Bußgelder in KRITIS
Für KRITIS-Betreiber sind in der KRITIS-Regulierung bei Verstößen gegen Pflichten und Anforderungen KRITIS-Bußgelder festgelegt. Die Sanktionen sind im BSIG definiert und waren im Vergleich zur DSGVO bislang eher begrenzter Natur — was sich ab 2021 mit dem IT-Sicherheitsgesetz 2.0 geändert hat.
Prinzipiell werden bestimmte Verstöße gegen KRITIS-Regularien durch das BSIG als Ordnungswidrigkeit definiert und mit Sanktionen belegt — kommen Betreiber ihren Pflichten nicht nach, kann dies Konsequenzen fürs Unternehmen und Leitung haben.
Sanktionen im BSIG
Mit dem IT-Sicherheitsgesetz 2.0 von 2021 erhöhen sich die Bußgelder bei Verstößen gegen die KRITIS-Regulierung deutlich, ebenso sind mehr Tatbestände als Verstöße definiert.
Ordnungswidrigkeiten
In §14 (1) bis (4) BSIG-E sind vorsätzliche und fahrlässige Verstöße von KRITIS-Betreibern, UNBÖFI und Anbietern Digitaler Dienste als Ordnungswidrigkeiten definiert.
| Nr. | Verstoß | BSIG-E |
|---|---|---|
| Nachweise | ||
| 1 | KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen | §8a (3) |
| 2 | KRITIS-Nachweise nicht oder nicht rechtzeitig erbringen | §8a (3) |
| Störungen | ||
| 3 | Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen | §5b (6) §7c (1) §8a (3) |
| 4 | Fehlende Mitwirkung bei Störungsbeseitigung | §8b (6) |
| 5 | Fehlende, unvollständige oder verspätete Meldung von Störungen bei KRITIS, Digitalen Diensten oder UNBÖFI | §8b (4) §8c (3) §8f (7) |
| Maßnahmen | ||
| 6 | Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen | §8a (1) |
| 7 | Fehlende Maßnahmen von Anbietern digitaler Dienste (DSP) | §8c (1) |
| 8 | Fehlende, unvollständige Selbsterklärung zur IT-Sicherheit von UNBÖFI | §8f (1) |
| Registrierung | ||
| 9 | Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit | §8b (3) |
| 10 | Fehlende Registrierung als UNBÖFI | §8f (5) |
| Informationen | ||
| 11 | Hersteller-Informationen für Untersuchungen nicht herausgeben | §7a (2) |
| 12 | Fehlende Auskünfte von Anbietern Digitaler Dienste | §8c (4) |
| 13 | Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern | §8a (4) §8b (3a) |
| Zertifizierungen | ||
| 14 | Als Konformitätsbewertungsstelle ohne Genehmigung tätig werden | §9a (2) |
| 15 | Sicherheitskennzeichen ohne Freigabe verwenden | §9c (4) |
| 16 | Sicherheitsangaben zertifizierter Produkte nicht öffentlich machen | Art. 55 (EU) 2019/881 |
| 17 | Sicherheitslücken zertifizierter Produkte nicht öffentlich machen | Art. 56 (EU) 2019/881 |
Bußgelder
§14 (5) BSIG-E legt teils hohe Bußgelder für die Ordnungswidrigkeiten fest: Geldbuße bis 2 Mio. EUR, mit §30 Abs. 2 OWiG bis 20 Mio. EUR für juristische Personen.
| Verstoß | Referenz |
|---|---|
| Bis 2 Mio. EUR | |
| Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln | 3 |
| Bis 1 Mio. EUR | |
| KRITIS-Maßnahmen nicht umsetzen oder nachweisen | 1 2 6 |
| Bis 500 Tsd. | |
| Fehlende Mitwirkung bei Störungsbeseitigung | 4 |
| Fehlende Auskünfte von DSPs | 12 |
| Fehlende Registrierung als KRITIS oder UNBÖFI | 9 10 |
| Meldungen nicht absetzen bei KRITIS, DSP und UNBÖFI | 5 |
| DSP Maßnahmen nicht umsetzen | 7 |
| Selbsterklärung von UNBÖFI nicht vorlegen | 8 |
| Konformitätsbewertung ohne Genehmigung durchführen | 14 |
| Sicherheitskennzeichen ohne Genehmigung verwenden | 15 |
| Sicherheitsangaben oder Lücken zertifizierter Produkte nicht veröffentlichen | 16 17 |
| Bis 100 Tsd. | |
| Herstellerinformationen nicht herausgeben | 11 |
| Zugang oder Unterlagen zu KRITIS-Maßnahmen/Registrierung verweigern | 13 |
| Fehlende Erreichbarkeit als KRITIS | 9 |
| Bis 20 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG) | |
| Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln | 3 |
| Bis 10 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG) | |
| KRITIS-Maßnahmen nicht umsetzen oder nachweisen | 1 2 6 |
Weitere Informationen
Formulare
- Fragen und Antworten zur Registrierung (§8b Absatz 3a BSIG), Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Gesetz über Ordnungswidrigkeiten (OWiG), in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 9a des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106