Unternehmen im besonderen öffentlichen Interesse

Icon Information Security, © NESEC GmbH

Unternehmen im besonderen öffentlichen Interesse (UBI oder UNBÖFI) sind Unternehmen, die aufgrund ihrer Geschäftstätigkeit oder Unternehmensgröße für den Staat besonders kritisch oder besonders wichtig sind. Diese Unternehmen wurden 2021 durch das IT-Sicherheitsgesetz 2.0 ebenfalls in das BSI-Gesetz aufgenommen und unterliegen zusätzlichen Pflichten.

Für Betreiber kritischer Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse gelten jedoch unterschiedliche Regelungen z.B. zu notwendigen Zertifizierungen oder wann Störungen an das BSI gemeldet werden müssen.

Was sind Unternehmen im besonderen öffentlichen Interesse?

Unternehmen im besonderen öffentlichen Interesse sind Unternehmen, mit denen besondere Risiken verbunden sind, die jedoch nicht unter die KRITIS-Verordnung fallen.

In § 2 BSIG werden drei Kategorien definiert:

  • UBI 1: Unternehmen die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung herstellen oder entwickeln. Das sind überwiegend Unternehmen aus der Wehrtechnik, also z.B. Hersteller von Waffen, Munition und Rüstungsmaterial aber auch gepanzerten Fahrzeuge, chemischen Reizstoffe, Sprengstoffen und elektronischen Bauteilen für die Kriegsführung aber auch Hersteller von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen
  • UBI 2: Unternehmen die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind
  • UBI 3: Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung. Darunter fallen insbesondere Unternehmen, die größere Mengen gefährlicher Stoffe lagern, z.B. Explosivstoffen, endzündliche, toxische oder gewässergefährdende Stoffe aber auch verschiedene sonstige Chemikalien die in der Störfallverordnung aufgeführt sind.

In der Regel wissen die Unternehmen, wenn sie in eine dieser Kategorien fallen, jedoch ist noch nicht jedem Unternehmen bewusst, dass dadurch auch Verpflichtungen aus dem BSIG anfallen.

Welche Folgen hat das?

Für UBI, insbesondere der Kategorie 1 entstehen dadurch keine besonders umfangreichen Pflichten.

  1. Pflicht zur Registrierung und zur Benennung einer Kontaktstelle  bis 1. Mai 2023 (§ 8f Abs. 5 BSIG)
  2. Pflicht zur Abgabe einer Selbsterklärung zur IT-Sicherheit bis 1. Mai 2023 und dann alle 2 Jahre (§ 8f Abs. 1 Nr. 1 bis 3)
  3. Pflicht zur Meldung von erheblichen IT-Sicherheitsvorfällen/Störungen sowie IT-Sicherheitsvorfällen/Störungen mit erheblicher Beeinträchtigung der Wertschöpfung ab 1. Mai 2023 (§ 8f Abs. 7 BSIG)

Der Inhalt der Selbsterklärung muss eine Reifegradbewertung des ISMS enthalten sowie Informationen zu IT-Sicherheitszertifizierungen und sonstigen IT-Sicherheitsaudits und Prüfungen in den letzten 2 Jahren. Eine Vorlage ist beim BSI erhältlich. Für die Anwendung des § 8f gibt es keine Schwellwerte, d.h. auch Klein- und Kleinstunternehmen sind hiervon betroffen. Wird die Frist versäumt oder Meldungen nicht richtig oder vollständig abgegeben, drohen Bußgelder bis 500.000 €.

Es gibt über die Selbsterklärung hinaus jedoch keine Verpflichtung zur Durchführung von Audits oder Prüfungen oder zur Erlangung bestimmter Zertifizierungen.

Weitere Informationen sind in der FAQ zu Unternehmen im besonderen öffentlichen Interesse des BSI zu finden.

Unsere Leistung

Wir unterstützten Sie bei der Einführung eines ISMS in Ihrem Unternehmen und der Erstellung der Sicherheitsleitlinie sowie der verschiedenen Richtlinien und Konzepte.

Wir unterstützen Sie bei der Registrierung beim BSI und übernehmen die Kommunikation mit dem BSI für Rückfragen. Wir bereiten IT-Sicherheitsvorfälle für die Meldung beim BSI auf und übernehmen die Kommunikation mit dem BSI.