Bußgelder in KRITIS
Für KRITIS-Betreiber sind in der KRITIS-Regulierung bei Verstößen gegen Pflichten und Anforderungen KRITIS-Bußgelder festgelegt. Die Sanktionen sind im BSIG definiert und waren im Vergleich zur DSGVO bislang eher begrenzter Natur — was sich ab 2021 mit dem IT-Sicherheitsgesetz 2.0 geändert hat.
Prinzipiell werden bestimmte Verstöße gegen KRITIS-Regularien durch das BSIG als Ordnungswidrigkeit definiert und mit Sanktionen belegt — kommen Betreiber ihren Pflichten nicht nach, kann dies Konsequenzen fürs Unternehmen und Leitung haben.
Sanktionen im BSIG
Mit dem IT-Sicherheitsgesetz 2.0 von 2021 erhöhen sich die Bußgelder bei Verstößen gegen die KRITIS-Regulierung deutlich, ebenso sind mehr Tatbestände als Verstöße definiert.
Ordnungswidrigkeiten
In §14 (1) bis (4) BSIG-E sind vorsätzliche und fahrlässige Verstöße von KRITIS-Betreibern, UNBÖFI und Anbietern Digitaler Dienste als Ordnungswidrigkeiten definiert.
Nr. | Verstoß | BSIG-E |
---|---|---|
Nachweise | ||
1 | KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen | §8a (3) |
2 | KRITIS-Nachweise nicht oder nicht rechtzeitig erbringen | §8a (3) |
Störungen | ||
3 | Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen | §5b (6) §7c (1) §8a (3) |
4 | Fehlende Mitwirkung bei Störungsbeseitigung | §8b (6) |
5 | Fehlende, unvollständige oder verspätete Meldung von Störungen bei KRITIS, Digitalen Diensten oder UNBÖFI | §8b (4) §8c (3) §8f (7) |
Maßnahmen | ||
6 | Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen | §8a (1) |
7 | Fehlende Maßnahmen von Anbietern digitaler Dienste (DSP) | §8c (1) |
8 | Fehlende, unvollständige Selbsterklärung zur IT-Sicherheit von UNBÖFI | §8f (1) |
Registrierung | ||
9 | Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit | §8b (3) |
10 | Fehlende Registrierung als UNBÖFI | §8f (5) |
Informationen | ||
11 | Hersteller-Informationen für Untersuchungen nicht herausgeben | §7a (2) |
12 | Fehlende Auskünfte von Anbietern Digitaler Dienste | §8c (4) |
13 | Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern | §8a (4) §8b (3a) |
Zertifizierungen | ||
14 | Als Konformitätsbewertungsstelle ohne Genehmigung tätig werden | §9a (2) |
15 | Sicherheitskennzeichen ohne Freigabe verwenden | §9c (4) |
16 | Sicherheitsangaben zertifizierter Produkte nicht öffentlich machen | Art. 55 (EU) 2019/881 |
17 | Sicherheitslücken zertifizierter Produkte nicht öffentlich machen | Art. 56 (EU) 2019/881 |
Bußgelder
§14 (5) BSIG-E legt teils hohe Bußgelder für die Ordnungswidrigkeiten fest: Geldbuße bis 2 Mio. EUR, mit §30 Abs. 2 OWiG bis 20 Mio. EUR für juristische Personen.
Verstoß | Referenz |
---|---|
Bis 2 Mio. EUR | |
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln | 3 |
Bis 1 Mio. EUR | |
KRITIS-Maßnahmen nicht umsetzen oder nachweisen | 1 2 6 |
Bis 500 Tsd. | |
Fehlende Mitwirkung bei Störungsbeseitigung | 4 |
Fehlende Auskünfte von DSPs | 12 |
Fehlende Registrierung als KRITIS oder UNBÖFI | 9 10 |
Meldungen nicht absetzen bei KRITIS, DSP und UNBÖFI | 5 |
DSP Maßnahmen nicht umsetzen | 7 |
Selbsterklärung von UNBÖFI nicht vorlegen | 8 |
Konformitätsbewertung ohne Genehmigung durchführen | 14 |
Sicherheitskennzeichen ohne Genehmigung verwenden | 15 |
Sicherheitsangaben oder Lücken zertifizierter Produkte nicht veröffentlichen | 16 17 |
Bis 100 Tsd. | |
Herstellerinformationen nicht herausgeben | 11 |
Zugang oder Unterlagen zu KRITIS-Maßnahmen/Registrierung verweigern | 13 |
Fehlende Erreichbarkeit als KRITIS | 9 |
Bis 20 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG) | |
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln | 3 |
Bis 10 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG) | |
KRITIS-Maßnahmen nicht umsetzen oder nachweisen | 1 2 6 |
Weitere Informationen
Formulare
- Fragen und Antworten zur Registrierung (§8b Absatz 3a BSIG), Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
Quellen
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Gesetz über Ordnungswidrigkeiten (OWiG), in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 9a des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106