Unternehmen im besonderen öffentlichen Interesse (UNBÖFI)
Diese Gruppe von Unternehmen ist im 2.0 IT-Sicherheitsgesetz 2.0 definiert, das am 23. April 2021 im Bundestag beschlossen wurde. Die Ausführungen sind Annahmen aus Entwürfen.
Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) zur Regulierung.
Die Unternehmen haben nach §2 (14) BSIG-E eine große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland
, und setzen sich aus drei Gruppen zusammen:
- Rüstung: Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
- Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (Top 100), weil Störungen gesamtgesellschaftliche Bedeutung hätten, und
Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal für diese. - Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.
Auf diese Unternehmen kommen mit dem neuen IT-Sicherheitsgesetz 2.0 bald zusätzliche KRITIS-light
Cyber Security Pflichten zu, die etwas geringer als KRITIS-Pflichten sind.
Unternehmen müssen sich selbst als UNBÖFI identifizieren und beim BSI registrieren.
Sind Unternehmen bereits KRITIS-Betreiber, gibt es keine neuen Pflichten.
Betroffene Unternehmen
Rüstung und VS-IT
UNBÖFI der Gruppe Rüstung sind nach §2 (14) 1 BSIG-E Hersteller von Rüstung und Produkten für staatliche Verschlusssachen (VS) nach §60 (1) 1 und 3 AWV, deren Ausfall wesentliche Sicherheitsinteressen der Bundesrepublik Deutschland
gefährden würde.
Dies wird Rüstungsfirmen und Hersteller von Komponenten (Motoren, Elektronik, Leitsysteme) und VS-IT betreffen, die folgende Güter entwickeln und produzieren.
| Produkte und Güter |
|---|
| Rüstung nach §60 (1) 1 AWV und Teil I Abschnitt A der Ausfuhrliste |
|
0001: Handfeuerwaffen 0002: Waffen mit glattem Lauf 0003: Munition 0004: Bomben, Torpedos, Raketen, Flugkörper 0005: Feuerleiteinrichtungen 0006: Landfahrzeuge und Bestandteile 0007: Chemische, biologische Agenzien, Reizstoffe, radioaktive Stoffe 0008: Energetische Materialien— Sprengstoff, Treibstoff 0009: Kriegsschiffe und Ausrüstung 0010: Luftfahrzeuge, UAVs, Triebwerke und Ausrüstung 0011: Elektronische Ausrüstung, "Raumfahrzeuge" 0012: Waffensysteme mit hoher kinetischer Energie 0013: Spezialpanzer und Schutzausrüstung 0014: Ausrüstung für militärische Ausbildung 0015: Bildausrüstung und Gegenmaßnahmen 0016: Schmiede- und Gusstücke für Waffen 0017: Verschiedene Ausrüstung 0018: Herstellungsausrüstung 0019: Strahlenwaffen-Systeme 0020: Kryogenische und supraleitende Ausrüstung 0021: Software für militärische Zwecke und Entwicklung/Herstellung 0022: Technologie für militärische Zwecke und Güter | VS-IT nach §60 (1) 3 AWV |
| Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen (VS) |
Die Methode zur Identifikation betroffener Unternehmen ist noch nicht definiert.
| Gruppe | Methodik | Erläuterung |
|---|---|---|
| Rüstung | tbd. | Noch in der KritisV zu definieren |
| VS-IT | tbd. | Noch in der KritisV zu definieren |
Volkswirtschaftliche Bedeutung und Zulieferer
UNBÖFI der zweiten Gruppe nach §2 (14) 2 BSIG-E sind Unternehmen von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland — die einhundert größten Unternehmen Deutschlands nach inländischer Wertschöpfung
, also Großkonzerne und Industrie.
Zusätzlich gehören in der letzten Version vom IT-SiG 2.0 auch Zulieferer in diese Gruppe, falls sie von wesentlicher Bedeutung für die Unternehmen sind. Sowohl die Kennzahlen für die volkswirtschaftliche Bedeutung aber auch die Alleinstellungsmerkmale der Zulieferer sollen noch durch die neue KRITIS-Rechtsverordnungs definiert werden.
| Gruppe | Methodik | Erläuterung |
|---|---|---|
| Bedeutung | tbd. | Kriterien und Berechnungsmethodik könnten sich an der Arbeit der Monopolkommission nach §44 Absatz 1 GWB orientieren. Die Begründung vom Gesetz spricht von den einhundert größten Unternehmen. |
| Zulieferer | tbd. | Kriterien sind das Vorliegen von Alleinstellungsmerkmalen, weswegen sie von wesentlicher Bedeutungfür eines der größten Unternehmen sind. |
Gefahrstoffe und Chemie
UNBÖFI dieser Gruppe nach §2 (14) 3 BSIG-E sind Betreiber von Betriebsbereichen der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung.
Dies wird wahrscheinlich Chemie-Konzerne, produzierende und verarbeitende Unternehmen und Lager/Speicher mit entsprechenden Betriebsbereichen betreffen, mit noch durch den Gesetzgeber zu definierender Methodik.
| Gruppe | Methodik | Erläuterung |
|---|---|---|
| Gefahrstoffe | tbd. | Ein Kriterium sind Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung. Schwellenwerte und Kategorien ergeben sich möglicherweise aus der Spalte 5 der Stoffliste in Anhang I |
Der weitere Weg
Die Unternehmen im besonderen öffentlichen Interesse werden im IT-Sicherheitsgesetz 2.0 erstmalig erwähnt. Das neue Gesetz wurde nach einigen Änderungen Ende April 2021 im Bundestag beschlossen — und muss bis zum Inkrafttreten noch einige Stationen durchlaufen. Die Methoden zur Identifikation der UNBÖFI müssen durch eine neue KRITIS-Verordnung 2.0 festgelegt werden, die letzten Entwürfe ließen diese noch offen.
UNBÖFI müssen später zusätzlichen Cyber Security Pflichten nachkommen — mit eigener Identifikation, Meldepflichten ans BSI und einer Selbsterklärung IT-Sicherheit. Der jetzige Gesetzesentwurf räumt dazu noch Fristen von bis zu zwei Jahren ein.
Weitere Informationen
Literatur
- Notbremse für den Entwurf! - Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, AG KRITIS 03.12.2020
Quellen
- Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
- Beschlussempfehlung und Bericht zu dem Gesetzentwurf der Bundesregierung Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, Deutscher Bundestag, Drucksache 19/28844, 21.4.2021
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
- Außenwirtschaftsverordnung (AWV) vom 2. August 2013 (BGBl. I S. 2865), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2020 (BAnz AT 28.10.2020 V1) geändert worden ist
- Teil I Abschnitt A der Ausfuhrliste, Bundesministerium für Wirtschaft und Energie, 8.7.2015