Bußgelder in KRITIS

Für KRITIS-Betreiber sind in der KRITIS-Regulierung bei Verstößen gegen Pflichten und Anforderungen KRITIS-Bußgelder festgelegt. Die Sanktionen sind im BSIG definiert und waren im Vergleich zur DSGVO bislang eher begrenzter Natur — was sich ab 2021 mit dem IT-Sicherheitsgesetz 2.0 geändert hat.

Prinzipiell werden bestimmte Verstöße gegen KRITIS-Regularien durch das BSIG als Ordnungs­widrigkeit definiert und mit Sanktionen belegt — kommen Betreiber ihren Pflichten nicht nach, kann dies Konsequenzen fürs Unternehmen und Leitung haben.

Sanktionen im BSIG

Mit dem IT-Sicherheitsgesetz 2.0 von 2021 erhöhen sich die Bußgelder bei Verstößen gegen die KRITIS-Regulierung deutlich, ebenso sind mehr Tatbestände als Verstöße definiert.

Ordnungswidrigkeiten

In §14 (1) bis (4) BSIG-E sind vorsätzliche und fahrlässige Verstöße von KRITIS-Betreibern, UNBÖFI und Anbietern Digitaler Dienste als Ordnungswidrigkeiten definiert.

Ordnungswidrigkeiten im IT-Sicherheitgesetz 2.0, ohne Gewähr
Stand Juni 2021
Nr. Verstoß BSIG-E
Nachweise
1 KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen §8a (3)
2 KRITIS-Nachweise nicht oder nicht rechtzeitig erbringen §8a (3)
Störungen
3 Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen §5b (6)
§7c (1)
§8a (3)
4 Fehlende Mitwirkung bei Störungsbeseitigung §8b (6)
5 Fehlende, unvollständige oder verspätete Meldung von Störungen bei KRITIS, Digitalen Diensten oder UNBÖFI §8b (4)
§8c (3) §8f (7)
Maßnahmen
6 Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen §8a (1)
7 Fehlende Maßnahmen von Anbietern digitaler Dienste (DSP) §8c (1)
8 Fehlende, unvollständige Selbsterklärung zur IT-Sicherheit von UNBÖFI §8f (1)
Registrierung
9 Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit §8b (3)
10 Fehlende Registrierung als UNBÖFI §8f (5)
Informationen
11 Hersteller-Informationen für Untersuchungen nicht herausgeben §7a (2)
12 Fehlende Auskünfte von Anbietern Digitaler Dienste §8c (4)
13 Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern §8a (4) §8b (3a)
Zertifizierungen
14 Als Konformitäts­bewertungsstelle ohne Genehmigung tätig werden §9a (2)
15 Sicherheitskennzeichen ohne Freigabe verwenden §9c (4)
16 Sicherheitsangaben zertifizierter Produkte nicht öffentlich machen Art. 55 (EU) 2019/881
17 Sicherheitslücken zertifizierter Produkte nicht öffentlich machen Art. 56 (EU) 2019/881

Bußgelder

§14 (5) BSIG-E legt teils hohe Bußgelder für die Ordnungswidrigkeiten fest: Geldbuße bis 2 Mio. EUR, mit §30 Abs. 2 OWiG bis 20 Mio. EUR für juristische Personen.

Bußgelder im IT-Sicherheitgesetz 2.0, ohne Gewähr, Stand Juni 2021
Verstoß Referenz
Bis 2 Mio. EUR
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln 3
Bis 1 Mio. EUR
KRITIS-Maßnahmen nicht umsetzen oder nachweisen 1 2 6
Bis 500 Tsd.
Fehlende Mitwirkung bei Störungsbeseitigung 4
Fehlende Auskünfte von DSPs 12
Fehlende Registrierung als KRITIS oder UNBÖFI 9 10
Meldungen nicht absetzen bei KRITIS, DSP und UNBÖFI 5
DSP Maßnahmen nicht umsetzen 7
Selbsterklärung von UNBÖFI nicht vorlegen 8
Konformitätsbewertung ohne Genehmigung durchführen 14
Sicherheitskennzeichen ohne Genehmigung verwenden 15
Sicherheitsangaben oder Lücken zertifizierter Produkte nicht veröffentlichen 16 17
Bis 100 Tsd.
Herstellerinformationen nicht herausgeben 11
Zugang oder Unterlagen zu KRITIS-Maßnahmen/Registrierung verweigern 13
Fehlende Erreichbarkeit als KRITIS 9
Bis 20 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln 3
Bis 10 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
KRITIS-Maßnahmen nicht umsetzen oder nachweisen 1 2 6

up

Weitere Informationen

Formulare

Quellen

  1. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  2. Gesetz über Ordnungswidrigkeiten (OWiG), in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 9a des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
  3. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106