IT-Sicherheitsgesetz 2.0: BSI veröffentlicht FAQ zu neuen Pflichten

Die Neufassung des IT-Sicherheitsgesetzes berücksichtigt erstmals Unternehmen von besonderem Interesse. Das BSI gibt Umsetzungshinweise für deren Pflichten.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
BSI

(Bild: dpa, Armin Weigel)

Lesezeit: 3 Min.
Von
  • Stefan Hessel

Mit dem IT-Sicherheitsgesetz 2.0 hat der Gesetzgeber nicht nur Betreibern Kritischer Infrastrukturen (KRITIS) strengere Vorgaben für die IT-Sicherheit gemacht, sondern erstmal auch Vorschriften für Unternehmen im besonderen öffentlichen Interesse (UBI oder UNBÖFI) erlassen. Für Letztere hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun in einer FAQ Hinweise zur Umsetzung der neuen gesetzlichen Verpflichtung gegeben.

Unternehmen im besonderen öffentlichen Interesse werden in § 2 Abs. 14 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) definiert. Ähnlich wie Kritische Infrastrukturen kommt ihnen eine herausragende Bedeutung für das Funktionieren unserer Gesellschaft zu. Der Gesetzgeber hat sie in drei Kategorien unterteilt, die sich grob umreißen lassen als Unternehmen der Rüstungsindustrie (Nr. 1), Unternehmen mit volkswirtschaftlicher Bedeutung (Nr. 2) und Unternehmen aus dem Sektor der Gefahrstoffe (Nr. 3).

Unternehmen im besonderen öffentlichen Interesse unterliegen einer Vielzahl neuer Verpflichtungen, die je nach Kategorie zu unterschiedlichen Zeitpunkten umzusetzen sind. Zunächst sind sie zur Registrierung und Benennung einer Kontaktstelle verpflichtet.

Darüber hinaus besteht nach § 8f Abs. 7 BSIG die Pflicht, auftretende Störungen an das BSI zu melden. Eine Störung liegt vor, wenn eine eingesetzte Technik ihre Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder eine (versuchte) Einwirkung auf diese vorliegt. Gemeint sind beispielsweise Sicherheitslücken, Schadprogramme oder Cyberangriffe. Die Störung muss Auswirkungen auf die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit der Unternehmen haben und zumindest das Potenzial haben, die Wertschöpfung erheblich zu beeinträchtigen. Ganz geringfügige Störungen lösen also noch keine Meldepflicht aus. Das BSI nutzt die Meldungen dazu, das Unternehmen bei der Überwindung der Störung zu unterstützen und andere Unternehmen vor Gefahren zu warnen.

Unternehmen im besonderen öffentlichen Interesse sind teilweise auch zur Abgabe einer Selbsterklärung gegenüber dem BSI verpflichtet. Aus dieser soll unter anderem hervorgehen, welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt wurden und wie sichergestellt wird, dass die für das Unternehmen besonders schützenswerten informationstechnischen Systeme, Komponenten und Prozesse angemessen geschützt werden.

Je nach oben genannter Kategorie des Unternehmens besteht zeitnah Handlungsbedarf. So sind Unternehmen der ersten Kategorie zum 1. Mai 2023 verpflichtet, eine Selbsterklärung und eine Registrierung beim BSI einzureichen. Für Unternehmen der zweiten Kategorie besteht zunächst kein akuter Handlungsbedarf. Unternehmen der letzten Kategorie sind bereits ab dem 1. November 2021 dazu verpflichtet, Störungen zu melden.

Das IT-Sicherheitsgesetz 2.0 und die damit verbundenen aktuellen Hinweise des BSI zeigen deutlich, dass Cybersicherheitsanforderungen an Unternehmen zunehmend an Bedeutung gewinnen. Unternehmen sehen sich dabei sowohl auf nationaler Ebene als auch auf europäischer Ebene (zum Beispiel durch den Cybersecurity Act oder die NIS-Richtlinie) immer neuen Verpflichtungen gegenüber. Die FAQ des BSI sind für Unternehmen, denen bei Verstößen gegen die neuen Vorschriften hohe Bußgelder drohen, eine willkommene Unterstützung bei der Erfüllung der neuen Anforderungen.

(ur)