IT-Sicherheitsgesetz 2.0: BSI veröffentlicht neue Hinweise für Unternehmen

Stefan Hessel

Mit dem IT-Sicherheitsgesetz 2.0 und den darin enthaltenen Änderungen am Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) hat der deutsche Gesetzgeber Unternehmen im besonderen öffentlichen Interesse (auch UBI oder UNBÖFI) eingeführt. Um betroffenen Unternehmen einen Überblick über ihre Rechte und Pflichten zu geben, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Aufsichtsbehörde FAQ veröffentlicht. Im Folgenden finden Sie eine Zusammenfassung der zentralen Aussagen der Behördeninformationen sowie unsere Empfehlungen zur Umsetzung.

Was sind Unternehmen im besonderen öffentlichen Interesse?

Unternehmen im besonderen öffentlichen Interesse sind in § 2 Abs. 14 BSIG definiert. Dieser unterscheidet zwischen den folgenden drei Kategorien von Unternehmen:

  • Nach § 2 Abs. 14 Nr. 1 BSIG sind Unternehmen erfasst, "die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung herstellen oder entwickeln". Darunter fallen insbesondere Unternehmen aus dem Bereich der Waffen-, Rüstungs- oder Munitionsproduktion sowie Hersteller von Produkten, die IT-Sicherheitsfunktionen zur Verarbeitung von Verschluss herstellen oder wesentliche Komponenten dafür zuliefern.

  • § 2 Abs. 14 Nr. 2 BSIG erfasst Unternehmen, "die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind". Die genauen wirtschaftlichen Kennzahlen zur Identifizierung der betroffenen Unternehmen müssen jedoch noch per Rechtsverordnung festgelegt werden. Sobald die Rechtsverordnung vorliegt, wird das Bundesinnenministerium die Alleinstellungsmerkmale für die ebenfalls erfassten Zulieferer der betroffenen Unternehmen veröffentlichen. Die erfassten Zulieferer müssen die Vorgaben für Unternehmen im besonderen öffentlichen Interesse dann ebenfalls beachten.

  • Gemäß § 2 Abs. 14 Nr. 3 BSIG können Unternehmen im besonderen öffentlichen Interesse auch "die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung" oder diesen nach § 1 Absatz 2 der Störfall-Verordnung gleichgestellte Unternehmen sein.

Für Betreiber Kritischer Infrastrukturen sind die Vorgaben für Unternehmen im besonderen öffentlichen Interesse nicht relevant, da ein Unternehmen nicht gleichzeitig Betreiber einer Kritischen Infrastruktur und ein Unternehmen im besonderen öffentlichen Interesse sein kann. Allerdings betont das BSI in seinen FAQ, dass jedes Unternehmen, d. h. jede juristische Person, in einer Konzerngruppe separat betrachtet wird.

Welche gesetzlichen Pflichten müssen beachtet werden?

Unternehmen, die § 2 Abs. 14 Nr. 1 BSIG oder § 2 Abs. 14 Nr. 2 BSIG unterfallen, müssen insbesondere die folgenden gesetzlichen Vorgaben beachten:

Zu beachten ist jedoch, dass Unternehmen nach § 2 Abs. 14 Nr. 1 BSIG die neuen Pflichten bereits ab dem 01.05.2023 erfüllen  müssen (§ 8f Abs. 1 und 4 Satz 1 und Abs. 7 BSIG), während Unternehmen nach § 2 Abs. 14 Nr. 2 BSIG dies frühestens zwei Jahre nach der bisher noch nicht erlassenen Rechtsverordnung tun müssen (§ 8f Abs. 1 und 4 Satz 2 und Abs. 7 BSIG).

Für Unternehmen nach § 2 Abs. 14 Nr. 3 BSIG besteht weder eine Pflicht zur Registrierung noch eine Pflicht zur Abgabe einer Selbsterklärung zur IT-Sicherheit. Möglich ist jedoch eine freiwillige Registrierung nach § 8f Abs. 6 BSIG. Allerdings müssen die Unternehmen bereits ab dem 01.11.2021 Störungen, die der Definition von § 8f Abs. 8 BSIG entsprechen, unverzüglich an das BSI melden.

Was sollten Unternehmen angesichts der neuen Vorgaben tun?

Das BSI stellt in seinen aktuellen Empfehlungen sehr stark auf die gesetzlichen Fristen ab, empfiehlt Unternehmen jedoch unabhängig davon, „[…] aufgrund  der IT-Sicherheitslage jederzeit und für jedes Unternehmen das  eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen“. In unserer Beratungspraxis zeigt sich darüber hinaus, dass bei vielen Unternehmen weiterhin erhebliche Unklarheit besteht, ob und inwieweit sie das IT-Sicherheitsgesetz 2.0 beachten und umsetzen müssen. Ausgehend davon raten wir Unternehmen dazu, ein Cybersecurity-Compliance-Management zu implementieren, das – auch über das IT-Sicherheitsgesetz 2.0 hinaus – eine strategische Umsetzung rechtlicher Anforderungen an Cybersicherheit erlaubt.

Fazit

Mit der Veröffentlichung von Informationen zu den Pflichten für Unternehmen im besonderen öffentlichen Interesse setzt das BSI eine Informationskampagne zum IT-Sicherheitsgesetz 2.0 fort. Die nunmehr veröffentlichten Fragen und Antworten ergänzen insoweit die bereits zum freiwilligen IT-Sicherheitskennzeichen bereitgestellten Informationen. Aus Unternehmenssicht ist die Veröffentlichung von zusätzlichen Informationen durch das BSI ausdrücklich zu begrüßen, da Unternehmen sich so im Rahmen ihres Cybersecurity-Compliance-Managements besser auf die Umsetzung der aufsichtsbehördlichen Anforderungen und die damit verbundenen Interpretationen des BSIG vorbereiten können. Zugleich belegen die neuen Informationen jedoch auch die zunehmende Komplexität der gesetzlichen Vorgaben für Cybersicherheit und die damit verbundenen Herausforderungen für Unternehmen.

[Oktober 2021]