Pflichten für UNBÖFI

Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) gehören seit dem IT-Sicherheitsgesetz 2.0 von 2021 in drei Gruppen zur Regulierung. Unternehmen dieser Gruppen unterliegen wegen ihrer großen Bedeutung in Bezug auf die IT-Sicherheit in Deutschland ab 2023 und 2024 neuen Pflichten zur IT-Sicherheit:

  1. Identifikation und Registrierung: UNBÖFI müssen sich innerhalb von zwei Jahren selbst identifizieren und registrieren.
  2. Selbsterklärung IT-Sicherheit: UNBÖFI müssen eine Erklärung über IT-Sicherheit zu Zertifizierungen, Sicherheitsaudits und Sicherheitsmaßnahmen vorlegen.
  3. Vorfallsmeldungen: UNBÖFI müssen bestimmte Störungen an das BSI melden.

Die Pflichten sind je nach Bereich unterschiedlich und ab 2023 und 2024 verbindlich. Das IT-SiG 2.0 ist in Kraft, einige Festlegungen vor allem zu Gruppe 2 (volkswirtschaftliche Bedeutung) fehlen jedoch noch. Die neue KRITIS-Verordnung 2.0 von Sommer 2021 definiert noch nicht alle Neuerungen abschließend.

up

Cyber Security Pflichten

Betroffene Unternehmen

Die drei UNBÖFI-Gruppen sind im IT-Sicherheitsgesetz 2.0 festgelegt und umfassen die folgenden Bereiche:

  1. Rüstung: Hersteller von Rüstung und Produkten für Verschlusssachen (VS-IT),
  2. Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, und
    Zulieferer dieser Unternehmen basierend auf Alleinstellungsmerkmalen,
  3. Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen.

Sind Unternehmen bereits KRITIS und nun UNBÖFI, sollen sie keinen weiteren Pflichten unterliegen.

up

Rüstung und Verschlusssachen

Für Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (UNBÖFI der Gruppe Rüstung) bestehen ab dem 1. Mai 2023 die folgenden UNBÖFI-Pflichten von der Identifikation bis zur Selbsterklärung IT-Sicherheit.

Identifikation

Unternehmen müssen sich selbst als UNBÖFI identifizieren. Zurzeit ist noch keine Methodik zur Identifikation definiert. Kriterien könnten die Entwicklung und Herstellung von Rüstung §60 (1) 1 und 3 AWV und Produkten für staatliche Verschlusssachen (VS) nach sein.

Frist

Die Pflicht zur Registrierung und Selbsterklärung gilt ab dem 1. Mai 2023.

Registrierung

Unternehmen müssen sich mit Vorlage der ersten Selbsterklärung zur IT-Sicherheit beim BSI registrieren. Dabei müssen sie eine zu den üblichen Geschäftszeiten erreichbare Stelle benennen.

Selbsterklärung IT-Sicherheit

Unternehmen müssen nach Feststellung der Betroffenheit eine Selbsterklärung zur IT-Sicherheit beim BSI vorlegen. Diese beinhaltet Erklärungen zu:

  1. Zertifizierungen der IT-Sicherheit der letzten zwei Jahre samt Prüfgrundlage und Geltungsbereich
  2. Sicherheitsaudits und Prüfungen der IT-Sicherheit der letzten zwei Jahre samt Prüfgrundlage und Geltungsbereich
  3. Sicherheitsmaßnahmen für besonders schützenswerten IT-Systeme, Komponenten und Prozesse und den Stand der Technik

Die Selbsterklärung muss dann alle zwei Jahre dem BSI vorgelegt werden. Das BSI kann für die Selbsterklärung Formulare einführen und Unternehmen auf Grundlage der eingereichten Erklärungen Hinweise zu technischen und organisatorischen Maßnahmen geben.

Vorfallsmeldungen

Unternehmen müssen Störungen unverzüglich an das BSI melden. Dies betrifft Störungen der IT, Komponenten und Prozesse, die zu einem Ausfall oder erheblichen Beeinträchtigung der Wertschöpfung geführt haben oder führen können. Die Meldung an das BSI muss Informationen zur von der Störung betroffenen IT, der Ursache und Art der betroffenen Einrichtung oder Anlage enthalten.

Störungsmeldungen sind ab dem Zeitpunkt der Frist zur Selbsterklärung notwendig, über die vom Unternehmen benannte Stelle ans BSI.

up

Volkswirtschaftliche Bedeutung und Zulieferer

Für UNBÖFI der Gruppe Volkswirtschaftliche Bedeutung und deren Zulieferer bestehen alle UNBÖFI-Pflichten von der Identifikation bis zur Selbsterklärung IT-Sicherheit. Zusätzlich kann das BSI eine Darlegung verlangen, ob und warum ein Unternehmen (nicht) UNBÖFI ist.

Identifikation

Unternehmen müssen sich selbst als UNBÖFI identifizieren. Zurzeit ist noch keine Methodik zur Identifikation definiert. Kriterien und Berechnungsmethodik könnten sich an der Arbeit der Monopolkommission nach §44 Absatz 1 GWB orientieren.

Frist

Die Pflicht zur Registrierung und Selbsterklärung gilt frühestens zwei Jahre nach Verkündung der Verordnung, aktuell wohl ab Januar 2024.

Registrierung

Unternehmen müssen sich mit Vorlage der ersten Selbsterklärung zur IT-Sicherheit beim BSI registrieren. Dabei müssen sie eine zu den üblichen Geschäftszeiten erreichbare Stelle benennen.

Selbsterklärung IT-Sicherheit

Unternehmen müssen nach Feststellung der Betroffenheit eine Selbsterklärung zur IT-Sicherheit beim BSI vorlegen. Diese beinhaltet Erklärungen zu:

  1. Zertifizierungen der IT-Sicherheit der letzten zwei Jahre samt Prüfgrundlage und Geltungsbereich
  2. Sicherheitsaudits und Prüfungen der IT-Sicherheit der letzten zwei Jahre samt Prüfgrundlage und Geltungsbereich
  3. Sicherheitsmaßnahmen für besonders schützenswerten IT-Systeme, Komponenten und Prozesse und den Stand der Technik

Die Selbsterklärung muss dann alle zwei Jahre dem BSI vorgelegt werden. Das BSI kann für die Selbsterklärung Formulare einführen und Unternehmen auf Grundlage der eingereichten Erklärungen Hinweise zu technischen und organisatorischen Maßnahmen geben.

Vorfallsmeldungen

Unternehmen müssen Störungen unverzüglich an das BSI melden. Dies betrifft Störungen der IT, Komponenten und Prozesse, die zu einem Ausfall oder erheblichen Beeinträchtigung der Wertschöpfung geführt haben oder führen können. Die Meldung an das BSI muss Informationen zur von der Störung betroffenen IT, der Ursache und Art der betroffenen Einrichtung oder Anlage enthalten.

Störungsmeldungen sind ab dem Zeitpunkt der Frist zur Selbsterklärung notwendig, über die vom Unternehmen benannte Stelle ans BSI.

Darlegung

Unternehmen müssen im Zweifel dem BSI die eigene (Nicht-)Betroffenheit als Unternehmen im besonderen öffentlichen Interesse nach §2 Abs. 14 Nr. 2 BSIG-E darlegen, durch

  1. Berechnung der inländischen Wertschöpfung nach der in der KRITIS-Verordnung definierten Methode
  2. Bestätigung einer anerkannten Wirtschaftsprüfungsgesellschaft, dass das Unternehmen kein UNBÖFI ist

up

Gefahrstoffe und Chemie

Für Betreiber von Betriebsbereichen der oberen Klasse mit gefährlichen Stoffen und Chemie (UNBÖFI der Gruppe Gefahrstoffe) bestehen teilweise freiwillige UNBÖFI-Pflichten:

Identifikation

Unternehmen müssen sich selbst als UNBÖFI identifizieren. Zurzeit ist noch keine Methodik zur Identifikation definiert. Ein Kriterium könnten Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung sein.

Registrierung

Unternehmen können sich freiwillig beim BSI registrieren und eine zu den üblichen Geschäftszeiten erreichbare Stelle benennen.

Vorfallsmeldungen

Unternehmen müssen Störungen unverzüglich an das BSI melden.

up

Pflichten im Detail

Die Pflichten werden durch das IT-Sicherheitsgesetz im BSIG (BSI-Gesetz) festgelegt, und sind je nach Gruppe (1 - Rüstung, 2 - Bedeutung, 3 Gefahrstoffe) unterschiedlich. Im Detail:

aus dem IT-SiG 2.0 Stand Mai 2021
BSIG Pflicht Bedeutung Gruppe
§ 2 Abs. 14 (Definiert die drei UNBÖFI-Gruppen 1, 2 und 3) 1 2 3
§ 8f Abs. 1 Selbsterklärung IT‑Sicherheit über Zertifizierungen, Sicherheitsaudits, Prüfungen der IT-Sicherheit, aber auch zu Schutzmaßnahmen 1 2
§ 8f Abs. 2+3 Formulare und BSI Das BSI kann Formulare einführen und Hinweise geben 1 2
§8f Abs. 4 Verpflichtend ab dem 1. Mai 2023 1
§8f Abs. 4 Verpflichtend frühestens 2 Jahre nach Inkrafttreten der Verordnung
(d.h. ab 2024)
2
§8f Abs. 5 Registrierung beim BSI und Benennung erreichbare Stelle 1 2
§8f Abs. 6 Freiwillige Registrierung beim BSI und Benennung erreichbare Stelle 3
§8f Abs. 7 Meldungen von Störungen der IT, welche die Wertschöpfung beeinträchtigen 1 2
§8f Abs. 8 Meldungen von Störungen der IT, die zu einem Störfall nach der Störfall-Verordnung führen (können) 3
§8f Abs. 9 Darlegung der Betroffenheit nach §5 bei Zweifeln durch das BSI, bzw. Bestätigung einer WPG 2

up

Weitere Informationen

Literatur

  1. Unternehmen im besonderen öffentlichen Interesse auf OpenKRITIS
  2. IT-Sicherheitsgesetz 2.0 auf OpenKRITIS

Quellen

  1. Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
  2. Beschlussempfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, Deutscher Bundestag, Drucksache 19/28844, 21.4.2021
  3. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  4. Außenwirtschaftsverordnung (AWV) vom 2. August 2013 (BGBl. I S. 2865), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2020 (BAnz AT 28.10.2020 V1) geändert worden ist