OpenKRITIS-Konferenz

Ziel

Das Ziel der OpenKRITIS-Konferenz am 12. März 2024 ist ein offener Austausch für Praktiken in Kritischen Infrastrukturen. Die KRITIS-Regulierung erweitert sich ab 2024 deutlich – auf der Konferenz können Unternehmen von langjährigen Erfahrungen anderer Betreiber lernen und Impulse für die eigene Praxis sammeln.

Konferenz-Programm (PDF)

Zielgruppe sind Verantwortliche in Unternehmen, die jetzt schon oder zukünftig betroffen sind und sich über Erfahrungen in der Umsetzung von KRITIS und NIS2 informieren wollen. Bei bald mehr als 30.000 betroffenen Unternehmen in Deutschland gibt es viel zu reden und zu lernen. Die OpenKRITIS-Konferenz 2024 wird am 12. März 2024 ganztägig virtuell stattfinden.

Themen

In vier Blöcken beleuchten Speaker aus der Industrie aktuelle Themen rund um KRITIS und teilen ihre Erfahrungen aus der Umsetzungspraxis, (fast) ohne Berater.

Strategie in der Umsetzung: Erfahrung aus der Umsetzung von KRITIS bei Betreibern
Verankerung der KRITIS-Governance im Unternehmen, Überzeugung von Betriebseinheiten
Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
Erfahrungen mit Nachweisen seit 2014, Methodik von Prüfern, neue Strukturen ab 2024
Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber zum Aufbau von SOC & SIEM
OH SzA als Zusatzpflicht und Prüfstandard für Betreiber mit Auswirkungen im Betrieb
Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
Diskussion der Q&A aus den Vorträgen und Ausblick auf die nächsten Jahre

Agenda

Die OpenKRITIS-Konferenz fand am 12. März 2024 ab 9:30 Uhr statt.
Die Folien der Vorträge sind verlinkt, wo vorhanden.

Agenda OpenKRITIS-Konferenz 2024, Stand März 2024
Zeit	Thema	Speaker
Beginn der OpenKRITIS-Konferenz
9:30	Begrüßung und Einleitung KRITIS	Paul Weissmann OpenKRITIS
9:45	Keynote Kritische Infrastrukturen in 2024 Fast ein Jahrzehnt Regulierung Kritischer Infrastrukturen – und ein Jahr voller Veränderungen. Seit dem ersten IT-Sicherheitsgesetz müssen Tausende Betreiber IT-Sicherheit nach Stand der Technik umsetzen. Große Anstrengungen führten zu vielen Verbesserungen, aber auch zu hohem Aufwand und einer Sorge vor noch mehr Bürokratie. Was lehren uns die Erfahrungen seit 2015? Und wohin führt uns die Umsetzung von NIS2 bei Zehntausenden neuen Unternehmen?	Wilhelm Dolle KPMG
Practices in der Umsetzung
10:15	Ein strategisches KRITIS-Programm im globalen Konzern Als Marktführer für Unternehmenssoftware unterstützt SAP weltweit Unternehmen jeder Größe und Branche dabei, Unternehmensabläufe zu verbessern und Netzwerke mit intelligenten Unternehmen aufzubauen, die für Transparenz, Resilienz und Nachhaltigkeit der Lieferketten sorgen. Der Vortrag umfasst das Vorgehen und die Erfahrungen der SAP bei der Umsetzung der KRITIS Anforderungen und den aktuellen Stand der NIS2 Vorbereitungen. Welche Rolle spielt SAP für den Betrieb kritischer Infrastrukturen und wie wird das Unternehmen dieser Verantwortung gerecht? Wie hat SAP selbst als Betreiber kritischer Infrastruktur die KRITIS Anforderungen in einer komplexen Konzernstruktur umgesetzt? Welche neuen Herausforderungen ergeben sich aus der EU Richtlinie NIS2 für einen global agierenden Cloud-Anbieter?	Christian Behre Max Moser SAP
11:00	Security und BCM bei einem Verteilnetzbetreiber mit IT und OT Als großer Verteilnetzbetreiber in den Sparten Strom und Gas setzt die Westnetz GmbH seit vielen Jahren vielfältige Maßnahmen in den Bereichen Informationssicherheit und Business Continuity Management für IT- und OT-Umgebungen um. Neben externen Anforderungen sind auch interne Anforderungen hierfür maßgeblich.	Anne Dirsch Michael Reusch Westnetz
Mittagspause
12:00	Pause
Prüfungen
12:45	Das neue Schulungsprogramm für KRITIS-Prüfungen Die Qualifikation der KRITIS-Prüfer hat signifikanten Einfluss auf die eingereichten KRITIS-Nachweise. Die Erfahrung zeigt seit 2015 ein sehr unterschiedliches Niveau an Prüfungen und Nachweisen. Mit einem modularen Schulungsprogramm für KRITIS und NIS2 sollen Prüfern die notwendigen Kompetenzen vermittelt werden. Erfahrungen der letzten Jahre und Ziele für ein neues KRITIS-Programm Inhaltliche Änderungen Methodische Änderungen Schulungen und Zertifizierung für Prüfer Und: Was bedeutet das in der Praxis ab 2024?	Michael Rauh, BSI Lutz Naake, EY
13:45	KRITIS-Prüfungen bei der Eisenbahn – Warum intern? (Hinweis↓) Die Folien sind auf Anfrage für Konferenzteilnehmer verfügbar Bei der DB wurde bereits 2017 entschieden, die nach § 8a BSIG gesetzlich geforderten Nachweisprüfungen durch die Konzernrevision durchführen zu lassen. Warum wir uns bei der DB für diesen Weg entschieden haben, welche Vorteile und welche Herausforderungen das mit sich brachte und worauf man bei der Umsetzung achten sollte, wird auf Basis von über fünf Jahren praktischer KRITIS-Prüferfahrung erläutert.	Stefan Schubert Deutsche Bahn
Angriffserkennung
14:30	(Er)kenne Deinen Feind - Ein Jahr Systeme zur Angriffserkennung Angriffserkennung und Regulierung – ein Rückblick, Einblick und Ausblick, welchen Einfluss die Umsetzung von Angriffserkennung seit 2023 bei Vorfällen und in der Reaktion bei Betreibern hat und ab 2024 in KRITIS weiter haben wird.	Christine Hofer BSI
15:00	Der Aufbau eines Inhouse SOC bei einem kommunalen Betreiber Bereits mit dem IT-Sicherheitsgesetz 2.0 aber spätestens mit NIS2 stehen Unternehmen vor der regulatorischen Anforderung des Betriebs so genannter Angriffserkennungssysteme. Der Vortrag adressiert die Erfahrungen beim Aufbau eines internen SOC und geht auf die erwarteten und unerwarteten Herausforderungen & Folgen dieser Entscheidung ein.	Daniel Fitzner Stromnetz Berlin
Panel-Diskussion
15:30	NIS2 und KRITIS ab 2024, Einleitung zur Panel Diskussion Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die Regulierung Kritischer Infrastrukturen in Deutschland deutlich. Ab 2024 fallen Tausende neue Unternehmen neben KRITIS-Betreibern unter Cybersecurity-Regulierung. Wir fassen die wichtigsten Neuerungen für neue und bestehende Unternehmen zusammen.	Hanna Lurz Paul Weissmann OpenKRITIS
15:45	Panel-Diskussion – was kommt auf uns zu? Und Q & A. Wir diskutieren mit den Speakern der Konferenz die KRITIS-Landschaft: Was läuft gut, was wird sich verändern und worauf müssen wir uns ab 2024 einstellen? Neben den Fragen zu Best Practices und Regulierung gibt es viel Raum für Fragen aus der Konferenz.	Alle Speaker
Ende der Konferenz
16:30	Abschluss und Ende

Speaker

Christian Behre, SAP SE, KRITIS-Officer SAP, SAP Government Security & Secrecy

ist der KRITIS-Beauftragte der SAP und verantwortlich für die Verpflichtungen der SAP als Betreiber Kritischer Infrastruktur in Deutschland und in der EU. Er ist Mitglied der Government Security & Secrecy Organisation im CEO-Vorstandsbereich, welche die Erfüllung nationaler Geheimschutzanforderungen sowie die Einhaltung kritischer Infrastruktur- und Telekommunikationsvorschriften bei SAP gewährleistet.

Anne Dirsch: Westnetz GmbH, Referentin ISMS-IT und BCM

Anne Dirsch ist Referentin bei der Westnetz GmbH und arbeitet in den Themen Business Continuity Management und ISMS-IT. Anne hat 10 Jahre Erfahrung in den Themen ISMS und BCMS, davon 7 Jahre in der Beratung.

Wilhelm Dolle: KPMG AG Wirtschaftsprüfungsgesellschaft, Partner, Head of Cyber Security

Wilhelm Dolle leitet als Partner der KPMG den Bereich Cyber Security und ist Geschäftsführer der KPMG CERT GmbH. Er verfügt über mehr als 25 Jahre Berufserfahrung und ist Experte sowohl für technische als auch organisatorische Aspekte der Informationssicherheit. Dazu gehört der Aufbau von ISMS bis zur Zertifizierungsreife, der Schutz Kritischer Infrastrukturen, aber auch Themen wie Penetrationstests und Sicherheit von Industrieanlagen.

Daniel Fitzner: Stromnetz Berlin GmbH, Cyber Security Coordinator

Daniel Fitzner ist Senior Security Manager und beschäftigt sich beruflich seit mehr als 25 Jahren mit den vielen Facetten und Spielarten der Informations- und IT-Sicherheit.

Christine Hofer: Bundesamt für Sicherheit in der Informationstechnik, Fachbereichsleiterin

Christine Hofer wechselte nach 15 Jahren Tätigkeit für und mit Kritischen Infrastrukturen (KRITIS) in der Wirtschaft ins BSI. Dort begleitet und unterstützt sie seit neun Jahren Cybersicherheit für KRITIS. Sie leitet den Fachbereich zum Schutz Kritischer Infrastrukturen.

Hanna Lurz: OpenKRITIS und Insignals GmbH, Redakteurin

ist als Senior Beraterin bei der Insignals GmbH für die Schwerpunkte Kritische Infrastrukturen und zertifizierungsreife ISMS verantwortlich. Hanna hat über zehn Jahre Beratungserfahrung und war lange Fachbereichsleiterin ISM in einer Zertifizierungsorganisation.

Max Moser: SAP SE, Deputy KRITIS-Officer SAP, SAP Government Security & Secrecy

ist der stellvertretende KRITIS-Beauftragte der SAP und zusammen mit Christian Behre verantwortlich für die Verpflichtungen der SAP als Betreiber Kritischer Infrastruktur in Deutschland und in der EU.

Lutz Naake: Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft, Partner

Lutz Naake ist verantwortlicher Partner der EY Wirtschaftsprüfungsgesellschaft für KRITIS-Audits, ist Mitglied der IDW AG KRITIS als Autor vom Prüfhinweis PH 9.860.2 und Konkretisierung der KRITIS-Anforderungen, und hat seit 2018 bereits über 100 kritische Anlagen und Dienstleistungen sektorübergreifend geprüft.

Michael Rauh: Bundesamt für Sicherheit in der Informationstechnik, Referatsleiter

leitet das Referat WG 15 - Kritische Infrastrukturen Prüfungen mit dem Schwerpunkt der Durchführung von BSI-eigenen Prüfungen. Er ist gelernter Fachinformatiker und hat viele Jahre als Administrator und Prozessmanager im Bereich Informationssicherheit gearbeitet.

Michael Reusch: Westnetz GmbH, Leiter Informationssicherheit/Datenschutz/BCM

Michael Reusch ist Leiter des Teams Informationssicherheit, Datenschutz und Business Continuity Management bei der Westnetz GmbH. Er treibt das Thema im Unternehmen seit 2010 voran und hat langjährige Erfahrung im Netzbetrieb.

Stefan Schubert: Deutsche Bahn AG, Konzernrevision, Leiter Revision IT/Kritische Infrastrukturen

Stefan kann auf über 15 Jahre praktischer Erfahrung im Bereich IT-Audit zurückblicken und verantwortet seit mehren Jahren die Abteilung „Revision IT und Kritische Infrastrukturen“ innerhalb der Konzernrevision der DB AG. In dieser Funktion war er seit 2018 mit dem Aufbau der erforderlichen Strukturen, Prozesse und Prüfstandards sowie der vorgabenkonformen Prüfungsdurchführung betraut.

Paul Weissmann: OpenKRITIS und Insignals GmbH, Gründer

Als Gründer von OpenKRITIS und Insignals GmbH begleitet Paul Weissmann Unternehmen auf dem Weg durch KRITIS und EU NIS2. Er hilft Betreibern und Verantwortlichen bei einem eigenen, passgenauen Ansatz durch die Regulierung. Gelernter Netzwerk-Ingenieur, dann viele Jahre Senior Manager in der Wirtschaftsprüfung. Organisator der OpenKRITIS-Konferenz.

Organisation

Registrierung

Die Registrierung zur OpenKRITIS-Konferenz findet über pretix statt, unserem Ticketshop.

Buchung von persönlichen Tickets über das Buchungsportal
Zahlung über das Buchungsportal per Kreditkarte oder PayPal
Bestätigung und persönliches Tickets per Mail
Abrechnung über die Agentur PIRATEx

Ermäßigungen und Gutscheine:

Die Ermäßigung richtet sich an hauptamtliche Studenten und Forscher

Q&A

Die OpenKRITIS-Konferenz 2024 wird am 12. März 2024 ganztägig virtuell stattfinden.

Durchführung

Durchführung virtuell per Microsoft Teams als Teams Webinar
Fragen können während der Konferenz per Chat (anonym) gestellt werden: Wir sammeln und gruppieren die Fragen – Antworten wenn möglich am Ende des Vortrags oder der Konferenz.
Teilnahme an der Konferenz ohne Anzeige von Namen möglich, ohne Video und Audio
Keine Aufzeichnung der Konferenz und Vorträge
Folien der Vorträge werden in Abstimmung mit den Speakern zur Verfügung gestellt

Organisation

Organisiert von OpenKRITIS – Veranstalter: Insignals GmbH
Datenschutzhinweise für OpenKRITIS-Veranstaltungen
Das Konferenz-Team ist erreichbar unter: konferenz@openkritis.de