KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.

Industry

KRITIS und NIS2

Power plant

Kritische Infrastrukturen

KRITIS-Dachgesetz: Neuer Entwurf aus April 2024

Von Paul Weissmann am 30. September 2024

Draft group

Das KRITIS-Dachgesetz zur Steigerung der Resilienz von Betreibern kritischer Anlagen sollte eigentlich auch im Herbst diesen Jahres in Kraft treten. Der letzte öffentliche Entwurf lag schon einige Zeit zurück – der vor einigen Wochen publik gewordene April-Entwurf des Gesetzes aktualisiert nun einige Vorgaben, lässt aber vieles noch offen.

Das KRITIS-Dachgesetz fordert von Betreibern kritischer Anlagen, die auch in NIS2 reguliert werden, Resilienzmaßnahmen wie Krisen-Management, Risikoanalysen, Notfallvorsorge und mehr. Das Gesetz sollte 2024 in Kraft treten, viele Pflichten dazu erst 2026. Neuerungen im April:

Vieles im April-Entwurf bleibt aber noch offen – was in neueren Entwürfen noch überarbeitet werden muss oder schon wurde. Der Entwurf wirkt wie eine Zwischenversion – bis zur letzten Version wird sich noch einiges ändern. Ob das Gesetz noch 2024 veröffentlich wird, ist fraglich.

NIS2-Umsetzungsgesetz in Deutschland ab März 2025

Von Paul Weissmann am 19. September 2024

Das deutsche NIS2-Umsetzungsgesetz soll ab März 2025 in Kraft treten und noch Ende 2024 den Gesetzgebungsprozess durchlaufen. Eigentlich mit Frist im Oktober 2024 wird sich das NIS2-Gesetz nun scheinbar sechs Monate verzögern – so die aktuelle Planung der Regierung:

Version Status Datum Akteur
NIS2-Umsetzungsgesetz Referentenentwurf Jun 2024 Innenministerium
NIS2-Umsetzungsgesetz Beschluss Jul 2024 Bundeskabinett
NIS2-Umsetzungsgesetz 1. Durchgang plan Sep 2024 Bundesrat
NIS2-Umsetzungsgesetz 1. Lesung plan Okt 2024 Bundestag
EU NIS2 Frist nationale Umsetzung EU Okt 2024 Mitglied­staaten
NIS2-Umsetzungsgesetz 2./3. Lesung plan Dez 2024 Bundestag
NIS2-Umsetzungsgesetz 2. Durchgang plan Feb 2025 Bundesrat
NIS2-Umsetzungsgesetz Inkrafttreten plan Mar 2025 Bundesgesetzblatt

Die Pflichten in NIS2 beginnen in Deutschland damit spätestens ab 2025. Die bisherigen KRITIS-Gesetze und Vorgaben bleiben bis dahin in Kraft. Etwas unklar verbleibt weiterhin die Planung neuer, notwendiger KRITIS-Rechtsverordnungen und der Umgang mit 2025 terminierten KRITIS-Prüfungen. Hier sind noch Klärungen notwendig – aber der Zeitplan für Betroffene ist klar(er).

Neue GAiN-Anforderungen an KRITIS-Prüfungen 2024

Von Paul Weissmann am 23. August 2024

Audit tools picture

Das BSI hat 2024 aktualisierte Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) nach §8a (5) BSIG definieren normative BSI-Vorgaben für KRITIS-Prüfungen. Erwartungen für Prüfungen sind gesetzlich verbindlich geregelt und sind größtenteils durch die KRITIS-Prüfer umzusetzen.

Die Aktualisierung der GAiN-Anforderungen im August 2024 enthielt folgende Neuerungen:

Schwerpunkt der Aktualisierung ist der Umgang mit Mängeln und Zertifizierungen, wo Prüfer nun vieles genauer und formeller durchführen und dokumentieren müssen. Sonst noch einige Formalien und parallel Anpassung der BSI-Formulare.

Schulung Prüfverfahrenskompetenz Community Draft

Von Paul Weissmann am 15. August 2024

Audit picture

Das BSI hat die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft vorgestellt. KRITIS-Prüfungen und Prüfer haben für den Reifegrad von Cybersecurity in Kritischen Infrastrukturen eine wichtige Rolle, da über diese Prüfungen die Wirksamkeit von Sicherheitsmaßnahmen und Verbesserungen identifiziert werden.

Die Schulung für KRITIS-Prüfer wurde, basierend auf den Erfahrungen der letzten Jahre, neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung betrachtet im aktuellen Draft KRITIS-Anlagen und Betreiber Kritischer Anlagen und umfasst in Modulen:

Das BSI wird in den nächsten Wochen den 1. Community Draft veröffentlichen, zu welchem das BSI Feedback einsammelt und noch Entscheidungen zum weiteren Vorgehen entscheiden muss (Übergangsfristen, Anpassung weiterer Dokumente, Personenzertifizierung, neue NIS2-Aspekte). Weitere Veröffentlichungen der Schulungsunterlagen werden folgen.

Webseite des BSI mit Informationen, Unterlagen (bald) und Folien:
Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG

Mehrfachregulierung und Ausnahmen in NIS2

Von Hanna Lurz am 8. August 2024

Security picture

Mit NIS2 können Unternehmen als KRITIS-Betreiber und NIS2-Einrichtung mehrfach reguliert werden. In den letzten Entwürfen der NIS2-Umsetzung wurden die Ausnahmen für die Sektoren Energie und Telekommunikation präzisiert. Einrichtungen, die unter EnWG und TKG fallen, unterliegen nun meist keiner NIS2-Doppelregulierung mehr – aber es gibt Ausnahmen.

Beispiel Geltungsbereich Anforderungen
Stadtwerk
Sektor Wasser
Unternehmen Einrichtung NIS2
Klärwerk Anlage NIS2 KRITIS KRITIS-DachG
TK-Anbieter
Sektor TK
Unternehmen Einrichtung NIS2 (Ausnahmen)
Telefonnetz TK-Anbieter TKGKatalog BNetzA
NIS2 (Ausnahmen)
Energieanbieter
Sektor Energie
Unternehmen Einrichtung NIS2 (Ausnahmen)
IT-SiKat unklar
Stromverteilnetz Anlage §5c EnWG IT-SiKat BNetzA
KRITIS-DachG NIS2 (Ausnahmen)

NIS2 Generell sind von NIS2 betroffene Unternehmen vollständig von allen NIS2-Pflichten betroffen. Für mehrfach regulierte Unternehmen wie TK und Energie sind aber Teile vom Unternehmen und Teile der NIS2-Pflichten ausgenommen.

KRITIS Die bisherigen KRITIS-Betreiber werden in NIS2 zu Betreibern kritischer Anlagen, wenn sie eine Anlage über Schwellenwerten betreiben, und automatisch auch zu einer besonders wichtigen Einrichtung. Als Einrichtung müssen sie NIS2-Security Vorgaben und im Bereich der KRITIS-Anlage zusätzliche erhöhte Anforderungen sowie das KRITIS-Dachgesetz umsetzen.

TK Anbieter von Telekommunikation unterliegen mehrfacher Regulierung. Neben TKG und BNetzA werden einige Unternehmen auch als Einrichtung durch NIS2 reguliert. Im Bereich des TK-Betriebs gelten Anforderungen aus TKG und BNetzA-Sicherheitskatalog gelten, in der ganzen Einrichtung (verminderte) NIS2-Anforderungen.

Energie Unternehmen im Energie-Sektor können Einrichtungen in NIS2 (nach Größe) oder zusätzlich Betreiber kritischer Anlagen sein, wenn sie kritische Anlagen über Schwellenwerten betreiben. Mindestens in den Anlagen gelten dann EnWG und BNetzA IT-Sicherheitskatalog sowie KRITIS-Dachgesetz, im restlichen Unternehmen (verminderte) NIS2-Anforderungen.

NIS2-Umsetzung im Kabinett beschlossen

Von Paul Weissmann am 24. Juli 2024

Document reading

Das NIS2-Umsetzungsgesetz wurde Ende Juli 2024 im Bundeskabinett beschlossen. Grössere Änderungen zu den letzten Referentenentwürfen von Mai und Juni diesen Jahres gab es nicht.

Die Pflichten für Betreiber bleiben gleich, an Sektorausnehmen und Zuständigkeiten im Bund ändern sich wieder einige Konstellationen. Paragraphen und Definitionen wurden abermals angepasst und erwartete Aufwände für den Bund deutlich reduziert.

Es folgt nun der weitere Weg der Gesetzgebung über Bundestag und Bundesrat. Ein Inkrafttreten Anfang 2025, drei Monate nach Frist, scheint damit realistisch.

Mehr und tiefere Prüfungen in NIS2 ab 2025

Von Paul Weissmann am 11. Juli 2024

Illustrative audit picture

Mit der NIS2-Umsetzung müssen Einrichtungen, neben der Dokumentation der Maßnahmen, die Umsetzung teilweise auch prüfen lassen. Betreiber kritischer Anlagen werden zu Prüfungen, wie in KRITIS, nun alle drei Jahre verpflichtet. Besonders wichtige Einrichtungen können durch das BSI nach Stichproben geprüft werden oder zu Nachweisen verpflichtet werden.

Betreiber kritischer Anlagen Einrichtungen
Besonders wichtig Wichtig
Gesetz NIS2UmsuCG DachG NIS2UmsuCG NIS2UmsuCG
Zeitraum (ab 2025) ab 2026 (ab 2025) (ab 2025)
Pflicht §39 (1) §11 §63 §64
Form Audits Audits Stichproben durch BSI
Inhalt IT-Sicherheit
Meldepflicht
SzA
Resilienz IT-Sicherheit
Meldepflicht
IT-Sicherheit
Meldepflicht
Scope Kritische Anlage Kritische Anlage Unternehmen Unternehmen
Frequenz alle drei Jahre Stichproben Stichproben bei Anlass
Empfänger BSI BBK BSI BSI

Die Nachweispflicht für Betreiber kritischer Anlagen ist in §39 definiert, Prüfungen im neuen Zyklus werden wohl 2025 beginnen. Nachweise für besonders wichtige Einrichtungen sind in §63 festgelegt – das BSI darf Nachweise anfragen, Einrichtungen zu Prüfungen verpflichten u.v.m., basierend auf Stichproben und Anhaltspunkten. Wichtige Einrichtungen in §64 analog.

Im KRITIS-Dachgesetz gibt es aktuell keine eigenen Prüfungen mehr, sondern eine Erweiterung der neuen Nachweisprüfungen von Betreibern unter NIS2 um Resilienzthemen.

Folien CSK-Keynote NIS2 und DORA-Webinar

Von Paul Weissmann am 4. Juli 2024

Webinar

Die Folien der Vorträge bei der Keynote des CSK-Summits im Juli von IT-SICHERHEIT und <kes> und vom OpenKRITIS-Webinar zu IT-Providern sind nun online. Beide Vorträge beleuchteten Betreiber in NIS2, die ab 2024/2025 mehrfacher Regulierung für Cybersecurity unterliegen.

IT-Dienstleister mit Finanzkunden könnten durch DORA zu kritischen IKT-Dienstleistern mit zusätzliche Cybersecurity-Pflichten und starker Aufsicht werden. Betreiber im Energiesektor und der Telekommunikation unterliegen neben NIS2 teilweise noch Sektorregulierung von EnWG und TKG – mit vielen Cybersecurity-Pflichten. Was gilt nun in welchem ISMS?

Bank picture

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

EU NIS2 Keynote

Keynote NIS2 Mehrfach-Regulierung

NIS2-Einrichtungen mit EnWG, TKG und DORA ab 2025
Keynote ∙ CSK-Summit 2024 IT-SICHERHEIT und <kes> ∙ Juli 2024

NIS2 Implementing Act Mapping ISO 27001 und KRITIS

Von Paul Weissmann am 1. Juli 2024

Mapping

Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben in Deutschland das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2 für bestimmte Betreiber.

Für Internet Provider gibt es zwei verpflichtende Implementing Acts für Vorfallsmeldungen und Sicherheitsmaßnahmen. Beide sind nun in einer Commission Implementing Regulation als Entwurf veröffentlicht worden – der Annex konkretisiert für Internet-Provider in 159 Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das OpenKRITIS NIS2 Implementing Act Mapping ordnet die Controls den Standards ISO 27001 und KRITIS zu – und findet einige Abweichungen:

Für betroffene Betreiber bleibt einiger Arbeitsbedarf.

Bank picture

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

up

OpenKRITIS auf LinkedIn | RSS Feed | News-Archiv