Unternehmen im besonderen öffentlichen Interesse UBI
Seit 2021 gehören auch Unternehmen im besonderen öffentlichen Interesse, UBI bzw. UNBÖFI, zur Regulierung vom IT-Sicherheitsgesetz 2.0 neben den KRITIS-Betreibern.
Diese Unternehmen haben eine große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland
und setzen sich aus drei Gruppen von UBI zusammen:
- Rüstung (UBI 1): Hersteller von Rüstung und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
- Wertschöpfung (UBI 2): Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal.
- Gefahrstoffe (UBI 3): Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.
Auf diese Unternehmen kommen als UBI/UNBÖFI neue Pflichten zu (KRITIS-light), die sie je nach Gruppe ab 2021, 2023 oder 2024 umsetzen müssen. UBI/UNBÖFI müssen sich selbst beim BSI registrieren; sind Unternehmen bereits KRITIS, gibt es keine neuen Pflichten.
Regulierung von UBI
Gesetzgebung
Die Unternehmen im besonderen öffentlichen Interesse sind im IT-Sicherheitsgesetz 2.0 in drei Gruppen definiert.
Der Gesetzgeber will Unternehmen schützen, die keine KRITIS-Betreiber, aber für die IT-Sicherheit in Deutschland
besonders schützenswürdig sind.
Die Bedeutung ist im Vergleich zu KRITIS deutlich abgestuft
, die Rechtsfolgen nicht vergleichbar.
Die Begründung für die Aufnahme der UBI/UNBÖFI in das IT-Sicherheitsgesetz ist in der Bundestagsfassung (1926106) ausführlicher beschrieben, zu den Herstellern von Rüstung und VS-IT heisst es, dass ein Ausfall der Herstellungs- und Entwicklungstätigkeiten [...] wesentliche Sicherheitsinteressen der Bundesrepublik Deutschland gefährden könnte.
Bei den größten Unternehmen nach inländischer Wertschöpfung hätte ein Ausfall oder Störung gesamtgesellschaftliche Bedeutung
, wenn diese ihrer Geschäftstätigkeit für einen längeren Zeitraum nicht nachgehen
können.
Dabei wird auf das Hauptgutachten der Monopolkommission verwiesen, an dem sich Schwellenwerte und Methodik orientieren sollen.
Die Betreiber von Betriebsbereichen der oberen Klassen werden nicht weiter begründet.
Die grundlegenden Definitionen der UBI/UNBÖFI wurden im IT-Sicherheitsgesetz 2.0 von Mai 2021 vorgenommen. In der Rechtsverordnung KritisV 2021 sind die UBI-Details noch offen — diese werden 2022 in einer UBI-Verordnung (UBI-VO) definiert.
Betroffenheit als UBI
Die betroffenen Unternehmen identifizieren sich nach produzierten Gütern (UBI 1 und 3) oder ihrer Wirtschaftsleistung (UBI 2) selbst. Die Methodik und Schwellenwerte vor allem für UBI 2 müssen noch 2020 durch eine Rechtsverordnung definiert werden.
- Rüstung: Hersteller von bestimmten Rüstungsgütern und VS-IT, die in der Aussenwirtschaftsverordnung §60 (1) 1 und 3 AWV aufgelistet sind.
- Volkswirtschaftliche Bedeutung: Unternehmen nach ihrer inländischen Wirtschaftsleistung, deren Berechnung sich an der Monopolkommission und ihrem Hauptgutachten (Top 100) orientieren soll, sowie deren Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal. Beides muss noch genauer definiert werden, der Entwurf vom Gesetz spricht von Berechnungsmethodik und Schwellenwerten, mit denen Unternehmen anhang von eigenen Kennzahlen die Betroffenheit ermitteln können.
- Gefahrstoffe: Unternehmen, die in Betriebsbereichen der oberen Klasse gefährlichen Stoffen nach der Störfall-Verordnung produzieren, verarbeiten oder lagern.
Rechtsfolgen
UBI/UNBÖFI unterliegen mit dem IT-Sicherheitsgesetz 2.0 dann UBI Cyber Security Pflichten: Unternehmen aus UBI 1 ab dem 1. Mai 2023, UBI 2 zwei Jahre nach Inkrafttreten der UBI-VO Rechtsverordnung, UBI 3 ab 1. November 2021.
Die UBI/UNBÖFI-Pflichten unterscheiden sich in den Gruppen und umfassen:
- Identifikation und Registrierung: Unternehmen müssen sich selbst identifizieren und beim BSI registrieren.
- Selbsterklärung IT-Sicherheit: Unternehmen müssen dem BSI eine Erklärung über die IT-Sicherheit zu Zertifizierungen, Sicherheitsaudits und Sicherheitsmaßnahmen vorlegen.
- Vorfallsmeldungen: Unternehmen müssen bestimmte Störungen an das BSI melden.
Betroffene Unternehmen
Rüstung und VS-IT
UBI 1
Die erste Gruppe von UBI umfasst nach §2 (14) 1 BSIG Rüstungsfirmen und Komponentenhersteller, deren Ausfall wesentliche Sicherheitsinteressen der Bundesrepublik Deutschland
gefährden würde.
Diese Unternehmen müssen die UBI-Pflichten ab Mai 2023 umsetzen.
Produzierte Güter
Betroffen sind Unternehmen, die Rüstung und IT für Verschlusssachen (VS-IT) nach §60 (1) 1 und 3 AWV entwickeln und produzieren:
Produkte und Güter |
---|
Rüstung nach §60 (1) 1 AWV |
Güter aus Teil I Abschnitt A der Ausfuhrliste: 0001: Handfeuerwaffen 0002: Waffen mit glattem Lauf 0003: Munition 0004: Bomben, Torpedos, Raketen, Flugkörper 0005: Feuerleiteinrichtungen 0006: Landfahrzeuge und Bestandteile 0007: Chemische, biologische Agenzien, Reizstoffe, radioaktive Stoffe 0008: Energetische Materialien— Sprengstoff, Treibstoff 0009: Kriegsschiffe und Ausrüstung 0010: Luftfahrzeuge, UAVs, Triebwerke und Ausrüstung 0011: Elektronische Ausrüstung, "Raumfahrzeuge" 0012: Waffensysteme mit hoher kinetischer Energie 0013: Spezialpanzer und Schutzausrüstung 0014: Ausrüstung für militärische Ausbildung 0015: Bildausrüstung und Gegenmaßnahmen 0016: Schmiede- und Gusstücke für Waffen 0017: Verschiedene Ausrüstung 0018: Herstellungsausrüstung 0019: Strahlenwaffen-Systeme 0020: Kryogenische und supraleitende Ausrüstung 0021: Software für militärische Zwecke und Entwicklung/Herstellung 0022: Technologie für militärische Zwecke und Güter |
VS-IT nach §60 (1) 3 AWV |
Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung von staatlichen Verschlusssachen (VS) oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte |
Kriterien
Es sind bisher keine Schwellenwerte oder Kriterien für Unternehmen definiert — die Zuordnung zur UBI Gruppe 1 könnte abschließend über die obige Liste an Gütern erfolgen.
Pflichten
Die UBI/UNBÖFI-Pflichten Rüstung/VS-IT sind, wohl ab dem 1. Mai 2023:
- Eigene Identifikation
- Registrierung beim BSI
- Selbsterklärung IT-Sicherheit
- Meldung von IT-/Sicherheitsvorfällen ans BSI
Wertschöpfung und Zulieferer
UBI 2
Die zweite Gruppe von UBI sind nach §2 (14) 2 BSIG Unternehmen von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland — Großkonzerne und Industrie. Diese Unternehmen müssen die UNBÖFI Cyber Security Pflichten zwei Jahre nach Inkrafttreten der UBI-Rechtsverordnung (UBI-VO), wohl ab 2024, umsetzen.
UBI 2.5
Zusätzlich gehören auch Zulieferer in diese Gruppe, falls sie von wesentlicher Bedeutung für UBI 2 Unternehmen sind.
Kriterien sind das Vorliegen von Alleinstellungsmerkmalen
, weswegen sie von wesentlicher Bedeutung
für eines der größten Unternehmen sind.
Kriterien
Die Kennzahlen, Schwellenwerte und Methodik für die Gruppe Wertschöpfung aber auch die Alleinstellungsmerkmale der Gruppe Zulieferer müssen noch durch eine Rechtsverordnung UBI-VO definiert werden. Die Berechnungsmethodik für die Unternehmen soll sich an der Arbeit der Monopolkommission nach §44 (1) GWB orientieren, welche die hundert größten Unternehmen in Deutschland identifiziert (siehe unten).
Pflichten
Die Cyber Security Pflichten für UBI Wertschöpfung und Zulieferer sind, wohl ab 2024 nach Inkrafttreten der UBI-VO:
- Eigene Identifikation
- Registrierung beim BSI
- Selbsterklärung IT-Sicherheit
- Meldung von IT-/Sicherheitsvorfällen ans BSI
- Darlegung der (Nicht-)Betroffenheit ans BSI, auf Nachfrage
Gefahrstoffe und Chemie
UBI 3
Betreiber von Betriebsbereichen der oberen Klasse im Sinne der Störfall-Verordnung sind UBI nach §2 (14) 3 BSIG. Dies betrifft Unternehmen die in jenen Betriebsbereichen gefährliche Stoffe produzieren, verarbeiten und lagern — also Chemie-Konzerne, produzierende Unternehmen, Lager und Speicher etc.
Kriterien
Das Kriterium zur Zugehörigkeit zu UBI 3 ist ein eigener Betriebsbereich der oberen Klasse mit gefährlichen Stoffen im Sinne der Störfall-Verordnung. Die Schwellenwerte und Kategorien ergeben sich aus Spalte 5 der Stoffliste in Anhang I BImSchV.
Pflichten
Die Cyber Security Pflichten für UBI Gefahrstoffe und Chemie sind ab November 2021:
- Eigene Identifikation
- Freiwillige Registrierung beim BSI
- Meldung von IT-/Sicherheitsvorfällen ans BSI
Weitere Informationen
Literatur
- Unternehmen im besonderen öffentlichen Interesse - FAQ UBI Bundesamt für Sicherheit in der Informationstechnik, 2022
- Hauptgutachten XXIII: Wettbewerb 2020, Hauptgutachten gemäß § 44 Abs. 1 Satz 1 GWB, Monopolkommission, 29. Juli 2020
- Die nach inländischer Wertschöpfung 100 größten Unternehmen im Berichtsjahr (XLS), Tabelle II.1 aus Kapitel II Hauptgutachten, Monopolkommission, 29. Juli 2020, Excel
- Schutz kritischer Infrastrukturen: Erneuerte KRITIS-Verordnung gilt ab 2022, heise online News 08/2021
- UNBÖFI-Pflichten auf OpenKRITIS
- FAQ zu UBI 1 (AWV-UBI) allgemein Bundesamt für Sicherheit in der Informationstechnik, 2022
- FAQ zu UBI 2 (Wertschöpfungs-UBI): allgemein Bundesamt für Sicherheit in der Informationstechnik, 2022
- Webinar Unternehmen im besonderen öffentlichen Interesse (UBI) der Kategorie 1 (AWV-UBI), 9. Cyber-Sicherheits-Web-Talk, Allianz für Cybersicherheit, 2022
Quellen
- BSI-Kritisverordnung, vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 6. September 2021 (BGBl. I S. 4163) geƤndert worden ist
- Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, IT-Sicherheitsgesetz 2.0, Bundesgesetzblatt, 2021 Nr. 25, 27. Mai 2021
- Anlage 1: Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung mit Vorblatt und Begründung, Intrapol.org, 26.4.2021
- Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 25.01.2021 (IT-Sicherheitsgesetz 2.0), Gesetzentwurf der Bundesregierung, Drucksache 19/26106
- Außenwirtschaftsverordnung (AWV) vom 2. August 2013 (BGBl. I S. 2865), die zuletzt durch Artikel 1 der Verordnung vom 26. Oktober 2020 (BAnz AT 28.10.2020 V1) geändert worden ist
- Teil I Abschnitt A der Ausfuhrliste, Bundesministerium für Wirtschaft und Energie, 8.7.2015
- Störfall-Verordnung - 12. BImSchV vom 15. März 2017 (BGBl. I S. 483), die zuletzt durch Artikel 107 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
- Anhang I Mengenschwellen Störfall-Verordnung - 12. BImSchV, BGBl. I 2017, 494-500