Cybersicherheit für Unternehmen im besonderen öffentlichen Interesse (UBI)
Regulierung und Betroffenheit von UBI: Welche Pflichten sind zu erfüllen?
Unternehmen von besonderem öffentlichem Interesse (UBI) sind Unternehmen, deren Geschäftstätigkeit aufgrund ihrer Größe, ihres Einflusses auf die Gesellschaft oder anderer Faktoren ein erhebliches öffentliches Interesse auf sich ziehen. Zu den UBI zählen (1) Hersteller/Entwickler von Gütern im Sinne von § 60 Außenwirtschaftsverordnung (insb. Wehrtechnik), (2) Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (Wertschöpfung), und (3) Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung.
UBI sind schützenswert, da sie einen wesentlichen Beitrag zur wirtschaftlichen Stabilität der Bundesrepublik Deutschland leisten. Daher haben der Gesetzgeber und die Aufsichtsbehörden besondere Regulierungen und Schutzmaßnahmen für diese Unternehmen eingeführt, um sicherzustellen, dass diese verantwortungsvoll und im Interesse der Gesellschaft handeln.
Gemäß der Regulierung durch das IT-Sicherheitsgesetz 2.0 bzw. § 8f Abs. 8 BSIG müssen sich UBI der Klasse 1 ab dem 1. Mai 2023 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eigeninitiativ registrieren, eine Kontaktstelle benennen, die Pflicht zur Selbsterklärung zur IT-Sicherheit erfüllen und zweijährlich aktualisieren sowie Störungen der Verfügbarkeit, Vertraulichkeit und Integrität an das BSI melden. Dadurch, dass der Gesetzgeber die Voraussetzungen der UBI Klasse 2 noch nicht festgelegt hat, sind oben genannte Pflichten für so genannte Wertschöpfung-UBI (Klasse 2) noch nicht verpflichtend, aber zeitnah zu erwarten und werden die Selbsterklärung zu umfassenden Maßnahmen zur IT-Sicherheit wie z. B. ISMS und Zertifizierungen abfragen. Die Unternehmen der UBI Klasse 3 sind bereits seit 1. November 2021 verpflichtet, Störungen an das BSI zu melden. Unser Fachteam unterstützt UBI bei der Einhaltung der Pflichten.
Hinweis: Gem. dem Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS-Richtlinie ist vorgesehen, dass die Regelungen im BSIG zu den UBI aufgehoben werden sollen. UBI werden gem. des Entwurfs in der neuen Einrichtungskategorie „Wichtige Einrichtungen“ aufgehen und die dort vorgesehenen Verpflichtungen erfüllen.
Anforderungen an Cyber Security für UBI
Das BSI-Gesetz definiert und unterscheidet drei Klassen von Unternehmen von besonderem öffentlichem Interesse. Dazu zählen die Klassen UBI 1, UBI 2 und UBI 3:
- UBI 1 umfasst den Bereich Waffen, Munition und Rüstungsmaterial sowie den Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen.
- UBI 2 umfasst die nach ihrer inländischen Wertschöpfung größten Unternehmen Deutschlands sowie wesentliche Zulieferer für diese Unternehmen.
- UBI 3 umfasst Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-VO oder Betreiber, welche „nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind“.
Betreiber Kritischer Infrastrukturen, gemäß BSI, zählen nicht zu Unternehmen im besonderen öffentlichen Interesse, sondern unterliegen den Bestimmungen des BSI-Gesetzes als KRITIS-Betreiber. Somit kann ein Unternehmen nicht gleichzeitig ein Betreiber einer Kritischen Infrastruktur und ein Unternehmen im besonderen öffentlichen Interesse sein. Unternehmen können aber zu mehreren UBI-Klassen gleichzeitig gehören.
Warum ist Cybersicherheit für Unternehmen im besonderen öffentlichen Interesse relevant?
Cybersicherheit ist für Unternehmen von besonderem öffentlichem Interesse essentiell, da Cyberangriffe nicht nur die betroffenen Unternehmen beeinträchtigen können, sondern auch die Gesellschaft als Ganzes. Hierbei ist der Schutz von unternehmenskritischen und vertraulichen Informationen, Wirtschaft, kritischen Infrastrukturen und der nationalen Sicherheit von höchster Bedeutung:
- Schutz von persönlichen, unternehmenskritischen und vertraulichen Informationen: Unternehmen verarbeiten oftmals große Mengen an persönlichen und vertraulichen Informationen, einschließlich Kunden- und Mitarbeiterdaten, Geschäftsgeheimnisse und geistiges Eigentum. Der Verlust oder die Offenlegung dieser Informationen kann erhebliche negative Auswirkungen auf die betroffenen Personen und Unternehmen haben.
- Schutz der Wirtschaft: Cyberangriffe können erhebliche Auswirkungen auf die Wirtschaftsleistung der Bundesrepublik Deutschland haben. Sie können den Betrieb von Unternehmen stören, Dienstleistungen unterbrechen und Verluste verursachen. Wenn Unternehmen in großem Umfang von Cyberangriffen betroffen sind, kann dies auch zu einem Rückgang des Vertrauens der Verbraucher und Investoren führen.
- Schutz der kritischen Infrastruktur: Die meisten Branchen und Unternehmen sind von der Verfügbarkeit kritischer Infrastrukturen abhängig, wie zum Beispiel Energie-, Wasser- und Verkehrssysteme. Cyberangriffe auf diese Systeme können zu Störungen und sogar zum Zusammenbruch der Infrastruktur führen und einen erheblichen wirtschaftlichen, gesellschaftlichen und auch ökologischen Schaden implizieren.
- Schutz der nationalen Sicherheit: Einige Unternehmen sind in Bereichen tätig, die für die nationale Sicherheit von Bedeutung sind, wie zum Beispiel Rüstung, Telekommunikation und Transport. Cyberangriffe auf diese Unternehmen können nationale Sicherheitsinteressen gefährden.
Unternehmen im besonderen öffentlichen Interesse müssen eine robuste Cyber-Sicherheitsorganisation entwickeln und implementieren, um sich vor Cyberangriffen zu schützen. PwC bietet betroffenen Unternehmen in Deutschland hierbei Unterstützung an.
Wie kann PwC helfen?
Egal ob Betroffenheitsanalysen, operative Unterstützung bei der Bewältigung aktueller Sicherheitsvorfälle, die Etablierung von Sicherheitsstandards oder die Implementierung von technischen Sicherheitsmaßnahmen – unser interdisziplinäres Team mit mehr als 400 Cyber-Expert:innen steht Ihnen mit seinem umfangreichem Branchen-Know-how zur Seite und unterstützt in verschiedenen UBI-relevanten Themen:
- Sicherheitsstandards
- Upskilling
- Technische Sicherheitsmaßnahmen
- Systemüberwachung
- Meldeprozesse
Sicherheitsstandards
Implementierung von Sicherheitsstandards
Unternehmen sollten sicherstellen, dass sie Sicherheitsstandards wie die ISO 27001 oder den IT-Grundschutz des BSI implementieren. Diese Standards helfen dabei, eine angemessene Sicherheitsinfrastruktur aufzubauen und potenzielle Schwachstellen zu identifizieren.
Upskilling
Interne Schulungen
Mitarbeitende sind oftmals das schwächste Glied in der Sicherheitskette. Unternehmen sollten sicherstellen, dass ihre Belegschaft regelmäßig in Bezug auf Cybersicherheit geschult wird, um Risiken wie z. B. durch Social Engineering zu minimieren.
Technische Sicherheitsmaßnahmen
Einrichtung von technischen Sicherheitsmaßnahmen
Unternehmen sollten geeignete Sicherheitsmaßnahmen wie Firewall, Antivirus-Software, Verschlüsselung und Zugangskontrollen implementieren, um Angriffe zu verhindern oder zu begrenzen.
Systemüberwachung
Überwachung der Systeme
Unternehmen sollten ihre Systeme und Netzwerke kontinuierlich überwachen, um Anomalien oder potenzielle Bedrohungen zu identifizieren. Der Aufbau eines SIEM/SOC kann hierbei ein erster Schritt sein.
Meldeprozesse
Etablierung von Meldewegen und Prozessen
Unternehmen im besonderen öffentlichen Interesse sollten in engem Kontakt mit dem BSI stehen, um sicherzustellen, dass Meldewege und ein reibungsloser Informationsaustausch etabliert sind. Die Implementierung von robusten Prozessen und Meldewegen können ein erster Schritt sein, um den gesetzlich vorgeschriebenen Meldepflichten nachzukommen. Zudem können wir Sie dabei unterstützen, die Verpflichtung der Vorlage einer Selbsterklärung zur IT-Sicherheit zu erfüllen.
„Cybersicherheit für Unternehmen im öffentlichen Interesse ist keine Option, sondern eine Notwendigkeit, um Vertrauen, Stabilität und Sicherheit in der digitalen Welt zu gewährleisten.“
Contact us
