KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen zur Umsetzung von Cybersecurity, Governance und Prüfungen.
KRITIS und NIS2
- Die NIS2-Umsetzung in Deutschland
- Neues KRITIS-Dachgesetz für Resilienz
- Europa: Richtlinien EU NIS2 und EU RCE
- Schulungen und Outreach zu KRITIS
- OpenKRITIS News, RSS-Feed, LinkedIn
Kritische Infrastrukturen
- Gesetze: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cybersecurity: Sicherheit im Betrieb
- Angriffserkennung: Systeme OH SzA
- Standards: Security für KRITIS und NIS2
Neue Entwürfe der NIS2-Umsetzung im Sommer 2025
Von Jakob Nischan am 1. Juli 2025
Nach langer Zeit des Wartens gibt es seit Juni 2025 einen neuen Referentenentwurf vom NIS2-Umsetzungsgesetz. Nach einem geleakten Entwurf aus Mai dient der Juni-Entwurf der Verbändeabstimmung im Juli, das Gesetz soll dann zeitnah die Gesetzgebung nach der Sommerpause passieren.
Der Referentenentwurf Juni 2025 enthält nur noch wenig Änderungen zu den bekannten 2024er-Entwürfen, für betroffene Wirtschaftsunternehmen waren keine tiefgreifenden Änderungen erkennbar.
- Anpassung der Einbindung der Wirtschaft und Verbände bei Definition
- Anpassung der Definition der maßgeblichen Geschäftstätigkeit (siehe folgend)
- Titel ist nun Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
- Sektor Finanzwesen nun ohne Versicherungswesen
- Neuer Sektor (KRITIS) Sozialversicherungsträger sowie Grundsicherung
- Neue Einrichtung Digitaler Energiedienste
- (Erste) Änderungen der KRITIS-Verordnung im NIS2-Umsetzungsgesetz selbst
- Leichte Anpassungen von Definitionen
- Ausweitung Regeln und Vorgaben auf die ganze Bundesverwaltung
- Leichte Anpassungen EnWG
- Anpassungen der avisierten Aufwände in der Bundesverwaltung von 2026-2029
Der Anwendungsbereich betroffener Unternehmen könnte sich noch deutlich von den bisher avisierten 30 Tsd. Einrichtungen erhöhen Während zuvor nur die NIS2-zuordenbare Tätigkeit für Betroffenheit herangezogen wurde, sollen nun sämtliche Aktivitäten eines Unternehmens berücksichtigt werden, ausgenommen vernachlässigbare Geschäftstätigkeiten. Was genau vernachlässigbar ist, wurde bislang nicht definiert, zudem ist eine Vereinbarkeit mit EU-Recht unklar.
Ein Inkrafttreten der NIS2-Umsetzung im Herbst 2025 scheint nun möglich.
Neuer IT-Sicherheitskatalog Energie 2025
Von Paul Weissmann am 28. Mai 2025
Betreiber von Energienetzen und Energieanlagen im Sektor Energie müssen IT-Sicherheitskataloge der BNetzA nach dem Energiewirtschaftsgesetz (EnWG) umsetzen. Für diese Betreiber gilt nicht nur das BSIG mit KRITIS und NIS2, sondern das EnWG mit sicherem Anlagen- und Netzbetrieb.
Mit NIS2 gibt es ab 2025 neue IT-Sicherheitskataloge nach §5c EnWG-E und eine turnusmäßige Überarbeitung der bestehenden §11 EnWG Kataloge. Diese Überarbeitung betrifft Energieanlagen und Energienetze aber anscheinend noch nicht alle NIS2- und KRITIS-DachG Vorgaben.
Aktuell befindet sich der neue §11 EnWG Katalog im Konsultationsverfahren bei der Bundesnetzagentur. Ein Konsultationspapier von Mai 2025 skizziert die neuen Anforderungen und Strukturen, welche die BNetzA im neuen IT-Sicherheitskatalog 2025 berücksichtigen will.
- Betroffenheit: Umsetzen müssen den IT-Sicherheitskatalog sowohl Betreiber von Energienetzen und Energieanlagen als auch deren Betriebsführer.
- Geltungsbereich: Zum expliziten Zertifizierungsscope gehören nun alle kritischen Systeme für kritische Prozesse. Außerhalb davon müssen allgemeine Maßnahmen umgesetzt werden.
- Zertifizierungen: Weiterhin muss ein zertifiziertes ISMS nach ISO 27001 (mit ISO 27002 und ISO 27019) nachgewiesen werden, nach dem Schema der DAkkS.
- Cybersecurity: Angemessene Maßnahmen nach Stand der Technik müssen risiko-basiert umgesetzt werden.
- Risikomanagement: Organisiertes Management von IS-Risiken nach Allgefahren-Ansatz
- Resilienz: Maßnahmen zur Betriebskontinuität müssen umgesetzt werden wie BCM, BIA, Notfallpläne und Übungen.
Die Konsultationfrist läuft bis Juni 2025 mit einer hoffentlich neuen, detaillierteren Version des IT-Sicherheitskatalogs bis Sommer. Übergangsfristen waren bis 2027 avisiert. Viele NIS2- und KRITIS-Dachgesetz-spezifische Maßnahmen fehlen noch und werden sicherlich in einer weiteren Version ergänzt.
Neue GAiN-Vorgaben und Nachweisprozesse
Von Paul Weissmann am 31. März 2025
Mit aktualisierten GAiN-Vorgaben für KRITIS-Prüfungen vereinfacht das BSI den Nachweisprozess ab April 2025 teils deutlich. Die GAiN-Vorgaben 2.1 legen einige Anforderungen an KRITIS-Prüfungen expliziter fest und vereinfachen dafür den Umfang der Nachweise und Anlagen.
Grundlegende Änderungen an den Nachweisen ab April 2025:
- Der Geltungsbereich (PD.A) muss nur noch bei Erstprüfungen eingereicht werden
- Der Prüfplan (PD.B) muss nicht mehr regulär eingereicht werden
- Die Prüfkompetenz und Nachweise dafür (PS.A) verbleiben bei der prüfenden Stelle
- Neue allgemeine Anforderungen zur Abdeckung aller KRITIS-Themen in Prüfungen, Stichproben, Standorte und Risiko-Management (D.PA.01 bis 05)
Der Umfang der einzureichenden KRITIS-Nachweise und Formulare verringert sich damit deutlich.
Parallel dazu stellt das BSI die Einreichung der Nachweise auf ein Online-Format im MIP um, dem Melde- und Informationsportal. Die Informationen der Formulare KI und P werden nun von Betreibern direkt online im MIP eingetragen und Nachweise hochgeladen. Damit entfällt größtenteils die Einreichtung der einzelnen PDF-Formulare für KRITIS und EnWG.
KRITIS und NIS2 für Prüfer: DIIR
Von Paul Weissmann am 18. März 2025
Die Landschaft von KRITIS-Audits wird sich mit NIS2 deutlich verändern: mehr Sicherheitsmaßnahmen und größerer Scope. Aber: da die neuen Gesetze NIS2-Umsetzung und KRITIS-Dachgesetz noch nicht in Kraft sind, aktuell noch Prüfungen nach alter Regulierung nach §8a BSIG. Darüber haben wir am 17. März bei den Digitalen Tagen des DIIR gesprochen – die Folien sind nun online.
Neben Scope und Cybersecurity-Maßnahmen verändern sich auch die Anforderungen an KRITIS-Prüfungen: formelle GAiN-Vorgaben und RUN-Reifegrade erweitern die Prüfmethodik, die in neuen Schulungen (hoffentlich) bald gelernt werden kann. Viele gute Diskussionen zu Prüfungen in der Übergangszeit und Betroffenheit – die Folien gibt es hier und beim DIIR.
KRITIS und NIS2 verspätet sich – für Revisionen und Prüfer
Vortrag ∙ 7. DIIR Digitale Tage ∙ 17. März 2025
KRITIS in Zahlen – Reifegrade bei Betreibern
Von Paul Weissmann am 18. Februar 2025
Das BSI veröffentlich seit 2024 KRITIS in Zahlen – Auswertungen zu Betreibern, Anlagen und Reifegrade in Deutschland. Die Zahlen zeigen die Bundessicht auf Kritische Infrastrukturen und werden quartalsweise vom BSI aktualisiert mit Reifegraden pro Sektor.
Die Zahlen wurden im Februar aktualisiert zum Stand Dezember 2024: Es gibt neue Betreiber und mehr Reifegrade, aber inhaltlich wenig Änderungen. Ende 2024 gab es 1.132 Betreiber mit 2.095 KRITIS-Anlagen mit nur leicht veränderten Reifegraden im ISMS, BCMS und SzA. In einzelnen Sektoren und Bereichen sind aber viele Werte (Prüfungen) dazugekommen.
Der KRITIS-Sektor Gesundheit ist nach wie vor überall das Schlusslicht (⌀ 2,2 und dreimal Reifegrad 1), aber auch andere Sektoren haben Reifegrade mit Nachholbedarf.
Alle Werte im Detail finden sich beim BSI.
Mit RUN und weiteren Bereichen wird es ab April 2025 interessant.
Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben.
NIS2 verspätet sich – und nun? Folien von Webinar
Von Paul Weissmann am 17. Februar 2025
Die NIS2-Umsetzung in Deutschland verspätet sich – irgendwann 2025 anstatt Oktober 2024 tritt das deutsche Gesetz in Kraft. Was bedeutet das für die vielen neuen und alten Betreiber? Gibt es eine Übergangsphase? Im OpenKRITIS-Webinar am 13. Februar haben wir diese Fragen mit knapp 100 Teilnehmern diskutiert. Die Folien vom Webinar sind nun Online.
NIS2 verspätet sich – und nun?
Ausblick auf die neue NIS2 und KRITIS-Regulierung ab 2025
Deutsch ∙ PDF ∙ Februar 2025 ∙ OpenKRITIS-Briefing
Reifegrade in der Umsetzung (RUN)
Von Paul Weissmann am 11. Februar 2025
Das BSI definiert seit 2025 mit der Reife- und Umsetzungsgradbewertung (RUN) verbindliche Reifegrade und Maßnahmen für KRITIS-Betreiber. Betreiber sollten sich in der Umsetzung von Cybersecurity daran orientieren, damit Prüfer in KRITIS-Prüfungen den Reifegrad von Managementsystemen und Maßnahmen nach RUN feststellen können.
Es gibt fünf Reifegrade und Umsetzungsgrade für Cybersecurity, die das BSI in den RUN-Vorgaben definiert hat: Managementsysteme (Reife) und Maßnahmen (Umsetzung).
| Nr | Reifegrad ISMS, BCMS |
Umsetzungsgrad SzA, OrgM, PersM, PhyM, TecM |
| 1 | Geplant | Ohne Maßnahmenumsetzung |
| 2 | Gesteuert | Einzelmaßnahmen, Teildurchführung |
| 3 | Etabliert | Maßnahmen umgesetzt, Prozessdurchführung |
| 4 | Messbar | Maßnahmen umgesetzt, plus Messbarkeit |
| 5 | Kontinuierlich verbessert | Maßnahmen umgesetzt, plus Verbesserung |
Mit RUN hat das BSI zusätzlich Reifegraden einzelne KRITIS-Maßnahmen aus der Konkretisierung der Anforderungen (KdA) und Angriffserkennung (OH SzA) zugeordnet. Das OpenKRITIS Reifegrade-Mapping listet nun erstmalig alle relevanten KRITIS-Anforderungen pro Reifegrad mit den einzelnen Maßnahmen auf – damit wird das Mindestniveau pro Reifegrad vom BSI übersichtlicher.
Konkretisierung der Anforderungen
Von Paul Weissmann am 10. Februar 2025
Der BSI-Katalog Konkretisierung der Anforderungen (KdA) definiert als quasi-Standard für Betreiber Kritischer Infrastrukturen grundlegende Cybersecurity-Anforderungen. Die KdA basiert auf dem C5 Cloud Security Standard und wird von KRITIS-Betreibern und KRITIS-Prüfern genutzt. Das BSI hat 2024 die Anforderungen für Angriffserkennung (SzA) und Reifegrade (RUN) mit der KdA integriert.
| Kategorie | Beschreibung | Kontrollen |
|---|---|---|
| ISMS | Management-System für Informationssicherheit | 21 |
| BCM und Notfall-Management | Business Continuity Management und IT-Notfallmanagement | 4 |
| Risiko und Assets | Risiko-Management und Asset-Management | 12 |
| KRITIS | KRITIS-Organisation und Meldestelle. | 2 |
| Technologie | Technische Maßnahmen IT | 36 |
| Angriffserkennung | Systeme zur Angriffserkennung. | 13 |
| IAM | Berechtigungen | 7 |
| Gebäude | Physische Sicherheit | 6 |
| Lieferanten | Externe | 2 |
| Angriffserkennung | Logging, Detektion, Reaktion | 35 |
Das OpenKRITIS-Mapping der Konkretisierung der Anforderungen ordnet die 135 KRITIS-Anforderungen aktuellen Cybersecurity-Standards zu und wurde 2025 an die neuen BSI-Vorgaben angepasst:
- Neu NIS2-Anforderungen mit einzelnen Anforderungen aus dem EU NIS2 Implementing Act
- Neu Umsetzungsgrad (RUN): Mindestniveau nach BSI RUN-Vorgaben mit Reifegraden
- ISO/IEC 27001:2022: Informationssicherheit der ISO 27001 Annex A Kontrollen.
- BSI C5:2020: Aktualisierter BSI Cloud Security Standard mit Neuerungen.
OpenKRITIS Winter School im März 2025
Von Paul Weissmann am 20. Januar 2025
Die OpenKRITIS Winter School 2025 richtet sich mit Kurzworkshops an Verantwortliche für einen Einstieg in die NIS2- und KRITIS-Regulierung. In halbtägigen Seminaren führen wir durch die Regulierung – mit Schwerpunkt auf Interaktion und vielen Fragen aus dem Plenum. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt.
| ID | Thema | Plätze | Termin |
|---|---|---|---|
| W25.1 | NIS2 und KRITIS-Betroffenheit – und nun? Roadmap zu NIS2 für regulierte Einrichtungen mit Erfahrung. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten. |
6 | 25. Februar 2025 9:30-12:30 online |
| W25.2 | Erste Schritte für Einsteiger in NIS2 und KRITISBasic Einführung in NIS2 und KRITIS für Einsteiger ohne Vorkenntnisse. Spezieller Kurs für Unternehmen, die noch keine Vorkenntnisse in NIS2 und KRITIS besitzen. Wir erarbeiten auf der grünen Wiese Grundlagen der Regulierung, Betroffenheit und Pflichten. |
6 | 4. März 2025 9:30-12:30 online |
| W25.3 | NIS2 im Energiesektor: BSI, BNetzA & EnWG Mit NIS2 bleibt mehrfache Regulierung im Energiesektor erhalten. Betreiber von Netzen und Anlagen fallen neben KRITIS und NIS2 unter EnWG und viele neue BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor. |
6 | 14. März 2025 9:30-12:30 online |
| W25.4 | Cloud und IT-Provider in NIS2 und EU Implementing Act Viele IT-Firmen werden mit NIS2 in der EU besonders reguliert. Spezielle Vorgaben und spezielle Betroffenheit für Cloud, Internet und Systemhäuser: EU-Territorialität und EU Implementing Act. Wir beleuchten den Umgang mit Betroffenheit und EU-Vorgaben. |
6 | 25. März 2025 9:30-12:30 online |
| W25.5 | German Critical Infrastructure: KRITIS and NIS2 Introduction to German KRITIS and NIS2 regulation. Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps. |
6 | 1. April 2025 9:30-12:30 online |
RUN-Anforderungen für KRITIS-Prüfungen ab 2025
Von Paul Weissmann am 14. Januar 2025
Das BSI hat neue Prüfvorgaben für KRITIS-Prüfungen ab dem 1. April 2025 veröffentlicht. Mit den »RUN«-Vorgaben müssen Reife- und Umsetzungsgrade bei Betreibern erhoben werden. RUN, die Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung, bringt viele neue und zusätzliche Anforderungen für KRITIS-Prüfer ab 2025.
RUN definiert jeweils fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen durch Prüfer bewerten zu lassen:
- Informationssicherheit (ISMS)
- Business Continuity (BCMS)
- Organisatorische Maßnahmen (OrgM)
- Personenbezogene Maßnahmen (PerM)
- Physische Maßnahmen (PhyM)
- Technische Maßnahmen (TecM)
- Angriffserkennung (SzA)
Die Reifegrade von ISMS und BCMS sind detailliert ausdefiniert und dienen zur Orientierung für Prüfer in der Bewertung. Die Umsetzungsgrade von OrgM bis TecM sind allgemeiner formuliert und orientieren sich an der Angrifferkennung (SzA). Zusätzlich ist ein Mapping der Maßnahmen der Konkretisierung der Anforderungen (100-Punkte) auf die Umsetzungsgrade vorhanden.
Die neuen RUN-Vorgaben sind für Prüfungen mit Einreichung ab 1. April 2025 anzuwenden, und bedeuten zusätzliche Schritte in der Vorbereitung und Durchführung von KRITIS-Prüfungen.