Das BSI hat einen Entwurf des Formulars zur Selbsterklärung zur IT-Sicherheit für UBI 1 Unternehmen an die dem BSI bekannten, potentiell betroffenen Organisationen zur Kommentierung verschickt. Im Anschluss an die Kommentierungsrunde wird das überarbeitete Formular auf den Webseiten des BSI veröffentlicht.

UBI 2 müssen die Selbsterklärung zur IT-Sicherheit frühestens 2 Jahre nach Inkrafttreten der Rechtsverordnung (UBI-VO) abgeben (vgl. § 8f Abs. 1 und 4 Satz 2 BSIG). Die UBI-VO wird gemäß § 10 Absatz 5 BSIG vom Bundesministerium des Innern und für Heimat erlassen. Nähere Informationen zu der Selbsterklärung wird das BSI nach Vorliegen der UBI-VO erstellen und veröffentlichen. Ein Zeitplan für die UBI-VO liegt derzeit noch nicht vor.

Zertifizierungen sind keine formale Voraussetzung zur Einreichung der Selbsterklärung. Häufig lässt sich eine geeignete Umsetzung von IT-Sicherheitsmaßnahmen aber mittels einschlägiger Zertifizierungen belegen. Unabhängig von gesetzlichen Pflichten empfiehlt das BSI eine angemessene Umsetzung von IT-Sicherheitsmaßnahmen.

Angegeben werden sollen alle Zertifizierungen, die eine Bescheinigung über umgesetzte Informations-/Cyber-Sicherheitsmaßnahmen darstellen.