MH - Fotolia
IT-Sicherheitsgesetz 2.0: Neue Pflichten für Unternehmen
Das IT-Sicherheitsgesetz 2.0 definiert die sogenannten Unternehmen im besonderen öffentlichen Interesse. Diese müssen spezielle Anforderungen bei der IT-Sicherheit erfüllen.
Branchenspezifische IT-Sicherheitsanforderungen gibt es schon lange, sie existieren zum Beispiel für Finanzdienstleister und das Gesundheitswesen ebenso wie für Zulieferer im Automobilbereich.
Zusätzlich zu den Branchenanforderungen gibt es ebenfalls schon länger besondere Sicherheitsanforderungen für Unternehmen und Organisationen, die zum KRITIS-Bereich gezählt werden, also „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten“.
Dazu zählen auch das Finanz- und Versicherungswesen (Banken, Versicherungen, Finanzdienstleister, Börsen) sowie das Gesundheitswesen (Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore). Entsprechend müssen beispielsweise Banken, die zu KRITIS gerechnet werden, die KRITIS-Vorgaben und die branchenspezifischen Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) erfüllen.
Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ist nun neben den KRITIS-Bereich der Bereich der Unternehmen im besonderen öffentlichen Interesse getreten. Nicht alle damit gemeinten Unternehmen sind sich dessen wirklich bewusst. Das sollte sich ändern, denn wer zu den Unternehmen im besonderen öffentlichen Interesse, kurz UBI, zählt, muss bestimmte IT-Sicherheitskriterien erfüllen und kann bei Verletzung der Vorgaben auch mit Sanktionen belegt werden.
Nicht KRITIS, aber UBI
Obwohl zweifellos KRITIS-Einrichtungen von „besonderem öffentlichen Interesse“ sind, zählen per Definition die Unternehmen, die unter die KRITIS-Verordnung fallen, nicht zu den Unternehmen im besonderen öffentlichen Interesse. Wer also zu KRITIS gehört, ist nicht Teil von UBI.
In Kürze dargestellt sind UBI Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte tätig sind (UBI 1), sowie Unternehmen, „die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind“ (UBI 2), und die einen Bereich betreiben, in dem gefährliche Stoffe in Mengen vorhanden sind, die die „in Spalte 5 der Stoffliste in Anhang I der Störfall-Verordnung genannten Mengenschwellen erreichen oder überschreiten“ (UBI 3).
Während die Zuordnung zur Rüstungsindustrie keine Probleme darstellen sollte, müssen sich die anderen Unternehmensgruppen durchaus klar machen, ob sie nun dazu gehören oder nicht.
Als Beispiel seien Unternehmen genannt, die Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte herstellen. Dies betrifft nicht jeden IT-Sicherheitsanbieter, aber solche, die Kunden, die staatliche Verschlusssachen verarbeiten, mit Schutzlösungen bedienen, oder aber die Komponenten für Lösungen anderer IT-Sicherheitsanbieter herstellen, die solche Kunden haben.
An dieser Stelle wird die Bedeutung der Lieferkette für die IT-Sicherheit deutlich. Hersteller im Bereich IT-Sicherheit müssen also prüfen, ob sie Kunden haben, die staatliche Verschlusssachen verarbeiten, oder Teil solcher Lösungen sind.
Was Unternehmen im besonderen öffentlichen Interesse tun müssen
Wenn nun ein IT-Sicherheitsunternehmen zur Gruppe UBI 1 gehört, resultieren daraus bestimmte Pflichten, die man kennen und einhalten sollte:
- Pflicht zur Registrierung beim BSI und Benennung einer Kontaktstelle
- Meldepflicht bei Sicherheitsvorfällen (Störungen der IT-Systeme, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Erbringung der Wertschöpfung geführt haben oder erheblichen Störungen, die zu Beeinträchtigung der Erbringung der Wertschöpfung führen können)
- Vorlage einer Selbsterklärung zur IT-Sicherheit (alle 2 Jahre), mit den IT-Sicherheitszertifizierungen in letzten 2 Jahren, sonstigen IT-Sicherheitsaudits und -Prüfungen in letzten 2 Jahren sowie Informationen über den Schutz besonders schützenswerter IT-Systeme, Komponenten und Prozesse.
Als Frist wird der 1. Mai 2023 genannt, dann gilt es sich als Unternehmen der Gruppe UBI 1 zu registrieren, eine Selbsterklärung zur IT-Sicherheit abzugeben und anlassbezogen entsprechende Störungen an das BSI zu melden. Bis dahin sollte man aber nicht abwarten, sondern insbesondere auch an den IT-Sicherheitszertifizierungen und sonstigen IT-Sicherheitsaudits und -Prüfungen arbeiten.
Unternehmen der Gruppe UBI 2 haben bis zum Inkrafttreten der noch nicht vorhandenen UBI-Verordnung vorerst keinen Handlungsbedarf, sollten das Thema aber im Blick behalten.
Unternehmen der Gruppe UBI 3 dagegen müssen bereits seit dem 1. November 2021 entsprechende Störungen an das BSI melden. Hier sei erwähnt, dass Bußgelder von bis zu 500.000 Euro drohen, wenn eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gegenüber dem BSI abgegeben wird.
Wer zu UBI 1 und UBI 2 zählt, hat also dadurch keinen direkten Handlungsbedarf, aber das BSI betont: Unbenommen von der gesetzlichen Regulierung durch das BSI-Gesetz sowie damit zusammenhängenden Verordnungen und Fristen empfiehlt das BSI auf Grund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.