Ich bin eine erfahrene Anwältin im Düsseldorfer Büro von Bird & Bird, spezialisiert auf Cybersecurity- und Datenschutzrecht, sowie Co-Head der Bird & Bird International Cybersecurity Steering Group.
Ich berate in den Bereichen Technologie, Urheberrecht sowie Datenschutz. Mein Ziel ist es, Mandanten stets die beste, für sie passende Beratung bereit zu stellen und sie insbesondere in ihren Technologietransaktionen und ihren IT- und datengesteuerten Projekten pragmatisch, lösungsorientiert und innovativ zu begleiten.
Welche Unternehmen sind davon betroffen und was müssen sie jetzt tun?
Mit dem IT-Sicherheitsgesetz 2.0, das zum ganz überwiegenden Teil am 28. Mai 2021 in Kraft getreten ist, wurde zusätzlich zu den KRITIS-Betreibern und den Anbietern der digitalen Dienste die neue Kategorie der Unternehmen im besonderen öffentlichen Interesse eingeführt. Wer hierunter fällt und welche Pflichten hiermit einhergehen, wurde nun letzte Woche in den allgemeinen FAQ des BSI erörtert. In diesem Beitrag werden die wesentlichen Punkte des vom BSI vorgenommenen Klarstellungen zusammengefasst und der aktuelle Handlungsbedarf aufgezeigt.
Wer fällt unter die Kategorie der Unternehmen im besonderen öffentlichen Interesse?
Dazu gehören Unternehmen, die nicht Betreiber Kritischer Infrastrukturen sind (Betreiber Kritischer Infrastrukturen sind ja bereits Gegenstand umfangreicher Pflichten nach dem BSI-Gesetz – siehe dazu unseren Beitrag vom Mai 2021) und
Nr. 1 – die Güter nach § 60 Abs. 1 Nr. 1 und 3 AWV herstellen oder entwickeln Darunter fallen gemäß den FAQ des BSI die Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentliche Komponenten solcher Produkte tätig sind (im Folgenden „UBI 1“).
Nr. 2 – die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind Das BSI hat in den FAQ klargestellt, dass zu der ersten Gruppe die größten Unternehmen Deutschlands gehören. Die genauen wirtschaftlichen Kennzahlen zur Identifizierung der größten Unternehmen werden dabei noch per Rechtsverordnung festgelegt. Nach Vorliegen dieser Verordnung und Feststehen des Betroffenenkreises dieser Kategorie von Unternehmen im besonderen öffentlichen Interesse kann das BMI in einer weiteren Verordnung bestimmen, welche Alleinstellungsmerkmale maßgeblich dafür sind, dass Zulieferer für diese Unternehmen von wesentlicher Bedeutung sind und daher ebenfalls unter die gesetzlichen Bestimmungen des BSI-Gesetzes fallen (im Folgenden „UBI 2“).
Nr. 3 – die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung sind oder Betreiber, die nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind Das sind gemäß dem BSI Unternehmen, die einen Bereich betreiben, in dem gefährliche Stoffe in Mengen vorhanden sind, die die in Spalte 5 der Stoffliste in Anhang I der Störfall-Verordnung genannten Mengenschwellen erreichen oder überschreiten (im Folgenden „UBI 3“).
Welche IT-sicherheitsrechtlichen Pflichten gelten für Unternehmen im besonderen öffentlichen Interesse?
Die Pflichten der Unternehmen im besonderen öffentlichen Interesse unterscheiden sich je nach Kategorie, welcher ein solches Unternehmen angehört: Die Pflichten, die den einer Regulierung durch die Störfall-Verordnung unterliegenden Unternehmen (§ 2 Abs. 14 S. 1 Nr. 3 BSIG, UBI 3) auferlegt werden, sind nicht so umfangreich wie die Pflichten der Unternehmen, deren Geschäftstätigkeit unter § 60 Abs. 1 Nr. 1 und 3 AWV fällt (§ 2 Abs. 14 S. 1 Nr. 1 BSIG, UBI 1) sowie der Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind (§ 2 Abs. 14 S. 1 Nr. 2 BSIG, UBI 2).
Kurz zusammengefasst, unterliegen die Unternehmen, die in die UBI 1- sowie UBI 2-Kategorie fallen, folgenden Pflichten:
Pflicht zur Vorlage einer Selbsterklärung zur IT-Sicherheit beim BSI. Das BSI kann auf Grundlage einer solchen Selbsterklärung Hinweise zu angemessenen organisatorischen und technischen Vorkehrungen zur Einhaltung des Stands der Technik geben;
Pflicht zur Registrierung beim BSI und Benennung einer zu den üblichen Geschäftszeiten erreichbaren Stelle gleichzeitig mit der Vorlage der ersten Selbsterklärung zur IT-Sicherheit und
Pflicht zur unverzüglichen Meldung von bestimmten Störungen an das BSI ab dem Zeitpunkt, zu dem eine Pflicht zur Vorlage der Selbsterklärung zur IT-Sicherheit besteht
Den Unternehmen der UBI 3-Kategorie soll dagegen lediglich die Pflicht zur unverzüglichen Meldung von bestimmten Sicherheitsvorfällen auferlegt werden. Die Registrierung beim BSI und Benennung einer zu den üblichen Geschäftszeiten erreichbaren Stelle können auf freiwilliger Basis vorgenommen werden. Es besteht ferner auch keine Verpflichtung zur Vorlage einer Selbsterklärung zur IT-Sicherheit.
Welche Folgen kann die Verletzung der oben genannten IT-sicherheitsrechtlichen Pflichten nach sich ziehen?
Die Verletzung der Pflichten für Unternehmen im besonderen öffentlichen Interesse ist bußgeldbewehrt. Es drohen Bußgelder von bis zu 500.000 Euro
bei nicht oder nicht rechtzeitiger Registrierung (§ 14 Abs. 2 Nr. 5 BSIG);
bei nicht oder nicht rechtzeitiger Benennung einer Kontaktstelle (§ 14 Abs. 2 Nr. 5 BSIG);
wenn die Selbsterklärung nach § 8f Abs. 1 BSIG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorgelegt wird (§ 14 Abs. 2 Nr. 9 BSIG);
wenn eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gegenüber dem BSI abgegeben wird (§ 14 Abs. 2 Nr. 7 BSIG).
Kurz und knapp: Was müssen Unternehmen im besonderen öffentlichen Interesse jetzt tun?
Der aktuelle Handlungsbedarf unterscheidet sich je nach Kategorie des Unternehmens im besonderen öffentlichen Interesse:
UBI 1: Weil die entsprechenden Vorbereitungen – je nachdem, welche Zertifizierungen bereits vorhanden sind und welche noch durchgeführt werden müssen – unter Umständen aufwendig ausfallen können, besteht aktuell ein dringender Handlungsbedarf bei Herstellern und Entwicklern von Gütern im Sinne von
§ 60 AWV (u.a. Rüstungshersteller sowie Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen). Diese müssen nämlich bis zum 1. Mai 2023 neben der Registrierung eine Selbsterklärung zur IT-Sicherheit beim BSI vorlegen und im deren Rahmen bestimmte Angaben u.a. zu den durchgeführten Zertifizierungen, Sicherheitsaudits und Prüfungen im Bereich der IT-Sicherheit machen.
UBI 3: Ein dringender Handlungsbedarf besteht ferner für die Unternehmen, die der Regulierung durch die Störfall-Verordnung unterliegen. Solche Unternehmen müssen ab dem 1. November 2021 bestimmte Vorfälle an das BSI melden. Für Unternehmen, die potenziell in diese Kategorie fallen können, ist es daher wichtig im ersten Schritt – soweit noch nicht geschehen – schnellstmöglich nachzuvollziehen, ob sie in den Anwendungsbereich dieser Pflicht fallen oder nicht. Sollte das jeweilige Unternehmen von der UBI 3-Kategorie erfasst sein, ist es vor dem Hintergrund der erhöhten Bußgelder im nächsten Schritt wichtig, sich bis zum 1. November 2021 mit den Meldegründen sowie zeitlichen und inhaltlichen Vorgaben im Zusammenhang mit dieser Pflicht vertraut zu machen und die entsprechenden Anforderungen in die operativen/internen Prozesse des Unternehmens zu integrieren. Nur auf diese Weise wird das betroffene Unternehmen Meldungen entsprechend den Vorgaben des BSI-Gesetzes rechtzeitig, richtig und vollständig machen können.
UBI 2: In Bezug auf die Unternehmen von erheblicher volkswirtschaftlicher Bedeutung und die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind, sollten die aktuellen Entwicklungen im Zusammenhang mit dem Erlass der entsprechenden Rechtsverordnung verfolgt werden, die – wie im Fall der Kritischen Infrastrukturen – bestimmen soll, wer konkret unter diese Kategorie fallen soll. Dies ist wichtig, um ausreichend Zeit für eine Prüfung zu haben, ob das jeweilige Unternehmen unter die UBI 2-Kategorie fällt, und um sich auf die Vorlage einer Selbsterklärung zur IT-Sicherheit umfassend vorbereiten sowie eine Registrierung beim BSI rechtzeitig vornehmen zu können.
Unbenommen von der gesetzlichen Regulierung durch das BSI-Gesetz sowie damit zusammenhängenden Rechtsverordnungen und Fristen empfiehlt das BSI dabei auf Grund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.