UBI Unternehmen (UNBÖFI)

Mit dem IT-Sicherheitsgesetz 2.0 gehören seit 2021 neben KRITIS-Betreibern auch Unternehmen im besonderen öffentlichen Interesse (UBI bzw. UNBÖFI) zur Regulierung. Die Unternehmen haben eine große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland und setzen sich aus drei Gruppen zusammen:

  1. Rüstung (UBI 1): Hersteller von Rüstung und Produkten für staatliche Verschluss­sachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
  2. Volkswirtschaftliche Bedeutung (UBI 2): Unternehmen von erheblicher volks­wirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal.
  3. Gefahrstoffe (UBI 3): Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.

Auf diese Unternehmen kommen neue Cyber Security UNBÖFI-Pflichten zu (KRITIS-light), die sie ab 2023 umsetzen müssen. UBI/UNBÖFI müssen sich selbst identifizieren und beim BSI registrieren. Sind Unternehmen bereits KRITIS-Betreiber, gibt es keine neuen Pflichten.

Regulierung

Gesetzgebung

Die Unternehmen im besonderen öffentlichen Interesse sind im IT-Sicherheitsgesetz 2.0 definiert. Der Gesetzgeber will dadurch Unternehmen schützen, die keine KRITIS-Betreiber, aber für die IT-Sicherheit in Deutschland besonders schützenswürdig sind. Die Bedeutung ist im Vergleich zu KRITIS deutlich abgestuft, die Rechts­folgen nicht vergleichbar.

Die Begründung für die Aufnahme der UBI/UNBÖFI in das IT-Sicherheitsgesetz ist in der Bundes­tagsfassung (1926106) von Januar 2021 ausführlicher beschrieben, zu den Herstellern von Rüstung und VS-IT heisst es, dass ein Ausfall der Herstellungs- und Entwicklungs­tätigkeiten [...] wesentliche Sicherheits­interessen der Bundesrepublik Deutsch­land gefährden könnte.

Bei den größten Unternehmen nach inländischer Wertschöpfung hätte ein Ausfall oder Störung gesamtgesellschaftliche Bedeutung, wenn diese ihrer Geschäftstätigkeit für einen längeren Zeitraum nicht nachgehen können. Die Begründung verweist auf das Haupt­gutachten der Monopolkommission (100), an denen sich Schwellenwerte und Methodik orientieren sollen.

Die Betreiber von Betriebsbereichen der oberen Klassen werden nicht weiter begründet.

Die grundlegenden Definitionen der UBI/UNBÖFI wurden im IT-Sicherheitsgesetz 2.0 von Mai 2021 vorgenommen. In der konkretisierenden Rechtsverordnung (KritisV 2.0) von August 2021 sind jedoch noch nicht alle Details der UNBÖFI abschließend geklärt.

Betroffenheit

Die betroffenen Unternehmen identifizieren sich nach produzierten Gütern (UBI 1 und 3) oder ihrer Wirtschaftsleistung (UBI 2) selbst. Die Methodik und Schwellenwerte vor allem für UBI 2 müssen noch durch eine weitere oder geänderte Verordnung definiert werden.

  1. Rüstung: Hersteller von bestimmten Rüstungsgütern und VS-IT, die in der Aussenwirtschafts­verordnung §60 (1) 1 und 3 AWV aufgelistet sind.
  2. Volkswirtschaftliche Bedeutung: Unternehmen nach ihrer inländischen Wirtschafts­leistung, deren Berechnung sich an der Monopolkommission und ihrem Hauptgutachten (Top 100) orientieren soll, sowie deren Zulieferer von wesentlicher Bedeutung mit Alleinstellungs­merkmal. Beides muss noch genauer definiert werden, der Entwurf vom Gesetz spricht von Berechnungsmethodik und Schwellenwerten, mit denen Unternehmen anhang von eigenen Kennzahlen die Betroffenheit ermitteln können.
  3. Gefahrstoffe: Unternehmen, die in Betriebsbereichen der oberen Klasse gefährlichen Stoffen nach der Störfall-Verordnung produzieren, verarbeiten oder lagern.

Pflichten

UBI/UNBÖFI unterliegen mit dem IT-Sicherheitsgesetz 2.0 UNBÖFI Cyber Security Pflichten für das eigene Unternehmen: Unternehmen aus UBI 1 ab dem 1. Mai 2023, UBI 2 zwei Jahre nach Inkrafttreten der Rechtsverordnung ab 2023, UBI 3 ab 1. November 2021.

  1. Identifikation und Registrierung: Unternehmen müssen sich selbst identifizieren und beim BSI registrieren.
  2. Selbsterklärung IT-Sicherheit: Unternehmen müssen dem BSI eine Erklärung über die IT-Sicherheit zu Zertifizierungen, Sicherheitsaudits und Sicherheitsmaßnahmen vorlegen.
  3. Vorfallsmeldungen: Unternehmen müssen bestimmte Störungen an das BSI melden.

Die UBI/UNBÖFI-Pflichten unterscheiden sich je nach Gruppe.

up

Betroffene Unternehmen

Rüstung und VS-IT

UBI 1

Die erste Gruppe von UBI/UNBÖFI umfasst nach §2 (14) 1 BSIG-E Rüstungsfirmen und Komponenten­hersteller, deren Ausfall wesentliche Sicherheits­interessen der Bundesrepublik Deutschland gefährden würde. Diese Unternehmen müssen Cyber Security Pflichten ab dem 1. Mai 2023 umsetzen.

Produzierte Güter

Betroffen sind Unternehmen, die Rüstung und IT für Verschlusssachen (VS-IT) nach §60 (1) 1 und 3 AWV entwickeln und produzieren.

aus IT-SiG 2.0 Stand Mai 2021 und Außenwirtschaftsverordnung (AWV) 2013
Produkte und Güter
Rüstung nach §60 (1) 1 AWV
Güter aus Teil I Abschnitt A der Ausfuhrliste:
0001: Handfeuerwaffen
0002: Waffen mit glattem Lauf
0003: Munition
0004: Bomben, Torpedos, Raketen, Flugkörper
0005: Feuerleiteinrichtungen
0006: Landfahrzeuge und Bestandteile
0007: Chemische, biologische Agenzien, Reizstoffe, radioaktive Stoffe
0008: Energetische Materialien — Sprengstoff, Treibstoff
0009: Kriegsschiffe und Ausrüstung
0010: Luftfahrzeuge, UAVs, Triebwerke und Ausrüstung
0011: Elektronische Ausrüstung, "Raumfahrzeuge"
0012: Waffensysteme mit hoher kinetischer Energie
0013: Spezialpanzer und Schutzausrüstung
0014: Ausrüstung für militärische Ausbildung
0015: Bildausrüstung und Gegenmaßnahmen
0016: Schmiede- und Gusstücke für Waffen
0017: Verschiedene Ausrüstung
0018: Herstellungsausrüstung
0019: Strahlenwaffen-Systeme
0020: Kryogenische und supraleitende Ausrüstung
0021: Software für militärische Zwecke und Entwicklung/Herstellung
0022: Technologie für militärische Zwecke und Güter
VS-IT nach §60 (1) 3 AWV
Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen (VS)
oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte

Kriterien

Es sind keine Schwellenwerte oder Kriterien für Unternehmen definiert — die Zuordnung zur UBI Gruppe 1 könnte abschließend über die obige Liste an Gütern erfolgen.

Pflichten

Die UBI/UNBÖFI-Pflichten Rüstung/VS-IT sind, wohl ab dem 1. Mai 2023:

up

Volkswirtschaftliche Bedeutung und Zulieferer

UBI 2

Die zweite Gruppe von UBI/UNBÖFI sind nach §2 (14) 2 BSIG-E Unternehmen von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland — Großkonzerne und Industrie. Diese Unternehmen müssen die UNBÖFI Cyber Security Pflichten zwei Jahre nach Inkrafttreten der UBI-Rechtsverordnung (UBI-VO), wohl ab 2024 umsetzen.

UBI 2.5

Zusätzlich gehören auch Zulieferer in diese Gruppe bzw. zu den Unternehmen, falls sie von wesentlicher Bedeutung für diese Unternehmen sind. Kriterien sind das Vorliegen von Alleinstellungs­merkmalen, weswegen sie von wesentlicher Bedeutung für eines der größten Unternehmen sind.

Kriterien

Die Kennzahlen, Schwellenwerte und Methodik für die Gruppe Volkswirtschaftliche Bedeutung aber auch die Alleinstellungsmerkmale der Gruppe Zulieferer müssen noch durch eine Rechts­verordnung definiert werden — der letzte Entwurf der KRITIS-Verordnung 2.0 tat dies noch nicht. Die Berechnungsmethodik für die Unternehmen soll sich an der Arbeit der Monopol­kommission nach §44 (1) GWB orientieren, welche die hundert größten Unternehmen in Deutschland identifiziert (weiter unten verlinkt).

Pflichten

Die Cyber Security Pflichten Volkswirtschaftliche Bedeutung und Zulieferer sind, wohl ab 2024 nach Inkrafttreten der UBI-VO:

up

Gefahrstoffe und Chemie

UBI 3

Betreiber von Betriebsbereichen der oberen Klasse im Sinne der Störfall-Verordnung sind UBI/UNBÖFI nach §2 (14) 3 BSIG-E. Dies betrifft Unternehmen die in ihren entsprechenden Betriebsbereichen gefährliche Stoffe produzieren, verarbeiten und lagern — Chemie-Konzerne, produzierende Unternehmen, Lager und Speicher.

Kriterien

Das Kriterium zur Zugehörigkeit sind Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung. Die Schwellenwerte und Kategorien ergeben sich aus Spalte 5 der Stoffliste in Anhang I BImSchV.

Pflichten

Die Cyber Security Pflichten Gefahrstoffe und Chemie sind, ab dem 1. November 2021:

up

Weitere Informationen

Literatur

  1. Unternehmen im besonderen öffentlichen Interesse - FAQ UBI Bundesamt für Sicherheit in der Informationstechnik, 11.10.2021
  2. Hauptgutachten XXIII: Wettbewerb 2020, Hauptgutachten gemäß § 44 Abs. 1 Satz 1 GWB, Monopolkommission, 29. Juli 2020
  3. Die nach inländischer Wertschöpfung 100 größten Unternehmen im Berichtsjahr (XLS), Tabelle II.1 aus Kapitel II Hauptgutachten, Monopolkommission, 29. Juli 2020, Excel
  4. Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online News 08/2021
  5. UNBÖFI-Pflichten auf OpenKRITIS

Quellen

  1. Zweites Gesetz zur Erhöhung der Sicherheit informations­technischer Systeme, IT-Sicherheits­gesetz 2.0, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021
  2. Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
  3. Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
  4. Außenwirtschaftsverordnung (AWV) vom 2. August 2013 (BGBl. I S. 2865), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2020 (BAnz AT 28.10.2020 V1) geändert worden ist
  5. Teil I Abschnitt A der Ausfuhrliste, Bundesministerium für Wirtschaft und Energie, 8.7.2015
  6. Störfall-Verordnung - 12. BImSchV vom 15. März 2017 (BGBl. I S. 483), die zuletzt durch Artikel 107 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
  7. Anhang I Mengenschwellen Störfall-Verordnung - 12. BImSchV, BGBl. I 2017, 494-500