KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen zur Umsetzung von Cybersecurity, Governance und Prüfungen.
KRITIS und NIS2
- Die NIS2-Umsetzung in Deutschland
- Neues KRITIS-Dachgesetz für Resilienz
- Europa: Richtlinien EU NIS2 und EU RCE
- Das 2021er IT-Sicherheitsgesetz 2.0
- OpenKRITIS News, RSS-Feed, LinkedIn
Kritische Infrastrukturen
- Gesetze: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cybersecurity: Sicherheit im Betrieb
- Angriffserkennung: Systeme OH SzA
- Schulungen: Aus Erfahrungen lernen
Orientierungshilfe Angriffserkennung 2024
Von Paul Weissmann am 30. Oktober 2024
Die Anforderungen der Orientierungshilfe für Angriffserkennung des BSI wurden im Sommer 2024 in die KRITIS-Anforderungen Konkretisierung der Maßnahmen integriert. Im lange überfälligen Schritt wurden die SzA-Anforderungen für Protokollierung, Detektion und Reaktion an die bestehenden 100 KRITIS-Anforderungen angefügt.
Die 35 Maßnahmen von BSI-101 bis BSI-135 fassen die Anforderungen für Angriffserkennung thematisch in der Konkretisierung für Betreiber und Prüfer zusammen. MUSS und SOLL-Anforderungen sind teilweise getrennt, teilweise zusammen.
| ID | Kapitel | Thema | Anforderungen | |
|---|---|---|---|---|
| SZA-A | Kap 1.2 | Allgemeine Rahmenbedingungen | 5 | MUSS |
| SZA-P | BSI-101 bis BSI-103 | Protokollierung und Logging | 3 2 |
MUSS SOLL |
| SZA-D | BSI-104 bis BSI-116 | Detektion und Vorfälle | 13 3 |
MUSS SOLL |
| SZA-R | BSI-117 bis BSI-135 | Reaktion auf Vorfälle | 8 15 |
MUSS SOLL |
Inhaltlich hat sich in der Angriffserkennung zwischen Orientierungshilfe von 2022 und der Konkretisierung der Maßnahmen von 2024 nicht viel geändert:
- Struktur angepasst, Nummerierung mit eigenen IDs (101 bis 135)
- Grundschutz-Referenzen einzeln zugeordnet, teilweise C5 (2016) Referenzen
- Themen sind leider teilweise sehr umfassend gebündelt (vor allem Protokollierung)
- MUSS/SOLL-Anforderungen teils sehr vermischt, SOLL-Anforderungen teils auch einzeln
- Kein Hinweis auf Reifegrad-Einstufung
Das OpenKRITIS-Mapping der Orientierungshilfe SzA zu C5 und ISO 27001 ordnet den einzelnen Anforderungen relevante Kontrollen für Angriffsserkennung der C5 und ISO-Standards zu.
Finaler Implementing Act Internet und IT
Von Hanna Lurz am 24. Oktober 2024
Für Internet und IT-Provider gibt es zwei verpflichtende Implementing Acts der EU, die Vorfallsmeldungen und Sicherheitsmaßnahmen aus EU NIS2 konkretisieren. Beide wurden im Oktober final veröffentlicht – der Annex konkretisiert für Internet-Provider in vielen Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.
Das NIS2 Implementing Act Mapping ordnet die einzelnen Kontrollen ISO 27001 und C5 zu. Im Abgleich zum Entwurf von Juli 2024 haben sich im Oktober einige Änderungen ergeben:
- Sehr wenig materielle und inhaltliche Änderungen: Die Sicherheitsanforderungen sind größtenteils erhalten geblieben, die Zuordnungen zu C5 und ISO 27001 ebenfalls
- Leichte Kürzungen einzelner Unterpunkte: Risk Owner wurden entfernt, Detail-Zuständigkeiten vom Management etwas geschärft
- Mehr Ermessensspielraum in der Umsetzung durch Einfügen von where appropriate bei vielen Einzelkontrollen und bestimmten Technologien
- Einige Querverweise zwischen den Anforderungen wurden aufgenommen
- Konkretisierungen von Begriffen wie Data und Information und von Review-Zyklen
- Formelle Anpassungen und leichte Änderung der Struktur und Nummerierung
Der Implementing Act ist weiterhin eine hilfreiche Schablone zur Konkretisierung von NIS2-Maßnahmen, auch wenn die Anforderungen normativ nur für bestimmte Provider verbindlich ist.
Schulung Prüfverfahrenskompetenz Community Draft
Von Paul Weissmann am 22. Oktober 2024
Das BSI hat die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft vorgestellt. Die Schulung für KRITIS-Prüfer wurde nach den Erfahrungen der letzten Jahre neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung umfasst im aktuellen Draft für KRITIS-Anlagen und Betreiber Kritischer Anlagen:
- Grundlagen Kritischer Infrastrukturen
- Prüfvorgehen und Planung
- Grundlagenprüfung, Angemessenheits- und Wirksamkeitsprüfung
- Berichtswesen, Mängel
Das BSI sammelt zum Community Draft der Schulungsunterlagen (PDF, 301 Folien) und Schulungsleitfaden (PDF, 126 Seiten) Feedback. Weitere Entscheidungen zum weiteren Vorgehen müssen noch getroffen werden, wie Übergangsfristen, Anpassung weiterer Dokumente, Personenzertifizierung, neue NIS2-Aspekte).
Webseite des BSI mit Informationen und Unterlagen:
Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG
KRITIS-Dachgesetz: Neuer Entwurf aus April 2024
Von Paul Weissmann am 30. September 2024
Das KRITIS-Dachgesetz zur Steigerung der Resilienz von Betreibern kritischer Anlagen sollte eigentlich auch im Herbst diesen Jahres in Kraft treten. Der letzte öffentliche Entwurf lag schon einige Zeit zurück – der vor einigen Wochen publik gewordene April-Entwurf des Gesetzes aktualisiert nun einige Vorgaben, lässt aber vieles noch offen.
Das KRITIS-Dachgesetz fordert von Betreibern kritischer Anlagen, die auch in NIS2 reguliert werden, Resilienzmaßnahmen wie Krisen-Management, Risikoanalysen, Notfallvorsorge und mehr. Das Gesetz sollte 2024 in Kraft treten, viele Pflichten dazu erst 2026. Neuerungen im April:
- Die Pflichten für Resilienz bleiben bestehen und sind weiter unverbindlich(er) als NIS2.
- Sektoren und Dienstleistungen werden durch unterschiedliche zuständige Behörden reguliert: Viele Behörden vom BBK über BMI bis zu Landesbehörden.
- Große Menge textueller Änderungen und Präzisierungen, aber auch diverse Fehler.
- Änderungen am EnWG für Energiebetreiber sind enthalten.
- Generell deutlich aufgeweichte Zuständigkeiten im Bund und Ländern.
- Viele Pflichten treten erst zwei Jahre nach dem Gesetz in Kraft
Vieles im April-Entwurf bleibt aber noch offen – was in neueren Entwürfen noch überarbeitet werden muss oder schon wurde. Der Entwurf wirkt wie eine Zwischenversion – bis zur letzten Version wird sich noch einiges ändern. Ob das Gesetz noch 2024 veröffentlich wird, ist fraglich.
- Definition aller kritischer Dienstleistungen und deren Verantwortung
- Neue KRITIS-Rechtsverordnung(en) mit Definitionen zu Anlagen
- Konkretisierung der Resilienzmaßnahmen durch das BBK
- Neuer, weiterer (?) IT-Sicherheitskatalog der BNetzA für Resilienz
- Harmonisierung vom Dachgesetz mit den letzten NIS2-Entwürfen
- Auflösen der diversen Fehler
NIS2-Umsetzungsgesetz in Deutschland ab März 2025
Von Paul Weissmann am 19. September 2024
Das deutsche NIS2-Umsetzungsgesetz soll ab März 2025 in Kraft treten und noch Ende 2024 den Gesetzgebungsprozess durchlaufen. Eigentlich mit Frist im Oktober 2024 wird sich das NIS2-Gesetz nun scheinbar sechs Monate verzögern – so die aktuelle Planung der Regierung:
| Version | Status | Datum | Akteur |
|---|---|---|---|
| NIS2-Umsetzungsgesetz | Referentenentwurf | Jun 2024 | Innenministerium |
| NIS2-Umsetzungsgesetz | Beschluss | Jul 2024 | Bundeskabinett |
| NIS2-Umsetzungsgesetz | 1. Durchgang plan | Sep 2024 | Bundesrat |
| NIS2-Umsetzungsgesetz | 1. Lesung plan | Okt 2024 | Bundestag |
| EU NIS2 | Frist nationale Umsetzung EU | Okt 2024 | Mitgliedstaaten |
| NIS2-Umsetzungsgesetz | 2./3. Lesung plan | Dez 2024 | Bundestag |
| NIS2-Umsetzungsgesetz | 2. Durchgang plan | Feb 2025 | Bundesrat |
| NIS2-Umsetzungsgesetz | Inkrafttreten plan | Mar 2025 | Bundesgesetzblatt |
Die Pflichten in NIS2 beginnen in Deutschland damit spätestens ab 2025. Die bisherigen KRITIS-Gesetze und Vorgaben bleiben bis dahin in Kraft. Etwas unklar verbleibt weiterhin die Planung neuer, notwendiger KRITIS-Rechtsverordnungen und der Umgang mit 2025 terminierten KRITIS-Prüfungen. Hier sind noch Klärungen notwendig – aber der Zeitplan für Betroffene ist klar(er).
Neue GAiN-Anforderungen an KRITIS-Prüfungen 2024
Von Paul Weissmann am 23. August 2024
Das BSI hat 2024 aktualisierte Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) nach §8a (5) BSIG definieren normative BSI-Vorgaben für KRITIS-Prüfungen. Erwartungen für Prüfungen sind gesetzlich verbindlich geregelt und sind größtenteils durch die KRITIS-Prüfer umzusetzen.
Die Aktualisierung der GAiN-Anforderungen im August 2024 enthielt folgende Neuerungen:
- Umgang mit Zertifizierungen: Ein ganzer Block an Anforderungen regelt den Umgang mit bestehenden Zertifizierungen und Prüfugen genauer: Geltungsbereich, SoA, Mängel
- Geltungsbereich und Netzstrukturplan: Anforderungen an GBD und NSP wurden angepasst und erweitert, und sind nun verbindlich vom Prüfer zu bewerten
- Mängel und Mängelliste: Der Umgang mit Mängeln, Reifegraden unter 3 und alten Mängel voriger Prüfungen wurde konkretisiert und detailliert
- Vorlagen: Die Formulare des BSI wurden auch aktualisiert und sind verbindlich zu nutzen
Schwerpunkt der Aktualisierung ist der Umgang mit Mängeln und Zertifizierungen, wo Prüfer nun vieles genauer und formeller durchführen und dokumentieren müssen. Sonst noch einige Formalien und parallel Anpassung der BSI-Formulare.
Mehrfachregulierung und Ausnahmen in NIS2
Von Hanna Lurz am 8. August 2024
Mit NIS2 können Unternehmen als KRITIS-Betreiber und NIS2-Einrichtung mehrfach reguliert werden. In den letzten Entwürfen der NIS2-Umsetzung wurden die Ausnahmen für die Sektoren Energie und Telekommunikation präzisiert. Einrichtungen, die unter EnWG und TKG fallen, unterliegen nun meist keiner NIS2-Doppelregulierung mehr – aber es gibt Ausnahmen.
| Beispiel | Geltungsbereich | Anforderungen |
|---|---|---|
| Stadtwerk Sektor Wasser |
Unternehmen Einrichtung | NIS2 |
| Klärwerk Anlage | NIS2 KRITIS KRITIS-DachG | |
| TK-Anbieter Sektor TK |
Unternehmen Einrichtung | NIS2 (Ausnahmen) |
| Telefonnetz TK-Anbieter | TKGKatalog BNetzA NIS2 (Ausnahmen) |
|
| Energieanbieter Sektor Energie |
Unternehmen Einrichtung | NIS2 (Ausnahmen) IT-SiKat unklar |
| Stromverteilnetz Anlage | §5c EnWG IT-SiKat BNetzA KRITIS-DachG NIS2 (Ausnahmen) |
NIS2 Generell sind von NIS2 betroffene Unternehmen vollständig von allen NIS2-Pflichten betroffen. Für mehrfach regulierte Unternehmen wie TK und Energie sind aber Teile vom Unternehmen und Teile der NIS2-Pflichten ausgenommen.
KRITIS Die bisherigen KRITIS-Betreiber werden in NIS2 zu Betreibern kritischer Anlagen, wenn sie eine Anlage über Schwellenwerten betreiben, und automatisch auch zu einer besonders wichtigen Einrichtung. Als Einrichtung müssen sie NIS2-Security Vorgaben und im Bereich der KRITIS-Anlage zusätzliche erhöhte Anforderungen sowie das KRITIS-Dachgesetz umsetzen.
TK Anbieter von Telekommunikation unterliegen mehrfacher Regulierung. Neben TKG und BNetzA werden einige Unternehmen auch als Einrichtung durch NIS2 reguliert. Im Bereich des TK-Betriebs gelten Anforderungen aus TKG und BNetzA-Sicherheitskatalog gelten, in der ganzen Einrichtung (verminderte) NIS2-Anforderungen.
Energie Unternehmen im Energie-Sektor können Einrichtungen in NIS2 (nach Größe) oder zusätzlich Betreiber kritischer Anlagen sein, wenn sie kritische Anlagen über Schwellenwerten betreiben. Mindestens in den Anlagen gelten dann EnWG und BNetzA IT-Sicherheitskatalog sowie KRITIS-Dachgesetz, im restlichen Unternehmen (verminderte) NIS2-Anforderungen.
NIS2-Umsetzung im Kabinett beschlossen
Von Paul Weissmann am 24. Juli 2024
Das NIS2-Umsetzungsgesetz wurde Ende Juli 2024 im Bundeskabinett beschlossen. Grössere Änderungen zu den letzten Referentenentwürfen von Mai und Juni diesen Jahres gab es nicht.
Die Pflichten für Betreiber bleiben gleich, an Sektorausnehmen und Zuständigkeiten im Bund ändern sich wieder einige Konstellationen. Paragraphen und Definitionen wurden abermals angepasst und erwartete Aufwände für den Bund deutlich reduziert.
- Weitere Anpassungen vom Geltungsbereich in der Telekommunikation und Energie, damit verbunden weitere Erweiterung der NIS2-relevanten Pflichten in TKG und EnWG.
- Definitionen betroffener Bundeseinrichtungen wurden weiter präzisiert, Ausschlüsse teils wieder gestrichen
- Die angenommenen Aufwände und Personal-/Budgetbedarf auf Bundesebene wurden drastisch reduziert (sicherlich auch im Hinblick der Haushaltslage).
- Paragraphen im Gesetz umstrukturiert, ebenso Artikel angepasst.
- Die separaten KRITIS-Sektoren sind nicht mehr im Gesetz definiert, Verweis auf die neue KRITIS-Verordnung.
Es folgt nun der weitere Weg der Gesetzgebung über Bundestag und Bundesrat. Ein Inkrafttreten Anfang 2025, drei Monate nach Frist, scheint damit realistisch.
Mehr und tiefere Prüfungen in NIS2 ab 2025
Von Paul Weissmann am 11. Juli 2024
Mit der NIS2-Umsetzung müssen Einrichtungen, neben der Dokumentation der Maßnahmen, die Umsetzung teilweise auch prüfen lassen. Betreiber kritischer Anlagen werden zu Prüfungen, wie in KRITIS, nun alle drei Jahre verpflichtet. Besonders wichtige Einrichtungen können durch das BSI nach Stichproben geprüft werden oder zu Nachweisen verpflichtet werden.
| Betreiber kritischer Anlagen | Einrichtungen | |||
|---|---|---|---|---|
| Besonders wichtig | Wichtig | |||
| Gesetz | NIS2UmsuCG | DachG | NIS2UmsuCG | NIS2UmsuCG |
| Zeitraum | (ab 2025) | ab 2026 | (ab 2025) | (ab 2025) |
| Pflicht | §39 (1) | §11 | §63 | §64 |
| Form | Audits | Audits | Stichproben durch BSI | |
| Inhalt | IT-Sicherheit Meldepflicht SzA |
Resilienz | IT-Sicherheit Meldepflicht |
IT-Sicherheit Meldepflicht |
| Scope | Kritische Anlage | Kritische Anlage | Unternehmen | Unternehmen |
| Frequenz | alle drei Jahre | Stichproben | Stichproben | bei Anlass |
| Empfänger | BSI | BBK | BSI | BSI |
Die Nachweispflicht für Betreiber kritischer Anlagen ist in §39 definiert, Prüfungen im neuen Zyklus werden wohl 2025 beginnen. Nachweise für besonders wichtige Einrichtungen sind in §63 festgelegt – das BSI darf Nachweise anfragen, Einrichtungen zu Prüfungen verpflichten u.v.m., basierend auf Stichproben und Anhaltspunkten. Wichtige Einrichtungen in §64 analog.
Im KRITIS-Dachgesetz gibt es aktuell keine eigenen Prüfungen mehr, sondern eine Erweiterung der neuen Nachweisprüfungen von Betreibern unter NIS2 um Resilienzthemen.