KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen zur Umsetzung von Cybersecurity, Governance und Prüfungen.
KRITIS und NIS2
- Die NIS2-Umsetzung in Deutschland
- Neues KRITIS-Dachgesetz für Resilienz
- Europa: Richtlinien EU NIS2 und EU RCE
- Das 2021er IT-Sicherheitsgesetz 2.0
- OpenKRITIS News, RSS-Feed, LinkedIn
Kritische Infrastrukturen
- Gesetze: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cybersecurity: Sicherheit im Betrieb
- Angriffserkennung: Systeme OH SzA
- Schulungen: Aus Erfahrungen lernen
RUN-Anforderungen für KRITIS-Prüfungen ab 2025
Von Paul Weissmann am 14. Januar 2025
Das BSI hat neue Prüfvorgaben für KRITIS-Prüfungen ab dem 1. April 2025 veröffentlicht. Mit den »RUN«-Vorgaben müssen Reife- und Umsetzungsgrade bei Betreibern erhoben werden. RUN, die Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung, bringt viele neue und zusätzliche Anforderungen für KRITIS-Prüfer ab 2025.
RUN definiert jeweils fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen durch Prüfer bewerten zu lassen:
- Informationssicherheit (ISMS)
- Business Continuity (BCMS)
- Organisatorische Maßnahmen (OrgM)
- Personenbezogene Maßnahmen (PerM)
- Physische Maßnahmen (PhyM)
- Technische Maßnahmen (TecM)
- Angriffserkennung (SzA)
Die Reifegrade von ISMS und BCMS sind detailliert ausdefiniert und dienen zur Orientierung für Prüfer in der Bewertung. Die Umsetzungsgrade von OrgM bis TecM sind allgemeiner formuliert und orientieren sich an der Angrifferkennung (SzA). Zusätzlich ist ein Mapping der Maßnahmen der Konkretisierung der Anforderungen (100-Punkte) auf die Umsetzungsgrade vorhanden.
Die neuen RUN-Vorgaben sind für Prüfungen mit Einreichung ab 1. April 2025 anzuwenden, und bedeuten zusätzliche Schritte in der Vorbereitung und Durchführung von KRITIS-Prüfungen.
NIS2-Umsetzungsgesetz: Letzter Entwurf 2024
Von Hanna Lurz am 19. Dezember 2024
Es gibt einen neuen Referentenentwurf vom NIS2-Umsetzungsgesetz, vom 29. November 2024. Das Gesetz sollte 2024 in Kraft treten, verzögert sich aber sicherlich bis Mitte 2025.
Der November-Entwurf 2024 enhält noch folgende Änderungen:
- Definition kritischer Komponenten wurde von §2 Nr. 23 BSIG-E in die Rechtsverordnung nach §56 (7) verlagert, Angaben zum Einsatz kritischer Komponenten müssen bei der Registrierung gemacht werden §33 (2)
- Die Untersagung des Einsatzes kritischer Komponenten nach §41 wurde inhaltlich stark verändert mit analogen Änderungen in TKG und EnWG
- Die noch offenen KRITIS-Rechtsverordnungen sollen mit Anhörung der betroffenen Wirtschaftsverbände sowie Vertretern der Wissenschaft ausgestaltet werden §56
- Energiesektor: Neue Kategorie von Betreibern digitaler Energiediensten, die analog zu Netz- und Anlagenbetreibern mit IT-Sicherheitskatalog reguliert werden §5c (3)
- Unabhängigeres BSI: Stärkung der fachlichen Unabhängigkeit des BSI §1, jährliche Zielvereinbarung zwischen BMI und BSI, § 58 (3) jährlicher Bericht des BSI an den zuständigen Ausschuss über fachliche Unabhängigkeit und Einzelweisungen.
- Bundes-CISO: Die BSI-Leitung wird Bundes-CISO, operativ unabhängig und weisungsfrei, mit umfassenden Befugnissen zur Umsetzung von Verbesserungsvorschlägen oder zur Abwendung oder Behebung von Sicherheitsvorfällen in der Bundesverwaltung §48
- Neuer Artikel 8 zur Änderung der BSI-Kritisverordnung
- KRITIS-Verordnung: Bisherige Schwellenwerte werden nicht angepasst, kleinere sprachliche Anpassungen in den bestehenden Sektoren
- KRITIS-Verordnung: Aufnahme der digitalen Energiedienste analog zum EnWG
- KRITIS-Verordnung: Versicherungsleistungen werden aus Sektor Finanzwesen herausgenommen und zu einem neuer Sektor umstrukturiert: "Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende" mit Anlagenkategorien und Schwellenwerten in Anhang 9 (mit den bisherigen Versicherungsleistungen)
KRITIS-Dachgesetz: Neuer Entwurf November 2024
Von Paul Weissmann am 7. November 2024
Vom KRITIS-Dachgesetz, das von Betreiber kritischer Anlagen Maßnahmen zur Resilienz fordern wird, gibt es einen Regierungsentwurf. Seit dem letzten April-Entwurf haben sich im KRITIS-Dachgesetz viele Kleinigkeiten geändert. Das Gesetz sollte 2024 in Kraft treten, verzögert sich sicherlich bis Mitte 2025.
Das KRITIS-Dachgesetz enthält viele sinnvolle Forderung nach Resilienzmaßnahmen, BCM und Krisenmanagement bei Betreibern. Der verabschiedete November-Entwurf mit folgenden Änderungen:
- Die KRITIS-Sektoren wurden ein weiteres Mail umbenannt und umstrukturiert; weitestgehend aber nicht ganz deckungsgleich mit NIS2
- Der Sektor Versicherungen wurde entfernt, nur Sozialversicherungen bleiben übrig
- Die Zuständigkeit von Bundesbehörden wurden (wieder) angepasst
- Teilweise Kürzung der Resilienz-Maßnahmen, u.a. Personalsicherheit
- Änderungen bei Nachweisen und Verfahren: Das BBK prüft nicht nur bei Zweifeln
- Anpassung der Haftungsregeln für Geschäftsleitungen
- Anpassung der Bußgelder (Reduktion auf 500 Tsd.) und weniger Tatbestände
- Eine Menge Formalien und Textanpassungen
Vieles bleibt nach wie vor offen – und muss in Rechtsverordnungen (KRITIS-Verordnung) und Katalogen angepasst werden.
Orientierungshilfe Angriffserkennung 2024
Von Paul Weissmann am 30. Oktober 2024
Die Anforderungen der Orientierungshilfe für Angriffserkennung des BSI wurden im Sommer 2024 in die KRITIS-Anforderungen Konkretisierung der Maßnahmen integriert. Im lange überfälligen Schritt wurden die SzA-Anforderungen für Protokollierung, Detektion und Reaktion an die bestehenden 100 KRITIS-Anforderungen angefügt.
Die 35 Maßnahmen von BSI-101 bis BSI-135 fassen die Anforderungen für Angriffserkennung thematisch in der Konkretisierung für Betreiber und Prüfer zusammen. MUSS und SOLL-Anforderungen sind teilweise getrennt, teilweise zusammen.
| ID | Kapitel | Thema | Anforderungen | |
|---|---|---|---|---|
| SZA-A | Kap 1.2 | Allgemeine Rahmenbedingungen | 5 | MUSS |
| SZA-P | BSI-101 bis BSI-103 | Protokollierung und Logging | 3 2 |
MUSS SOLL |
| SZA-D | BSI-104 bis BSI-116 | Detektion und Vorfälle | 13 3 |
MUSS SOLL |
| SZA-R | BSI-117 bis BSI-135 | Reaktion auf Vorfälle | 8 15 |
MUSS SOLL |
Inhaltlich hat sich in der Angriffserkennung zwischen Orientierungshilfe von 2022 und der Konkretisierung der Maßnahmen von 2024 nicht viel geändert:
- Struktur angepasst, Nummerierung mit eigenen IDs (101 bis 135)
- Grundschutz-Referenzen einzeln zugeordnet, teilweise C5 (2016) Referenzen
- Themen sind leider teilweise sehr umfassend gebündelt (vor allem Protokollierung)
- MUSS/SOLL-Anforderungen teils sehr vermischt, SOLL-Anforderungen teils auch einzeln
- Kein Hinweis auf Reifegrad-Einstufung
Das OpenKRITIS-Mapping der Orientierungshilfe SzA zu C5 und ISO 27001 ordnet den einzelnen Anforderungen relevante Kontrollen für Angriffsserkennung der C5 und ISO-Standards zu.
Finaler Implementing Act Internet und IT
Von Hanna Lurz am 24. Oktober 2024
Für Internet und IT-Provider gibt es zwei verpflichtende Implementing Acts der EU, die Vorfallsmeldungen und Sicherheitsmaßnahmen aus EU NIS2 konkretisieren. Beide wurden im Oktober final veröffentlicht – der Annex konkretisiert für Internet-Provider in vielen Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.
Das NIS2 Implementing Act Mapping ordnet die einzelnen Kontrollen ISO 27001 und C5 zu. Im Abgleich zum Entwurf von Juli 2024 haben sich im Oktober einige Änderungen ergeben:
- Sehr wenig materielle und inhaltliche Änderungen: Die Sicherheitsanforderungen sind größtenteils erhalten geblieben, die Zuordnungen zu C5 und ISO 27001 ebenfalls
- Leichte Kürzungen einzelner Unterpunkte: Risk Owner wurden entfernt, Detail-Zuständigkeiten vom Management etwas geschärft
- Mehr Ermessensspielraum in der Umsetzung durch Einfügen von where appropriate bei vielen Einzelkontrollen und bestimmten Technologien
- Einige Querverweise zwischen den Anforderungen wurden aufgenommen
- Konkretisierungen von Begriffen wie Data und Information und von Review-Zyklen
- Formelle Anpassungen und leichte Änderung der Struktur und Nummerierung
Der Implementing Act ist weiterhin eine hilfreiche Schablone zur Konkretisierung von NIS2-Maßnahmen, auch wenn die Anforderungen normativ nur für bestimmte Provider verbindlich ist.
Schulung Prüfverfahrenskompetenz Community Draft
Von Paul Weissmann am 22. Oktober 2024
Das BSI hat die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft vorgestellt. Die Schulung für KRITIS-Prüfer wurde nach den Erfahrungen der letzten Jahre neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung umfasst im aktuellen Draft für KRITIS-Anlagen und Betreiber Kritischer Anlagen:
- Grundlagen Kritischer Infrastrukturen
- Prüfvorgehen und Planung
- Grundlagenprüfung, Angemessenheits- und Wirksamkeitsprüfung
- Berichtswesen, Mängel
Das BSI sammelt zum Community Draft der Schulungsunterlagen (PDF, 301 Folien) und Schulungsleitfaden (PDF, 126 Seiten) Feedback. Weitere Entscheidungen zum weiteren Vorgehen müssen noch getroffen werden, wie Übergangsfristen, Anpassung weiterer Dokumente, Personenzertifizierung, neue NIS2-Aspekte).
Webseite des BSI mit Informationen und Unterlagen:
Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG
KRITIS-Dachgesetz: Neuer Entwurf April 2024
Von Paul Weissmann am 30. September 2024
Das KRITIS-Dachgesetz zur Steigerung der Resilienz von Betreibern kritischer Anlagen sollte eigentlich auch im Herbst diesen Jahres in Kraft treten. Der letzte öffentliche Entwurf lag schon einige Zeit zurück – der vor einigen Wochen publik gewordene April-Entwurf des Gesetzes aktualisiert nun einige Vorgaben, lässt aber vieles noch offen.
Das KRITIS-Dachgesetz fordert von Betreibern kritischer Anlagen, die auch in NIS2 reguliert werden, Resilienzmaßnahmen wie Krisen-Management, Risikoanalysen, Notfallvorsorge und mehr. Das Gesetz sollte 2024 in Kraft treten, viele Pflichten dazu erst 2026. Neuerungen im April:
- Die Pflichten für Resilienz bleiben bestehen und sind weiter unverbindlich(er) als NIS2.
- Sektoren und Dienstleistungen werden durch unterschiedliche zuständige Behörden reguliert: Viele Behörden vom BBK über BMI bis zu Landesbehörden.
- Große Menge textueller Änderungen und Präzisierungen, aber auch diverse Fehler.
- Änderungen am EnWG für Energiebetreiber sind enthalten.
- Generell deutlich aufgeweichte Zuständigkeiten im Bund und Ländern.
- Viele Pflichten treten erst zwei Jahre nach dem Gesetz in Kraft
Vieles im April-Entwurf bleibt aber noch offen – was in neueren Entwürfen noch überarbeitet werden muss oder schon wurde. Der Entwurf wirkt wie eine Zwischenversion – bis zur letzten Version wird sich noch einiges ändern. Ob das Gesetz noch 2024 veröffentlich wird, ist fraglich.
- Definition aller kritischer Dienstleistungen und deren Verantwortung
- Neue KRITIS-Rechtsverordnung(en) mit Definitionen zu Anlagen
- Konkretisierung der Resilienzmaßnahmen durch das BBK
- Neuer, weiterer (?) IT-Sicherheitskatalog der BNetzA für Resilienz
- Harmonisierung vom Dachgesetz mit den letzten NIS2-Entwürfen
- Auflösen der diversen Fehler