UBI 1 sind verpflichtet, eine erste Selbsterklärung zur IT-Sicherheit am 1. Mai 2023 beim BSI vorzulegen und danach mindestens alle zwei Jahre.

UBI 1 sind verpflichtet, sich gleichzeitig mit der Vorlage der ersten Selbsterklärung zur IT-Sicherheit beim BSI zu registrieren und eine Kontaktstelle zu benennen. Für UBI 1 ist die Registrierung und Benennung einer Kontaktstelle bereits vor dem 1. Mai 2023 freiwillig möglich.

Die UBI-ID wird bei der Registrierung vergeben.

Wenn eine Zertifizierung länger als zwei Jahre zurückliegt, wird das letzte Überwachungsaudit unter Bezug zur betreffenden Zertifizierung (ggf. Erläuterung in einer Anlage beifügen) angegeben.

Es sollen die für das Unternehmen besonders schützenswerten informationstechnischen Systeme, Komponenten und Prozesse bewertet werden (vgl. § 8f Absatz 1 BSIG).

Der Umsetzungsgrad von Maßnahmen zur IT-Sicherheit ist in den jeweiligen Unternehmen sehr unterschiedlich und teilweise nicht umfassend. Informationen zum Umsetzungsgrad ermöglichen es dem BSI, Hinweise zu angemessenen organisatorischen und technischen Vorkehrungen nach Absatz 1 Nummer 3 zur Einhaltung des Stands der Technik geben zu können (vgl. § 8f Absatz 3 BSIG).

Unternehmen mit IT-Grundschutz- oder ISO 27001-Zertifizierung, deren Geltungsbereich die gesamte relevante IT abdeckt, werden Abschnitt D schnell und einfach beantworten können. Sollte sich herausstellen, dass eine nicht geringe Anzahl an Unternehmen IT-Grundschutz- oder ISO 27001-Zertifizierung haben, deren Geltungsbereich die gesamte relevante IT abdeckt, wird das BSI das für weitere Selbsterklärungen entsprechend berücksichtigen.

Spalte 3 und 5 sind ähnlich. Spalte 3 ist zur schnellen Selbstüberprüfung. Wenn bei einem Thema mit „Nein“ geantwortet wird, ist es der Hinweis, sich dringend Gedanken zu diesem Thema zu machen. Spalte 5 gibt eine spezifischere Antwort auf den Umsetzungsgrad einzelner Themen. Dringlichkeit und Aufgabe hängt von dem jeweiligen Umsetzungsgrad ab.