Sanktionen für KRITIS

Für KRITIS-Betreiber sind in der KRITIS-Regulierung bei Verstößen gegen Pflichten und Anforderungen Sanktionen durch Bußgelder festgelegt. Die Sanktionen sind im BSIG-Gesetz definiert und im Vergleich zum neuen IT-Sicherheitsgesetz 2.0 und der DSGVO bislang eher begrenzter Natur — dies wird sich mit der Verabschiedung vom IT-SiG 2.0 ab 2021 ändern.

Prinzipiell werden bestimmte Verstöße gegen KRITIS-Regularien durch das BSIG als Ordnungs­widrigkeit definiert und mit Sanktionen belegt — kommen Betreiber ihren Pflichten nicht nach, kann dies Konsequenzen fürs Unternehmen und Leitung haben.

Sanktionen im BSIG

Ordnungswidrigkeiten

§14 (1) BSIG definiert vorsätzliche oder fahrlässige Verstösse gegen KRITIS-Vorgaben in §8a-c als Ordnungswidrigkeiten:

  1. Fehlende Umsetzung von KRITIS-Sicherheitsmaßnahmen nach §8a (1) 1 BSIG
  2. Fehlende Herausgabe von Unterlagen der Nachweisprüfung nach §8a (3) 5 BSIG
  3. Fehlende Einrichtung einer KRITIS-Kontaktstelle nach §8b (3) 1 BSIG
  4. Fehlende Meldungen von KRITIS-Vorfälle nach §8b (4) 1 Nr. 2 BSIG
  5. Fehlende Umsetzung von Maßnahmen von Anbietern digitaler Dienste nach §8c (1) 1 BSIG
  6. Fehlende Meldungen über Vorfälle bei Anbietern digitaler Dienste nach §8c (3) 1 BSIG
  7. Zuwiderhandlung einer Anordnung bei Anbietern digitaler Dienste nach §8c (4) BSIG

Bußgelder

§14 (2) BSIG legt für die oben genannten Verstösse gegen die KRITIS-Vorgaben Bußgelder zwischen 100.000 und 50.000 EUR fest.

up

Ausblick IT-SIG 2.0

2.0 Mit dem IT-Sicherheitsgesetz 2.0 von 2021 erhöhen sich die Bußgelder bei Verstößen gegen die KRITIS-Regulierung deutlich, ebenfalls sind mehr Tatbestände nun Verstöße.

Ordnungswidrigkeiten

§14 (1) bis (4) BSIG-E definiert deutlich mehr vorsätzliche und fahrlässige Verstöße von KRITIS-Betreibern, UNBÖFI und Anbietern Digitaler Dienste als Ordnungswidrigkeiten.

Ordnungswidrigkeiten im IT-Sicherheitgesetz 2.0, ohne Gewähr
Stand Juni 2021
Nr. Verstoß BSIG-E
Nachweise
1 KRITIS-Nachweise nicht richtig oder nicht vollständig erbringen §8a (3)
2 KRITIS-Nachweise nicht oder nicht rechtzeitig erbringen §8a (3)
Störungen
3 Systeme auf Verlangen des BSI nicht wiederherstellen oder keine Maßnahmen zur Gefahrenabwehr treffen §5b (6)
§7c (1)
§8a (3)
4 Fehlende Mitwirkung bei Störungsbeseitigung §8b (6)
5 Fehlende, unvollständige oder verspätete Meldung von Störungen bei KRITIS, Digitalen Diensten oder UNBÖFI §8b (4)
§8c (3) §8f (7)
Maßnahmen
6 Fehlende Umsetzung von KRITIS Cyber Security Maßnahmen §8a (1)
7 Fehlende Maßnahmen von Anbietern digitaler Dienste (DSP) §8c (1)
8 Fehlende, unvollständige Selbsterklärung zur IT-Sicherheit von UNBÖFI §8f (1)
Registrierung
9 Fehlende Registrierung als KRITIS, fehlende Kontaktstelle, keine Erreichbarkeit §8b (3)
10 Fehlende Registrierung als UNBÖFI §8f (5)
Informationen
11 Hersteller-Informationen für Untersuchungen nicht herausgeben §7a (2)
12 Fehlende Auskünfte von Anbietern Digitaler Dienste §8c (4)
13 Dem BSI Zutritt, Informationen oder Unterstützung bei der Überprüfung von Maßnahmen oder KRITIS-Registrierung verweigern §8a (4) §8b (3a)
Zertifizierungen
14 Als Konformitäts­bewertungsstelle ohne Genehmigung tätig werden §9a (2)
15 Sicherheitskennzeichen ohne Freigabe verwenden §9c (4)
16 Sicherheitsangaben zertifizierter Produkte nicht öffentlich machen Art. 55 (EU) 2019/881
17 Sicherheitslücken zertifizierter Produkte nicht öffentlich machen Art. 56 (EU) 2019/881

Bußgelder

§14 (5) BSIG-E enthält im letzten Entwurf erhöhte Bußgelder für die Ordnungswidrigkeiten, mit Geldbußen von bis zu 2 Mio. EUR, durch Verweis auf §30 Abs. 2 OWiG für bestimmte Tatbestände bis zu 20 Mio. EUR für juristische Personen.

Bußgelder im IT-Sicherheitgesetz 2.0, ohne Gewähr
Stand Juni 2021
Verstoß Referenz
Bis 2 Mio. EUR
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln 3
Bis 1 Mio. EUR
KRITIS-Maßnahmen nicht umsetzen oder nachweisen 1 2 6
Bis 500 Tsd.
Fehlende Mitwirkung bei Störungsbeseitigung 4
Fehlende Auskünfte von DSPs 12
Fehlende Registrierung als KRITIS oder UNBÖFI 9 10
Meldungen nicht absetzen bei KRITIS, DSP und UNBÖFI 5
DSP Maßnahmen nicht umsetzen 7
Selbsterklärung von UNBÖFI nicht vorlegen 8
Konformitätsbewertung ohne Genehmigung durchführen 14
Sicherheitskennzeichen ohne Genehmigung verwenden 15
Sicherheitsangaben oder Lücken zertifizierter Produkte nicht veröffentlichen 16 17
Bis 100 Tsd.
Herstellerinformationen nicht herausgeben 11
Zugang oder Unterlagen zu KRITIS-Maßnahmen/Registrierung verweigern 13
Fehlende Erreichbarkeit als KRITIS 9
Bis 20 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
Anordnungen zur Wiederherstellung oder Gefahrenabwehr zuwiderhandeln 3
Bis 10 Mio. als juristische Person/Organ (§30 Abs. 2 OWiG)
KRITIS-Maßnahmen nicht umsetzen oder nachweisen 1 2 6

up

Weitere Informationen

Quellen

  1. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  2. Gesetz über Ordnungswidrigkeiten (OWiG), in der Fassung der Bekanntmachung vom 19. Februar 1987 (BGBl. I S. 602), das zuletzt durch Artikel 9a des Gesetzes vom 30. März 2021 (BGBl. I S. 448) geändert worden ist
  3. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106