es ist derzeit keine Methode zur Identifizierung festgelegt, aber die Kriterien und Schwellenwerte könnten sich an der Arbeit der Monopolkommission gemäß § 44 Abs. 1 GWB orientieren. Die Pflicht zur Registrierung und Selbsterklärung tritt erst nach Verkündung der UBI-Verordnung (voraussichtlich ab dem Jahr 2024) in Kraft und ab dem Zeitpunkt des Inkrafttretens haben die Unternehmen noch mindestens zwei Jahre Zeit (siehe auch § 8f Abs. 1 und 4 Satz 2 BSIG). Somit besteht vorerst kein Handlungsbedarf.

Inhalt der Selbsterklärung zur IT-Sicherheit

Die Selbsterklärung besteht aus drei Teilen:

  1. IT-Sicherheitszertifizierungen der letzten zwei Jahre
  2. Sonstige IT-Sicherheitsaudits und -Prüfungen in den letzten zwei Jahren
  3. Informationen über den Schutz besonders schützenswerter IT-Systeme, Komponenten und Prozesse

Folgen der Nichteinhaltung von Verpflichtungen

Die Nichteinhaltung verschiedener Verpflichtungen für UBI kann nach den einschlägigen Artikeln des BSIG mit einer Geldstrafe geahndet werden.

  1. Bei nicht oder nicht rechtzeitiger Registrierung (§ 14 Abs. 2 Nr. 5 BSIG).
  2. Bei nicht oder nicht rechtzeitiger Benennung einer Kontaktstelle (§ 14 Abs. 2 Nr. 5 BSIG).
  3. Wenn die Selbsterklärung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt wird (§ 14 Abs. 2 Nr. 9 BSIG).
  4. Wenn eine Meldung einer Störung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gegenüber dem BSI abgegeben wird (§ 14 Abs. 2 Nr. 7 BSIG).

Die Höhe des Bußgeldes kann bis zu 500.000 Euro betragen.

Fazit

Zusammenfassend lässt sich sagen, dass Unternehmen im besonderen öffentlichen Interesse (UBI) seit 2021 unter das IT-Sicherheitsgesetz 2.0 fallen und dadurch zusätzliche Regulierungen im Hinblick auf die IT-Sicherheit erfüllen müssen. Insgesamt zeigt sich, dass die Regulierung der IT-Sicherheit für UBI ein wichtiger und notwendiger Schritt ist, um die nationale und wirtschaftliche Sicherheit des Landes zu gewährleisten. Unternehmen in dieser Kategorie müssen sich auf die Erfüllung dieser Pflichten vorbereiten und sicherstellen, dass ihre IT-Systeme entsprechend gesichert sind.