Older News

Folien CSK-Keynote NIS2 und DORA-Webinar

Von Paul Weissmann am 4. Juli 2024

Die Folien der Vorträge bei der Keynote des CSK-Summits im Juli von IT-SICHERHEIT und <kes> und vom OpenKRITIS-Webinar zu IT-Providern sind nun online. Beide Vorträge beleuchteten Betreiber in NIS2, die ab 2024/2025 mehrfacher Regulierung für Cybersecurity unterliegen.

IT-Dienstleister mit Finanzkunden könnten durch DORA zu kritischen IKT-Dienstleistern mit zusätzliche Cybersecurity-Pflichten und starker Aufsicht werden. Betreiber im Energiesektor und der Telekommunikation unterliegen neben NIS2 teilweise noch Sektorregulierung von EnWG und TKG – mit vielen Cybersecurity-Pflichten. Was gilt nun in welchem ISMS?

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

Keynote NIS2 Mehrfach-Regulierung

NIS2-Einrichtungen mit EnWG, TKG und DORA ab 2025
Keynote ∙ CSK-Summit 2024 IT-SICHERHEIT und <kes> ∙ Juli 2024

NIS2 Implementing Act Mapping ISO 27001 und KRITIS

Von Paul Weissmann am 1. Juli 2024

Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben in Deutschland das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2 für bestimmte Betreiber.

Für Internet Provider gibt es zwei verpflichtende Implementing Acts für Vorfallsmeldungen und Sicherheitsmaßnahmen. Beide sind nun in einer Commission Implementing Regulation als Entwurf veröffentlicht worden – der Annex konkretisiert für Internet-Provider in 159 Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das OpenKRITIS NIS2 Implementing Act Mapping ordnet die Controls den Standards ISO 27001 und KRITIS zu – und findet einige Abweichungen:

Starker Fokus auf Krisenmanagement, Business Continuity (BCM) und Vorsorge
Schwerpunkt auf Review- und Verbesserungen in allen Einzelthemen
Regelmäßiger expliziter Einbezug von Drittparteien und Externen
Einige sehr spezifische Anforderungen (Netzwerke, Accounts, Systeme)
Existierende ISMS-Controlsets werden dafür erweitert werden müssen
Manche Lücken könnten durch Management Systeme abgefangen werden

Für betroffene Betreiber bleibt einiger Arbeitsbedarf.

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

Letzter Referentenentwurf NIS2-Umsetzung Juni

Von Paul Weissmann am 28. Juni 2024

Der nächste und möglicherweise letzte Referentenentwurf der deutschen NIS2-Umsetzung wurde, nach Verbändeabstimmung, Ende Juni 2024 vom BMI veröffentlicht.

Im Entwurf ändert sich nicht mehr allzuviel, wie zu erwarten: Die Pflichten bleiben gleich, an der Betroffenheit und Zuständigkeiten ändern sich wieder einige Konstellationen. Daneben hat der Gesetzgeber abermals Struktur, Definitionen und Argumentationen angepasst.

Konkretisierung und Einschränkung vom Geltungsbereich Telekommunikation und Energie, Aufheben der Doppelregulierung durch §30 NIS2-Maßnahmen
Umbenennung Sektoren: IT und TK in Digitale Infrastruktur, Finanz- und Versicherungswesen in Finanzwesen
Anpassungen Zuständigkeiten Bund
Anpassungen und Ausblick (KRITIS-Verordnung) zu Zuständigkeiten KRITIS-Anlagen
Umstrukturierung Paragraphen
Haftungsregeln und Verantwortung Geschäftsleitung §38 präzisiert
Bußgelder und Sanktionen wieder umgeschrieben und umsortiert (Effekt noch TBD)

Die Änderungen an Sektorgesetzen wie TKG und EnWG blieben größtenteils gleich – dafür wurden Teile der Doppelregulierung aufgehoben. Eine konkretes Datum zum Inkrafttreten fehlt diesmal, es scheint aber, dass das Bundeskabinett im Sommer den Gesetzesentwurf diskutiert. Vielleicht tritt das Gesetz dann doch (fast) fristgemäß in Kraft?

DORA-Mapping auf NIS2, ISO 27001 und C5

Von Hanna Lurz am 7. Mai 2024

Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für Finanzunternehmen und kritische IKT-Drittdienstleister wie Cloud Provider vor. Für diese IT-Provider ordnet das OpenKRITIS DORA-Mapping die einzelnen Anforderungen aus DORA aufgeschlüsselt verschiedenen Cybersecurity-Standards zu:

NIS2-Umsetzung: Vorgaben aus dem NIS2-Umsetzungsgesetz für Einrichtungen.
C5:2020: Standard vom BSI für Informationsssicherheit in Cloud Computing.
ISO/IEC 27001:2022: Informationssicherheit im ISMS und Annex A-Kontrollen.

Das OpenKRITIS DORA-Mapping auf NIS2 schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf, gruppiert thematisch und weist einzelne Pflichten NIS2, C5:2020 und ISO 27001:2022 Kontrollen zu – alles als Draft.

NIS2-Umsetzungsgesetz Referentenentwurf Mai

Von Paul Weissmann am 9. Mai 2024

Der aktuelle Referentenentwurf der deutschen NIS2-Umsetzung wurde im Mai 2024 vom BMI veröffentlicht. Der Entwurf vom NIS2UmsuCG dient der Verbändeabstimmung bis Anfang Juni und soll am 1. Oktober 2024 in Kraft treten – so der Entwurf in Artikel 29.

Es ändert sich nicht viel für Betreiber zu den letzten bekannten Entwürfen: Pflichten bleiben im Grunde gleich, an der Betroffenheit und Zuständigkeit im Bund ändern sich Randfälle. Sonst gibt es viele Änderungen an Struktur, Definitionen – ohne tiefe Folgen für Betreiber.

Präzisierung der Betroffenheit im NIS2-Sektor Chemie auf NACE 20
Anpassung weiterer Definitionen in NIS2-Sektoren und Betreibern (IXPs, CDNs, Weltraum)
Definition der regulierten Einrichtungen: Reihenfolge angepasst, Finanzunternehmen sind nun (doch) Einrichtungen aber von Pflichten ausgenommen, Pflichten angepasst
Betroffenheit der öffentlichen Hand: Mehr Ausschlüsse (Kammern, IHKn, Auswärtiges Amt, Nachrichtendienste) und umgeschriebene Ausschlüsse (öffentliche IT und Cloud Provider)
Authentizität nun kein explizites Schutzziel mehr bei §30 Maßnahmen
Konformitätsbewertung neu hinzugekommen
Bußgeldvorschriften angepasst in Tatbeständen und Höhe (kompliziert)
Pflicht zur Teilnahme am Informationsaustausch für Einrichtung fällt weg

Dafür enthält der Entwurf vom NIS2UmsuCG nun die meisten Änderungen am EnWG für Energiebetreiber und TKG für Telekommunikationsanbieter. Wenig überraschend – die parallele Regulierung mit BNetzA bleibt bestehen + neue EnWG-Sicherheitskataloge. Dafür erbt das TKG §30 NIS2-Maßnahmen in §165 TKG-E – und dafür vielleicht keinen neuen Sicherheitskatalog.

Weitere bemerkenswerte Annahmen im Entwurf, vor allem in der lesenswerten Begründung:

Prognose der Einrichtungen steigt auf 8.250 (besonders wichtig) und 21.600 (wichtig)
Das BSI geht von 24 BSI-Prüfungen nach §65 bei Einrichtungen pro Jahr aus
Der Gesetzgeber geht von 2,1 Mrd. EUR einmaligem und 2,1 Mrd. jährlichem Aufwand für neue Einrichtungen aus, vor allem durch Anpassung digitaler Geschäftsprozesse
Drei Millionen Geschäftsleiter und Mitarbeiter müssen pro Jahr für NIS2 geschult werden.
Über 1.500 neue Stellen im Bund, davon 549 beim BSI für neue Aufgaben und Pflichten

Ob dieser Entwurf den Prozess der Gesetzgebung bis zum 1. Oktober 2024 schafft?

DORA und NIS2 im Finanzsektor

Von Hanna Lurz und John Bauer am 29. April 2024

Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.

Betroffen: Finanzunternehmen wie Kreditinstitute, Versicherungen + IKT-Drittdienstleister
Finanzunternehmen: Risikomanagement, Cybersecurity, Resilienz, Providersteuerung, Tests
Dienstleister: Governance, Risikomanagement, technische Sicherheit, Audits
Sanktionen: Mitgliedsstaaten legen Sanktionen fest, Behörden verhängen
Fristen: DORA gilt als EU-Vorgabe direkt und muss ab Januar 2025 angewendet werden
Aufsicht: Finanzunternehmen unterliegen nationalen Behörden, IKT-Dienstleister der EU

DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.

Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.

NIS2-Mapping auf Standards

Von Paul Weissmann am 9. April 2024

Das OpenKRITIS-Mapping von NIS2 zu Security-Standards erleichtert die Zuordnung der Sicherheitsmaßnahmen bei betroffenen Einrichtungen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) fordern Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS und werden im Mapping folgenden Standards zugeordnet:

BSI Konkretisierung: Anforderungen vom BSI als Nachweis für Betreiber.
ISO 27001:2022: Informationssicherheit der Annex A Kontrollen.

Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts noch konkretisiert und detailliert werden. Bis dahin bleibt diese Zuordnung die einzige Orientierung.

Das OpenKRITIS-Mapping auf KRITIS und ISO 27001 schlüsselt die Absätze und Listen aus §30 BSIG-E in einzelne Anforderungen auf und passt den Text mit Ergänzungen leicht an.

Unternehmen im besonderen öffentlichen Interesse

Von Paul Weissmann am 26. März 2024

In NIS2 gibt es die Unternehmen im besonderen öffentlichen Interesse (UBI) nicht mehr als eigene Gruppe. Eingeführt mit dem IT-Sicherheitsgesetz 2.0, wurden die UBI parallel zu KRITIS-Betreibern mit eigenen, abgestuften UBI Cybersecurity-Pflichten reguliert.

Viele Definitionen und Klarstellungen fehlten seitdem – und mit NIS2 verschwinden die UBI fast. Die UBI fallen als explizite Kategorie weg und gehen größtenteils in NIS2-Einrichtungen auf:

UBI 1 Rüstung könnten als Produzenten der folgenden Güter von NIS2 betroffen sein, u. a.:

NACE C 26: Optik, Kommunikation, Elektronik, Radar, GPS, Antennen
NACE C 27: Elektrik, Schaltungen und weiteres
NACE C 30.3: Luft- und Raumfahrt, Hubschrauber, Flugzeuge, Teile, Raketen, Bodengeräte
NACE C 30.4: Militärische Kampffahrzeuge, Panzer, Amphibien- und sonstige Fahrzeuge

UBI 2 Volkswirtschaft sind von NIS2 betroffen, wenn sie als Einrichtung Größen überschreiten und in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft, auch UBI.

UBI 3 Gefahrstoffe sind in NIS2 im Sektor Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:

Hersteller und Händler von chemischen Stoffen Art. 3 Nr. 9, 14 (EG) 1907/2006
Produzenten von chemischen Erzeugnissen im Sinne Art. 3 Nr. 3 (EG) 1907/2006

Die eigenen UBI-Pflichten (§8f BSIG 2021) fallen ebenfalls weg und werden von den regulären NIS2-Pflichten für Einrichtungen abgelöst. Viel zu tun – und die Liste der NACE-Güter ist lang.

Energiesektor, NIS2 und EnWG

Von Hanna Lurz am 8. März 2024

Auch mit der NIS2-Umsetzung bleibt im Energiesektor ab 2024 Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen fallen in einigen Betriebsteilen weiterhin unter separate Regulierung im Energiesektor mit dem EnWG, parallel zu NIS2 und KRITIS. Der Dezember-Entwurf der NIS2-Umsetzung passt das EnWG in vielen Teilen an.

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) wahrscheinlich keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen. Es gelten dann die Anforderungen §5c EnWG (neuer Paragraph im Entwurf, der die bisherigen §11-Anforderungen ersetzt):

Energieversorgungsnetze und Energieanlagen müssen ihre IT im Anlagen- und Netzbetrieb schützen mit neuen BNetzA IT-Sicherheitskatalogen. Diese Kataloge müssen mindestens §30-Maßnahmen aus BSIG-E (NIS2UmsuCG) und Angriffserkennung umfassen
Maßnahmen müssen dokumentiert, Mängel beseitigt werden, das BNetzA darf die Umsetzung überprüfen und Maßnahmen vornehmen.
Sicherheitsvorfälle müssen ans BSI gemeldet werden, weiterhin diverser Austausch mit der BNetzA und weitere Informationspflichten. Betreiber müssen sich beim BSI registrieren, das dann an die BNetzA übermittelt.

Weiterhin wird es für Energiebetreiber verschiedene Sicherheitskataloge der BNetzA geben.

Katalog	gültig	Betreiber und Anlagen
IT‑Sicherheitskatalog §11 Abs. 1a EnWG	2015	Betreiber von Energieversorgungsnetzen Stromübertragungs- und -verteilnetze Gasübertragungs- und -verteilnetze
IT‑Sicherheitskatalog §11 Abs. 1b EnWG	2018	Betreiber von Energieanlagen nach KRITIS-Verordnung Erzeugungsanlagen Steuerung/Bündelung elektrischer Leistung Zentrale standortübergreifende Steuerung Gas
IT-Sicherheitskatalog neu EnWG	2024?	Betreiber von Energieversorgungsnetzen ersetzt Katalog §11 Abs. 1a für NIS2UmsuCG
IT-Sicherheitskatalog neu EnWG	2024?	Betreiber von Energieanlagen ersetzt Katalog §11 Abs. 1b für NIS2UmsuCG

Die OpenKRITIS Summer School

Von Paul Weissmann am 6. März 2024

Die OpenKRITIS-Workshops Sommer 2024 richten sich an Unternehmen, die einen fokussierten Einstieg in die NIS2 und KRITIS-Regulierung ab 2024 suchen. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt. Neben Wissensvermittlung liegt der Schwerpunkt auf Interaktion im Plenum zu Fallbeispielen – eigene Fragen sind erwünscht!

Programm OpenKRITIS-Workshops 2024, Stand März 2024, Agenda kann sich ändern
ID	Thema	Teilnehmer	Termin
S24.1	NIS2 und KRITIS-Betroffenheit – und nun? Grundlagen und erste Schritte für (neu) betroffene Firmen. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.	Max. 6	4. Juni 2024 9:30-12:30 online
S24.2	German Critical Infrastructure requirements: KRITIS and NIS2 Introduction to German KRITIS and NIS2 regulation. Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps.	Max. 6	11. Juni 2024 9:30-12:30 online
S24.3	Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG & EnWG Mit NIS2 bleibt mehrfache Regulierung (leider) erhalten. In Energie und Telekommunikation fallen Anbieter neben KRITIS und NIS2 auch unter TKG, EnWG und BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege, damit umzugehen.	Max. 6	13. Juni 2024 9:30-12:30 online
S24.4	Konzerne und Auslandsgesellschaften mit EU NIS2 Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten. Konzerne fallen mit Legaleinheiten und Landesgesellschaften unter NIS2 – in EU-Jurisdiktionen mit unterschiedlichen Regeln. Wir beleuchten den Umgang mit Betroffenheit und Registrierung.	Max. 6	18. Juni 2024 9:30-12:30 online

Die OpenKRITIS-Konferenz am 12. März 2024

Von Paul Weissmann am 5. März 2024

Nur noch eine Woche bis zur OpenKRITIS-Konferenz 2024 – mit Talks von Betreibern und BSI!
Unternehmen können von den Erfahrungen anderer Betreiber aus vielen Jahren KRITIS lernen. In vier Blöcken beleuchten Verantwortliche aus der Industrie aktuelle Themen aus der gelebten Praxis Kritischer Infrastrukturen, (fast) ohne Berater.

Strategie: Erfahrungen aus dem Aufbau von KRITIS bei Betreibern
Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)

Die OpenKRITIS-Konferenz 2024 findet am 12. März 2024 ganztägig virtuell statt.

Der Staat als Kritische Infrastruktur

Von Paul Weissmann am 4. März 2024

Der Sektor Staat und öffentliche Verwaltung gehören seit langem zu Kritischen Infrastrukturen. Trotzdem waren staatliche Organe und die öffentliche Verwaltung von vielen KRITIS-Pflichten ausgenommen. Mit NIS2 und KRITIS-Dachgesetz wird die Bundesverwaltung ab 2024 nun etwas mehr reguliert – es bleiben aber immer noch Lücken.

Während die EU-Direktive NIS2 große Teile der Regierung in mehreren Ebenen reguliert, gibt es im Bundesgesetz dafür viele Ausnahmen. Länder und Kommunen sind nicht explizit vom deutschen NIS2-Umsetzungsgesetz benannt, es soll aber NIS2-Landesgesetze geben.

eigene Zusammenstellung Stand März 2024
Ebene	Einrichtungen	Out of scope (wahrscheinlich)
Bund	Stellen des Bundes Körperschaften, Anstalten des öffentlichen Rechts Öffentliche IT-Dienstleistunger Bund Bundesministerien Bundeskanzleramt	Sicherheitsbehörden des Bundes Strafverfolgungsbehörden Nationale Sicherheit Institutionen soziale Sicherung Geschäftsbereich Verteidigung
Länder	wartet auf Landesgesetze	Landesregierungen, Landesministerien Öffentliche Verwaltung Landesebene Landesbehörden IT-Dienstleister und Rechenzentren Strafverfolgung und Polizeien der Länder Hochschulen und Bildungswesen
Kommunen	Kommunale Eigenbetriebe (AöR, GmbH, ...) Stadtwerke, Heizkraftwerke Krankenhäuser und Gruppen Entsorger Wasser- und Abwasserwerke IT-Dienstleister und Rechenzentren	Kommunale Verwaltung und Regierung Ämter, Stadthäuser, Zentren Kommunale Behörden Feuerwehr Kommunale Polizei, Stadtpolizei Schulen, Volkshochschulen Betreuuung Unklar: Kommunale Zweckverbänden

Einreichung von Nachweisen in KRITIS-Prüfungen

Von Hanna Lurz am 1. März 2024

KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cybersecurity Maßnahmen in ihren KRITIS-Anlagen alle zwei, bald alle drei Jahre durch KRITIS-Prüfungen nachweisen. In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel, die als Teil der Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen.

Im Abschluss der Prüfung kommt es dabei häufig zu Nachfragen und Nachforderungen durch das BSI, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte:

Die verbindlichen GAiN-Anforderungen müssen berücksichtigt werden.
Nachweise müssen die Prüfung von Systemen zur Angriffserkennung enthalten.
Alle Nachweisunterlagen müssen pünktlich eingereicht werden und vollständig sein: Formular KI und P, Anlagen PD.A, PD.B, PE.A, PS.A, PD.C und ggf. optionale
Nachweisdokumente müssen in Deutsch eingereicht werden; Bericht kann Englisch sein.
Die Unabhängigkeit der Prüfer wird durch die prüfenden Stellen geprüft.
Einreichung per Melde- und Informationsportal (MIP) oder Mail (S/MIME).

Zur erfolgreichen Einreichung veranstaltet das BSI auch eine Videokonferenz am 5. März 2024 unter dem Titel Nachweise gemäß § 8a Abs. 3 BSIG “ We have a dream …” (mit Anmeldung).

Meldepflichten in der NIS2-Umsetzung

Von Hanna Lurz am 22. Februar 2024

Mit der deutschen NIS2-Umsetzung kommen ab Ende 2024 auf betroffene Einrichtungen viele neue Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen – in Umfang, Fristen und Pflichten.

Besonders wichtige Einrichtungen, Betreiber kritischer Anlagen und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Meldepflichten durch das KRITIS-Dachgesetz an das BBK kommen noch dazu.

Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, innerhalb von 24h
Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung) innerhalb 72h
Zwischenmeldungen auf Nachfrage des BSI
Abschlussmeldung innerhalb eines Monats mit Ursachen, Maßnahmen, Auswirkungen
Alternativ eine Statusmeldung, falls der Vorfall noch andauert
Betreiber kritischer Anlagen mit Zusatzpflichten
Sektor Finanzen, Versicherung, IT und TK, Digitale Dienste mit Zusatzpflichten

Die verschiedenen Arten von Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: Es gibt erhebliche Sicherheitsvorfälle, Sicherheitsvorfälle, Beinahevorfälle und erhebliche Cyberbedrohungen, die in den Meldepflichten eine Rolle spielen. Diese Vorgaben können durch Rechtsverordnung (BMI) oder einen Implementing Act (EU) angepasst werden.

Je nach Sektor und Vorfallsart, müssen manche Einrichtungen zusätzlich zum BSI auch die Kunden ihrer Dienste über erhebliche Sicherheitsvorfälle und erhebliche Cyberbedrohungen informieren – teils inklusive Gegenmaßnahmen.

Umsetzung von NIS2 in EU-Mitgliedsstaaten

Von Henri Jäger am 2. Februar 2024

EU-Mitgliedsstaaten müssen EU NIS2 bis Oktober 2024 in nationales Recht umsetzen. Fast alle EU-Länder arbeiten an der Umsetzung — der Umsetzungsstand variiert jedoch stark zwischen den EU-Staaten. Die Gesetzgebung in einigen Ländern ist bereits weiter fortgeschritten und befindet sich im öffentlichen Diskurs, so u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien.

Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.

Status	Länder
Informationen zu EU NIS2 vorhanden	Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien
Wenig zu NIS2 auffindbar	Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn, Zypern

Der Artikel zu NIS2 in EU-Mitgliedsstaaten fasst unsere Erkenntnisse im Januar 2024 zusammen. Die Informationslage ist eher uneinheitlich — bei vielen Ländern haben wir keine und nur sehr wenige öffentlichen Informationen gefunden. Ergänzungen und Aktualisierungen folgen.

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

Webinar EU NIS2 Implementation in EU Countries

Von Paul Weissmann am 16. Januar 2024

Wie wird EU NIS2 in der EU umgesetzt? Und wie gehen Mitgliedsstaaten die nationalen Gesetze zur Umsetzung von NIS2 an? Im OpenKRITIS-Webinar am 27. Februar 2024 besprechen wir EU NIS2 und die Umsetzung in ausgewählten EU Member States – Belgien, Deutschland, Finnland, Kroatian, Tschechien.

Unterschiede in den NIS2-Pflichten: Registrierung, Meldewesen, Sicherheitsmaßnahmen
Aktueller Status der Umsetzung und Zeitleiste für 2024
Behörden und Zuständigkeiten für NIS2
Nationale Gesetzgebung in: BE, DE, CZ, FI, HR

Es gibt so viele nationale Unterschiede in der Umsetzung der Registrierung, Audit-Pflichten, Befugnisse von Behörden — und viel Unklarheit, welche Pflichten wo und wann verbindlich werden. All das im freien OpenKRITIS-Webinar am 27. Februar 2024, auf Englisch. Registrierung über LinkedIn, Durchführung per Teams.

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

KRITIS-Dachgesetz – der zweite Entwurf

Von Paul Weissmann am 2. Januar 2024

Ende Dezember 2023 wurde der zweite Entwurf vom KRITIS-Dachgesetz veröffentlicht. Das KRITIS-DachG wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken und setzt die EU CER-Richtlinie (EU 2022/2557) um. Unter das Gesetz fallen ab 2024 die Betreiber kritischer Anlagen, ex-KRITIS, mit zusätzlichen Resilienz-Pflichten.

Auch im zweiten Entwurf vom DachG sind die Vorgaben und Fristen für Betreiber eher milde. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen treten erst 2026 in Kraft. Im Entwurf von Dezember wurden einige Vorgaben angepasst, reduziert und mit NIS2 harmonisiert:

Betreiber: Die parallele Definition der Einrichtungen (NIS2) wurde entfernt
Sektoren: Definitionen wurden mit der NIS2-Umsetzung harmonisiert
Nachweise: Keine reguläre Nachweispflicht mehr für Betreiber
Registrierung: Frist zur eigenen Registrierung beim BBK erst nach drei Monaten
BBK und BSI: Mehr Harmonisierung gemeinsamer Abläufe mit dem BSI
Staat: Deutliche Einbindung von Landesbehörden
Kritische Komponenten wurden gestrichen
Verantwortung für Geschäftsleiter wurde aufgenommen (à la NIS2)

Die Bundesregierung schätzt für die Wirtschaft einen jährlichen Erfüllungsaufwand im hohen dreistelligen Millionenbereich. Der Entwurf nimmt an, dass 1.300 Betreiber kritischer Anlagen über keine ausreichende physische Resilienz verfügen. Die Kosten für Resilienz-Vorgaben seien zehn Mal so hoch wie für Vorgaben zu IT-Sicherheit.

Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder und Einmalaufwand von 6 Mio EUR. Neue Planstellen sind noch unklar.

NIS2-Umsetzung und Werkstattgespräch

Von Paul Weissmann am 15. November 2023

Im Oktober fand ein Werkstatt-Gespräch zwischen Innenministerium und Wirtschaftsverbänden zur NIS2-Umsetzung statt. Besprochen wurde das Diskussionspapier zum NIS2-Umsetzungsgesetz und diverse Änderungswünsche.

Entschärfte der Gesetzesentwurf aus September 2023 im Diskussionspapier die NIS2-Anforderungen in Deutschland schon deutlich, gab es nun viele weitere Kommentare. In den öffentlichen Folien vom BMI zum Gespräch in der Werkstatt sind nun die Reaktionen des Bundes zu diesen Wünschen enthalten.

Bemerkenswerte Aspekte aus den Folien: Prüfungen sollen nur noch alle drei Jahre für Betreiber kritischer Anlagen stattfinden – für Einrichtungen soll es keine Nachweispflicht, dafür eine mögliche Dokumentationspflicht geben. Generell soll der Scope der §30 NIS2-Sicherheitsmaßnahmen das ganze Unternehmen umfassen.
Diverse Vorschläge hat das Innenministerium laut Folien abgelehnt. So ist es gegen den generellen Ausschluss kleiner und mittlerer Unternehmen sowie konzerneigener IT-Dienstleister. Es ist aber auch gegen die Aufnahme von Kommunen und Ländern in die NIS2-Regulierung. Weiterhin sollen die Meldefristen nicht verlängert werden und die Size-cap-Regeln zur Größenbestimmung nicht weiter angepasst (beschnitten) werden.
Sonst noch relevante Änderungen und Anpassungen: Definitionen sollen harmonisiert werden (zu Gesetzen, Branchen) und einige Formalien und Vorgaben am Rande des Gesetzes klargestellt werden. Die besonderen Anforderungen an kritische Anlagen sollen auf den Unternehmensteil beschränkt bleiben (die Prüfungen aber nicht?).
Es sind weiterhin keine Übergangsfristen in der NIS2-Umsetzung erkennbar!
– und vieles mehr

Aber, viele Aspekte der NIS2-Umsetzung blieben zumindest in den Folien unbesprochen:

Unterschiedliche Sektordefinitionen bei Einrichtungen und Betreibern kritischer Anlagen
Aufnahme der §30-Maßnahmen in TKG und EnWG und konkrete Ausgestaltung mit weiterführenden Sicherheitskatalogen
Konkretisierung der §30 Maßnahmen für Cloud-Provider & Co. im EU Implementing Act
Klärung, wann die (neuen) Nachweispflichten beginnen – wirklich erst 2027?
Ändern sich die bisherigen Anlagen und Schwellenwerte für KRITIS noch in NIS2?
Was ist mit Versicherungen (und dem Finanzsektor) in NIS2?

Die Änderungen sollen in einem weiteren Referentenentwurf für die NIS2-Umsetzung an verarbeitet werden; zusätzlich stehen auch noch weitere KRITIS-Verordnung(en) aus.

Verarbeitendes Gewerbe in NIS2

Von Paul Weissmann am 27. Oktober 2023

Der Sektor verarbeitendes Gewerbe gehört ab 2024 zur deutschen NIS2-Regulierung. Mit EU NIS2 werden die schützenswürdigen Wirtschaftssektoren sehr viel weiter als klassische Kritische Infrastrukturen gefasst. Ein großer Teil der EU-Wirtschaft muss bald Cybersecurity und Risiko-Management umsetzen – darunter auch Industrie und Produktion.

Breit gefasst, umfasst der Sektor verarbeitendes Gewerbe viele Güterklassen nach NACE:

Herstellung Medizinprodukte und In-vitro-Diagnostika
Herstellung von DV-Geräten, Elektronik und Optik (NACE C 26 und 27)
Maschinenbau (NACE C 28)
Herstellung von Kraftwagen und Teilen (NACE C 29)
Sonstiger Fahrzeugbau (NACE C 30)

Darin verbirgt sich eine Vielzahl an Produzenten in Deutschland, die als wichtige Einrichtung ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz reguliert werden; ein paar Beispiele:

Uhren (in 26.52), Ferngläser und Beamer (in 26.70)
Glühlampen, Leuchtrohre (in 27.40), Geschirrspülmaschinen und Dosenöffner (in 27.51)
Sanitärarmaturen (in 28.14), Kugel- und Rollenlager (in 28.15), Rasenmäher (in 28.30)
PKW, Betonmischwagen, Gokarts (in 29.10), Wohnanhänger (in 29.20), Zündkerzen und Fensterheber (in 29.31), Auspuffrohre und Stoßdämpfer (in 29.32)
Frachtschiffe (in 30.11), Jet Ski, Ruderboote und Kanus (in 30.12), Lokomotiven, Personenwagen, Zughaken (30.20), Flugzeuge und Raumfahrzeuge (30.30)

Neben dem verarbeitenden Gewerbe gibt es in NIS2 weitere neue Sektoren: Chemie, Digitale Dienste, Forschung (Institute) und Weltraum (Bodeninfrastruktur).

Das NIS2-Diskussionspapier des BMI

Von Paul Weissmann am 1. Oktober 2023

Ende September veröffentlichte das Innenministerium ein Diskussionspapier der NIS2-Umsetzung. Dieser dritte nun bekannte Gesetzesentwurf schreibt einige Anforderungen teils deutlich um. Der Entwurf zum Dialog mit der Wirtschaft enthält grundlegende Änderungen und Erleichterungen der NIS2-Vorgaben.

Nachweise: Nachweisprüfungen werden auf Betreiber kritischer Anlagen (KRITIS) beschränkt, nun in einem 3-Jahres-Zyklus. Besonders wichtige und wichtige Einrichtungen sollen regulär nun doch keine Nachweise mehr erbringen.
Unternehmen: Die Definitionen der Gruppen und Unternehmensgrößen wurden vereinfacht, bleiben im Kern aber bestehen. Es gibt einige widersprüchliche Ausnahmen der Betroffenheit bei Kreditinstituten.
Sektoren: Für Einrichtungen wurden die Sektoren nun definiert. Die Industrie bleibt weitflächig betroffen mit Maschinenbau, Chemie, Kfz, es gibt aber einige Änderungen zu NIS2 und KRITIS. Versicherungen fehlen, die ex-UBI auch.
Fristen: Das Gesetz soll im März 2024 verkündet und wie geplant Oktober 2024 in Kraft treten. Es sind keine Übergangsfristen zur Umsetzung ersichtlich.
Formelles: Der Entwurf enthält nur einen Teil der Paragraphen vom Gesetz, dafür einige Lücken. Es wird weniger auf neue Rechtsverordnungen verwiesen bzw. ausgelagert.

Die vereinfachten Definitionen erleichtern das Gesetz und entschärfen die Sicherheitsvorgaben teils deutlich. Vor dem Hinblick der Tausenden neuen Einrichtungen wird so sicherlich Last von Betreibern, Einrichtungen, Prüfern und auch Behörden genommen.

Unbenommen der Nachweise bleibt aber die Pflicht zur Umsetzung der Maßnahmen für nach wie vor einen Großteil der Wirtschaft in vielen Wirtschaftssektoren. Ob die Änderungen so Bestand haben, wird sich in den nächsten Monaten zeigen.

Mehr im Artikel zum NIS2-Umsetzungsgesetz.

Ergebnisbericht Wirksamkeit der IT-Sicherheitsgesetze

Von Henri Jäger am 5. Oktober 2023

Das BSI hat gerade die Ergebnisse einer Befragung von KRITS-Betreibern veröffentlicht. Die Studie hat die IT-Sicherheitsgesetze der vergangenen Jahre in ihrer Wirksamkeit untersucht. Befragt wurden regulierte Großunternehmen und KMUs. Von diesen KRITIS-Unternehmen betrieb jedes fünfte Anlagen, die (auch) vom EnWG oder das TKG reguliert werden.

Trotz aller Schwierigkeiten wie geringem Budget, Personalmangel und komplexer Gesetze scheinen es Betreiber zu schaffen, die Regulierung und KRITIS-Prüfungen zu bestehen. Einige der Einzelerkenntnisse aus der Befragung:

Hindernisse: Personalmangel und fehlende finanzielle Mittel bremsen die Umsetzung von gesetzlichen Anforderungen nach Angaben der Befragten am stärksten aus. Im Durchschnitt werden 14 Prozent vom gesamten IT-Budget für IT-Sicherheit aufgewendet. Nur jedes dritte Unternehmen bezeichnet diesen Anteil als ausreichend.
Cybersecurity: Die Mehrheit der Befragten hat bereits erste Maßnahmen umgesetzt, die auch in der kommenden NIS2-Umsetzung und KRITIS-DachG gefordert werden. Besonders hoch sei der Umsetzungsgrad bei auffällig spezifischen Themen wie Zugangskontrollen, Identitätsmanagement, MFA, und Notstromversorgung.
Roadmaps: Etwa 50 Prozent der Nicht-EnWG/TKG-Unternehmen will die IT-SiG 2.0-Maßnahmen bis Ende 2024 (!) umgesetzt haben. 45 Prozent gehen davon aus, dass sie noch länger brauchen.
Kosten: Die tatsächliche Umsetzung der Anforderungen scheitert am häufigsten an den Kosten für die Anpassung der IT-Systeme und Prozesse.
Prioritäten: 8 von 10 Nicht-EnWG/TKG-Betreibern haben Projekte für IT-Sicherheit zeitlich vorgezogen aufgrund der geänderten IT-Sicherheitsgesetzgebung. Steigt die Regulierung, steigt die Relevanz von IT-Sicherheit.
BCM und Lieferketten: Die Umsetzung für BCM-Maßnahmen und Kontrollen von Lieferanten, Dienstleistern und Dritten ist bei Nicht-EnWG/TKG-Betreibern am geringsten — unabhängig vom allgemeinen Umsetzungsgrad des Unternehmens.

Insgesamt bewertet der Ergebnisbericht die Wirksamkeit der IT-Sicherheitsgesetze zwar als gut, die Umsetzung der KRITIS-Anforderungen leide aber an fehlendem Personal und finanziellen Ressourcen und begründet sich häufig in unzureichender Kenntnis der Gesetze.

Letzteres läßt mit Blick auf die bevorstehende NIS2-Umsetzung von über 20.000 weiteren Unternehmen, die bisher keine Erfahrungen mit dem IT-Sicherheitsgesetz gemacht haben, nicht nur Gutes erahnen. Viele der jetzt defizitären Themen gewinnen mit NIS2 deutlich an Relevanz.

Abfallentsorgung endlich in KRITIS

Von Paul Weissmann am 27. September 2023

Der KRITIS-Sektor Siedlungsabfallentsorgung ist nun in der KRITIS-Regulierung definiert. Mit dem IT-Sicherheitsgesetz 2.0 wurden Entsorger, Recycling-Unternehmen und kommunale Betriebe potenziell zu KRITIS-Betreibern. Die Definitionen der Anlagen wurden nun, zwei Jahre später, in der KRITIS-Verordnung als Entwurf konkretisiert.

Die Verordnung definiert im Sektor die kritische Dienstleistung (kDL) Entsorgung von Siedlungsabfällen mit zwei Bereichen Sammlung und Beförderung und Verwertung und Beseitigung. Ab 2024 werden Unternehmen im Sektor zu KRITIS-Betreibern, wenn sie auf ihren Anlagen KRITIS-Schwellenwerte überschreiten:

Nr.	Anlage	Beispiele
1.	Sammlung und Beförderung
1.1	Disposition Sammlung oder Beförderung	Disposition, Flottenmanagement oder ERP-Systeme
1.2	Lagerung, Zwischenlagerung, Umladung	Zwischenlager oder Umladestationen
2.	Verwertung und Beseitigung
2.1	Thermische Behandlung	Müllverbrennungsanlagen (MVA) oder Ersatzbrennstoffkraftwerke (EBS-Kraftwerke)
2.2	Mechanisch-biologische oder mechanisch-physikalische Behandlung	Mechanisch-biologische Abfallbehandlungsanlagen (MBA), mechanisch-biologische Stabilisierungsanlagen (MBS) oder mechanisch-physikalische Abfallbehandlungsanlagen (MPS)
2.3	Biologische Behandlung	Kompostierungs- und Vergärungsanlagen
2.4	Mechanische Behandlung	Zerkleinerung, Klassierung, Sortierung, Pressung und Palettierung
2.5	Sortierung	Sortieranlagen

Die Schwellenwerte sind etwas kompliziert gestaltet und orientieren an 500 Tsd. Personen:

Abfall	Schwellenwert	pro Kopf
Rest/gemischter Gewerbeabfall	79,5 Tsd. t pro Jahr	159 kg Rest- oder Hausmüll
Bioabfall	33,5 Tsd. t pro Jahr	67 kg Abfall aus der Biotonne
LVP-/Kunststoffabfall	18,5 Tsd. t pro Jahr	35 kg Leichtverpackungen + 2 kg Kunststoff
PPK-Abfall	32,5 Tsd. t pro Jahr	65 kg Papier, Pappe, Karton
Glasabfall	12 Tsd. t pro Jahr	24 kg Glas

Der Gesetzgeber geht von 300 zusätzlichen KRITIS-Betreiber im Sektor Entsorgung aus. Die Verordnung soll zum 1. Januar 2024 in Kraft treten, die Betroffenheit muss für die Vorjahre jeweils zum 31. März ermittelt werden und Betreiber sich zum 1. April beim BSI registrieren.

Referentenentwurf KRITIS-Verordnung

Von Henri Jäger am 26. September 2023

Das Innenministerium hat gerade den Referentenentwurf zur vierten Änderungsverordnung der KRITIS-Verordnung veröffentlicht. Die Verordnung definiert in der KRITIS-Regulierung die betroffenen KRITIS-Sektoren, Anlagen und Schwellenwerte – die jüngste Änderung, die vierte seit 2016, schließt im aktuellen Entwurf einige Lücken:

Siedlungsabfallentsorgung kommt als KRITIS-Sektor, wie im IT-Sicherheitsgesetz 2.0 in 2021 definiert, hinzu. Betreiber müssen nun das Überschreiten von Schwellenwerten in diesem Jahr bis zum 31. März 2024 ermitteln. Sind sie betroffen, müssen sie ihre Anlage zum/ab dem 1. April 2024 als Kritische Infrastruktur registrieren.
Im Sektor Energie umfasst Gashandel nun auch Kapazitätshandel und Stromhandel wird zum Elektrizitätsmarkt, dessen Schwellenwert auf 46,3 TWh steigt.
Verwaltungs- und Zahlungssysteme der gesetzlichen Kranken- und Pflegeversicherung sind nun schon ab 500 Tsd. Versicherten betroffen — zuvor bei 3 Mio. Versicherten.
Der Gesetzgeber geht von 320 zusätzlichen Betreibern aus, davon 300 in der Entsorgung und 20 im Versicherungswesen.

In den kommenden Tagen sind Verbände aufgefordert, zur Änderungsverordnung Stellung zu nehmen. Die Verordnung soll zum 1. Januar 2024 in Kraft treten.

Prüfungen in NIS2 und Dachgesetz

Von Paul Weissmann am 24. Juli 2023

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz kommen neue Nachweispflichten auf über 8.000 Unternehmen in den nächsten Jahren zu. In NIS2 muss Cybersecurity alle zwei Jahre nachgewiesen werden, im KRITIS-Dachgesetz Resilienz ebenfalls alle zwei Jahre.

Es wird komplex – mit Tausenden Prüfungen jährlich:

Nachweise	KRITIS-Betreiber	Betreiber kritischer Anlagen		Besonders wichtige Einrichtung	Wichtige Einrichtung
Gesetz	BSIG	NISUmsuCG	DachG	NISUmsuCG	NISUmsuCG
Zeitraum	aktuell	ab 2024-28	ab 2026	ab 2024-28	-
Pflicht	§8a (3)	§34 (1) §39 (2)	§11 (8)	§34 (1)	-
Form	Nachweisprüfung	Audits & Co.	Audits	Audits & Co.	-
Inhalt	IT-Sicherheit SzA	IT-Sicherheit+ Meldepflicht SzA	Resilienz Meldepflicht	IT-Sicherheit+ Meldepflicht	-
Scope	KRITIS-Anlage	Kritische Anlage	Kritische Anlage	Unternehmen?	-
Frequenz	alle zwei Jahre	alle zwei Jahre	alle zwei Jahre	alle zwei Jahre	-
Empfänger	BSI	BSI	BBK	BSI	-

Die Zeitleiste der Audits hängt vom Inkrafttreten der Gesetze ab. Die bisherigen KRITIS-Prüfungen bleiben vorerst bestehen, sicherlich mit Übergangsfristen und Synchronisation. Den Zeitpunkt der ersten Nachweise legen BSI (NIS2) und BBK (DachG) fest – zwischen 2024 und 2028 in NIS2 und ab 2026 für DachG.

Neuerungen im zweiten NIS2-Referentenentwurf

Von Hanna Lurz am 21. Juli 2023

Seit Mitte Juli ist der zweite Referentenentwurf vom NIS2-Umsetzungsgesetz publik, mit einigen Auffälligkeiten und Änderungen zum letzten Entwurf von April 2023.

Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnismäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte und Bewertungen des BSI berücksichtigen.
Die Frist für erstmalige Nachweise nun (spätestens) vier Jahre nach Inkrafttreten.
Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
Die angestrebte Vereinfachung und Zentralisierung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst.

In der NIS2-Umsetzung wird keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen, eine Evaluierung erübrige sich durch die NIS-2-Umsetzung.

Referentenentwurf vom KRITIS-Dachgesetz

Von Paul Weissmann am 19. Juli 2023

Das KRITIS-Dachgesetz erweitert die Regulierung Kritischer Infrastrukturen ab 2023 um Resilienz und physische Sicherheit bei kritischen Betreibern. Basierend auf EU RCE/CER betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die mehr Maßnahmen für BCM, Risiko- und Krisenmanagement und physische Sicherheit umsetzen müssen.

Im aktuellen Referentenentwurf von Juli 2023 gibt es dazu eher milde Vorgaben und Fristen:

Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS).
Sektoren: Die bisherigen KRITIS-Sektoren der kritischen Anlagen werden reguliert, mit einigen Erweiterungen und Ausschlüssen – u.a. IT, TK, Finanzen und Versicherungen.
Resilienz: Konkrete Resilienz-Vorgaben für Betreiber wie Krisen- und Risikomanagement, BCM, Personalsicherheit, physische Sicherheit.
Aufsicht: Die KRITIS-Aufsicht wird um das BBK erweitert, das Nachweise, Meldungen und Registrierungen erhalten soll. Gemeinsame Lösungen mit BSI sind geplant.
Sanktionen: Es gibt eine Liste mit Verstößen, die Bußgelder sind noch nicht definiert.
Risiken: Nationale und Betreiber-Risiken der Wirtschaftsstabilität spielen eine große Rolle für Betreiber, das BBK (und die EU).

Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 in Kraft. Trotz allem kommen auf einige Betreiber zusätzliche Maßnahmen zu.

Eine ausführliche Analyse dazu im Artikel zum KRITIS-Dachgesetz.

Evaluierung des IT-Sicherheitsgesetzes 2.0

Von Hanna Lurz am 22. Juni 2023

Im Mai 2023 hat das Innenministerium den gesetzlich geforderten Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0 vorgelegt. Der Bericht ist mit fünfzehn Seiten eher kurz und enthält neben der eigentlichen Bewertung des IT-Sicherheitsgesetzes diverse Hintergrundinformationen zu Historie und Inhalt der Regulierung.

Input für die Evaluierung war eine Online-Befragung des BSI unter KRITIS-Betreibern mit knapp 400 Unternehmen und mögliche Stellungnahmen auf eine Anfrage von BMI und BSI durch UP KRITIS, Fachverbände, Universitäten, Forschungseinrichtungen, das IDW etc. Wer tatsächlich teilgenommen hat, ist nicht klar. Die Kernergebnisse laut Evaluierung sind:

Grundsätzlich erfüllt das IT-Sicherheitsgesetz seinen Zweck. Aus der Betreiber-Umfrage lässt sich ein besonders hoher Einfluss der gesetzlichen Regulierung auf die Umsetzung organisatorischer Sicherheitsmaßnahmen erkennen: anders als technische Maßnahmen, die mancherorts schon vor dem ersten IT-SiG in Teilen umgesetzt waren, wurden insbesondere organisatorische Sicherheitsmaßnahmen mehrheitlich erst zwischen 2015 bis 2020 realisiert. Auch zwischen der Vertrautheit mit dem IT-SiG und dem Umsetzungsstand der gesetzlichen Vorgaben lässt sich ein Zusammenhang beobachten: In Unternehmen, die die Gesetzgebung und die Anforderungen „Absicherungen nach dem Stand der Technik“ und zur Nachweispflicht nicht gut kennen, ist der Umsetzungsstand auch überdurchschnittlich häufig niedriger.
Betreiber wünschen sich in verschiedenen Bereichen Vereinfachungen, z. B. in der Nachweiserbringung, der Meldung von Sicherheitsvorfällen, der Zusammenarbeit zwischen BSI und Betreibern, der geteilten Regulatorik zwischen BSI und BNetzA etc. Auch ist eine Vereinheitlichung von Begrifflichkeiten insbesondere im Hinblick auf die kommende NIS2-Umsetzung in Deutschland gewünscht.
Das BMI hebt hervor, dass im Zuge aktueller und künftiger Regulatorik wie DORA-, CER- und NIS2-Richtlinie besonders auf Übersichtlichkeit und pragmatische Umsetzung Wert gelegt werden sollte, um die betroffenen Unternehmen nicht zu frustrieren, sondern die Erhöhung der Sicherheitsniveaus weiter voranzutreiben.

Mehr zu den Ergebnissen der Evaluierung im Artikel zum IT-Sicherheitsgesetz 2.0.

Entwurf des Gesetzes zur Umsetzung von EU NIS2

Von Hanna Lurz am 18. Mai 2023

Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindeststandards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.

Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:

Erweiterter Kreis betroffener Unternehmen durch besonders wichtige und wichtige Einrichtungen, neben den Betreibern kritischer Anlagen (ex-KRITIS)
Erweiterte Sektoren in Deutschland analog zu NIS2
Cybersecurity-Pflichten für Betreiber, z. B. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen, Governance
Staatliche Aufsicht und Registrierungs-, Nachweis- und Meldepflichten
Erweiterte Bußgeldtatbestände und -höhen

Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.

Grundsätzliche Anforderungen Prüfungen §8a (5) BSIG

Von Paul Weissmann am 17. Mai 2023

Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.

Normativ geregelt werden:

Unabhängigkeit der prüfenden Stelle und Prüfer, Anforderungen an interne Revisionen
4-Augen-Prinzip in einzelnen Prüfschritten
Prüfberichte - Form, verbindliche Inhalte und Umgang in der Prüfung
Geltungsbereich (bestehende G/N-Anforderungen nun normativ)
Prüfung der Mängelliste, Umgang Altmängel, Prüfung Umsetzungsplan
Nutzung der BSI-Vorlagen für Nachweise

Umsetzung ab 1.6.2023 (in zwei Wochen!), einige Anforderungen erst ab 2024.
Mehr zu den Anforderungen im Artikel zu GAiN §8a (5) BSIG

Systeme zur Angriffserkennung in 2023

Von Paul Weissmann am 3. Mai 2023

Seit dem 1. Mai müssen KRITIS-Betreiber den Einsatz von Systemen zur Angriffserkennung im KRITIS-Geltungsbereich nachweisen. Im BSI-Gesetz seit 2021 vorgegeben (§8a Abs. 1a), konkretisiert die Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) seit letztem Jahr die genauen Anforderungen an Betreiber.

Gefordert wird in der OH SZA eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion auf Cyberangriffe in der KRITIS-Anlage. Erste Erfahrungen aus der Praxis zeigen, dass sich intensive Vorbereitung in der Umsetzung und Prüfungen von SzA auszahlt.

Aus der OpenKRITIS-Keynote im Angriffserkennungs-Track vom CSK-Summit am 3. Mai.

Orientierungshilfe Angriffserkennung OH SzA

Austausch zu den neuen BSI-Anforderungen für Angriffserkennung
Webinar ∙ CSK-Summit <kes> Keynote ∙ 3. Mai 2023

KRITIS und Energiebetreiber nach EnWG

Von Hanna Lurz am 28. April 2023

Manche KRITIS-Betreiber im Energiesektor werden ausschließlich durch §8a BSIG reguliert, andere fallen neben der KRITIS-Regulierung auch unter §11 EnWG oder das ATG. Dies hängt von der betriebenen KRITIS-Anlage ab — mit unterschiedlichen Anforderungen bei Energieanlagen, Energieversorgungsnetzen (beide Sicherheitskatalog), Kernkraft und weiteren.

KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 EnWG unterliegen (§8d (2) Nr. 2. BSIG), müssen keine KRITIS-Maßnahmen nach §8a BSIG umsetzen oder prüfen lassen. Für diese KRITIS-Betreiber gilt das Energiewirtschaftsgesetz (EnWG).

Betreiber von Energieversorgungsnetzen (Strom- und Gasnetze) müssen ihre IT/OT/TK für den Netzbetrieb schützen: IT-Sicherheitskatalog gemäß §11 Abs. 1a EnWG.
Betreiber von Energieanlagen (Erzeugung, Speicherung, Förderung) müssen IT/OT/TK für den Anlagenbetrieb schützen: IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG.
Sicherheitsvorfälle mit Auswirkungen sowie Vorfälle mit potentiellen Auswirkungen müssen gemeldet werden.
Betreiber müssen die von ihnen betriebene Anlage beim BSI registrieren und einen Sicherheitsbeauftragen als Kontaktstelle benennen.
Spätestens zum 1. Mai 2023 müssen Betreiber Systeme zur Angriffserkennung einsetzen und gegenüber dem BSI nachweisen.
Es sollen noch kritische Komponenten sowie kritisch bestimmte Funktionen nach BSIG definiert werden (Mai 2023), die dann besonderen Auflagen unterliegen.

KRITIS-Betreiber und nun? Webinar zu NIS2, RCE & co.

Von Paul Weissmann am 27. März 2023

Was bedeutet EU NIS2 für Unternehmen? Und was kommt ab 2023 noch auf Kritische Infrastrukturen zu? Im OpenKRITIS-Webinar am 30. März zu KRITIS 2023-24 besprechen wir EU NIS2, CER und KRITIS-Dachgesetz – und die Auswirkungen auf KRITIS-Betreiber.

Wer gehört ab 2024 zu den (Tausenden) neuen Betroffenen durch NIS2 und CER?
Was passiert bis dahin in der deutschen KRITIS-Regulierung?
Security, Resilienz, Supply Chain Sicherheit – was noch?
Und was bedeutet das für mich als Unternehmen und Dienstleister?

Viele Unternehmen fallen ab 2024 unter mehrere Regulierungen – der Gesetzgeber wird viele Fragen zu Definitionen, Überschneidungen und Vorrangsregelungen zu klären haben. All das im freien OpenKRITIS-Webinar am 30.3. und 13.4. Die aktualisierten Folien aus dem Webinar vom 13.4. sind nun online (PDF).

KRITIS-Betreiber und nun? EU NIS2, CER und Dachgesetz

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ April 2023 ∙ OpenKRITIS-Briefing

KRITIS-Verordnung 1¾: LNG und Seekabel auch KRITIS

Von Paul Weissmann am 9. März 2023

Mit der 3. Verordnung zur Änderung der BSI-Kritisverordnung von 1. März 2023 sind ab diesem Jahr LNG-Anlagen und Seekabelanlandestationen als Kritische Infrastruktur zwischen Land und See nun auch KRITIS. Die KRITIS-Verordnung 1.75 ändert genau diesen beiden Sektoren:

KRITIS-Sektor Energie: LNG-Anlagen (2.2.4) zur Verflüssigung oder Einfuhr, Entladung und Wiederverdampfung
KRITIS-Sektor IKT: Seekabelanlandestation (1.2.2) zur Anbindung von Seekabeln (Sprache/Daten) an landgestützte TK-Netze

Entsprechende Anlagen könnten mit den Stichtagen 31.3. und 1.4. noch dieses Jahr KRITIS werden mit allen Pflichten von KRITIS-Betreibern.

Who is who in KRITIS, EU NIS2 und RCE

Von Paul Weissmann am 21. Februar 2023

Wer sich bei KRITIS, NIS2 und RCE fragt, welche Unternehmen zu welcher Gruppe von regulierten Kritischen Infrastrukturen gehörden – die Auflösung im Factsheet zu EU NIS2.

KRITIS reguliert in 8 Sektoren nach Anlagenlogik kritische Teile von Betreibern mit Security, Nachweisen, Audits und Sanktionen.
KRITIS-Dachgesetz wird in 10 bis 12 Sektoren physische Sicherheit und Resilienz vorschreiben, mit Meldepflichten ans BBK.
EU NIS2 reguliert in 18 Sektoren bei mittleren und großen Betreibern die Security mit hohen Sanktionen (GDPR-like) und weiteren Meldepflichten.
EU RCE reguliert in 11 Sektoren bei Betreibern nach nationaler Kritikalität physische Sicherheit und Resilienz, und betrachtet auch EU-Betroffenheit.

Viele Unternehmen könnten unter mehrere Regulierungen, Meldepflichten und Vorgaben fallen. Der Gesetzgeber wird bis spätestens Herbst 2024 viele Fragen zu Definitionen, Überschneidungen und Vorrangsregelungen zu klären haben.

EN EU NIS2 and RCE: Security and Resilience in Infrastructures

Fact Sheet: Pflichten, Sektoren, Betreiber in NIS2 und RCE (CER)
English ∙ PDF ∙ ⚡ Februar 2023 ∙ OpenKRITIS-Briefing

Size-Cap in EU NIS 2 für Betreiber

Von Paul Weissmann am 8. Februar 2023

EU NIS2 reguliert zwei Gruppen von Betreibern, die in achtzehn Sektoren in der EU Services erbringen und nach Größe reguliert werden. Die Betroffenheit der Essential und Important Entities wird in NIS 2 nach size-cap Regel über Umsatz und Größe festgestellt:

Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz

Essential Entities: Große Betreiber aus Essential Sektoren A und bestimmte Betreiber und Branchen unabhängig der Größe: Digitale Infrastruktur aus A, Öffentliche Verwaltung aus A, Sonderfälle aus A und B, Critical Entities, die unter EU RCE/CER fallen und Bisherige Entities, die bis Januar 2023 von voriger Regulierung betroffen waren.

Important Entities: Große Betreiber aus Important Sektoren B, mittlere Betreiber aus allen Sektoren B und A sowie Sonderfälle aus B und A.

NIS2 Sektoren sind A Essential Sektoren (Annex I) und B Important Sektoren (Annex II).

EU NIS 2 und RCE-Sektoren

Von Paul Weissmann am 23. Januar 2023

Die EU-Direktiven NIS2 und RCE für Kritische Infrastrukturen sind in Kraft und definieren beide Listen von Wirtschaftssektoren, die bis 2024 von Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.

NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.

Kategorie	Sektoren
Essential	Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management, Öffentliche Verwaltung, Raumfahrt
Important	Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie, Digitale Dienste, Forschung

In allen Sektoren werden wahrscheinlich tausende Unternehmen (neu) betroffen sein, zusätzlich zu den bisherigen KRITIS und kommenden UBI.

KRITIS-Dachgesetz, RCE und NIS 2

Von Paul Weissmann am 26. November 2022, ⚡ aktualisiert am 7. Dezember 2022

Nach Vorfällen und der aktuellen politischen Lage in 2022 arbeitet das Innenministerium laut Eckpunkte-Papier an einem KRITIS-Dachgesetz, das physische Sicherheit und Resilienz in Kritischen Infrastrukturen konkretisiert und EU RCE vorgreift. Ab 2023 werden damit einige Änderungen in der deutschen KRITIS-Regulierung folgen, unter anderem:

Dachgesetz KRITIS: Zusätzliche Anforderungen an Kritische Infrastrukturen und weitere Unternehmen, angelehnt an die verabschiedete CER-Richtlinie.
IT-Sicherheitsgesetz 3.0: Die EU NIS 2 Richtlinie muss in nationales Recht überführt werden, und könnte mit weiteren Neuerungen im IT-Sicherheitsgesetz 3.0 münden.
Neue Rechtsverordnungen: Änderungen zu KRITIS Entsorgung und UBI Gruppe 2 (Volkswirtschaft) sind noch ausstehend in weiteren Rechtsverordnungen.

Die KRITIS-Regulierung wird sich nochmal deutlich in betroffenen Betreibern und Schutzmaßnahmen erweitern – mit Auswirkungen auf Unternehmen ab perspektivisch 2024.
⚡ Update: Das BMI hat mittlerweile ein offizielles Papier mit Eckpunkten des geplanten Dachgesetzes publiziert, das den Regelungsrahmen umreisst.

IT-Sicherheitsgesetz 3.0 und KRITIS ab 2022-23

Von Paul Weissmann am 10. September 2022 ⚡

Die KRITIS-Regulierung in Deutschland und der EU wird sich in den kommenden Jahren deutlich weiterentwickeln. Mehr Anforderungen, mehr Betroffenheit und generell mehr Regulierung — hier die OpenKRITIS-Einschätzung:

2022

KRITIS-Verordnung 2.0: Der KRITIS-Sektor Entsorgung und weitere Anpassungen an Anlagen und Schwellenwerten werden in einer neuer KritisV 2.0 definiert, die 2023 in Kraft treten soll.
EU NIS2: Die neue NIS-Verordnung 2.0 erweitert Cyber Security Pflichten und Betroffenheit in der EU deutlich. Es gibt einen Verhandlungsentwurf, der 2022 in der EU verabschiedet werden könnte und dann über 2023 hinaus in nationales Recht überführt werden muss.

2023+

UBI-Verordnung (UBI-VO): Die Betroffenheit von UBI, den Unternehmen im besonderen öffentlichen Interesse der Gruppe 2 (Bedeutung) müssen noch in einer Verordnung (UBI-VO) definiert werden, die 2023? in Kraft treten könnte — Zeitplan unklar.
EU RCE: Die Resilienz-Verordnung der EU macht Resilienz für Betreiber verpflichtend, wird in der EU noch verhandelt und muss mit neuen Pflichten in nationales Recht überführt werden.
IT-Sicherheitsgesetz 3.0: Die neuen Anforderungen aus EU-Regulierungen zu Cyber Security (NIS2), Betroffenheit (NIS2), Resilienz (RCE) sowie Erfahrungen in Deutschland (Anlagen, Nachweise, Maßnahmen und Prüfungen) werden mittelfristig sicherlich in einem neuen IT-Sicherheitsgesetz verarbeitet werden — möglicherweise IT-SiG 3.0.

ISO 27002:2022 und IDW PH 9.860.2 für KRITIS

Von Paul Weissmann am 10. September 2022

Zu den nationalen und internationalen Security Standards für KRITIS-Betreiber wurden zwei Standards für KRITIS-Management ergänzt:

IDW PH 9.860.2: Der Prüfhinweis für das IT-Sicherheitsgesetz vom Institut der Wirtschaftsprüfer enthält Cyber Security Anforderungen für KRITIS-Betreiber und Nachweisprüfungen.
ISO 27002:2022: Die 2022 aktualisierten ISO 27002 Best Practices konsolidieren und erweitern das ISO Control-Set und sind jetzt auch im KRITIS-Standard-Mapping enthalten.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind frei in der Auswahl von Standards.

Stand der Technik Geltungsbereich

Von Paul Weissmann am 4. Juli 2022

Der Geltungsbereich ist eines der wichtigsten Dokumente von KRITIS-Betreibern in ihren KRITIS-Anlagen. Im Geltungsbereich wird der Umfang der einzelnen KRITIS-Anlagen und ihrer IT definiert — was in der KRITIS-Prüfung mit als erstes geprüft wird. Das BSI hat zur Erstellung von Geltungsbereichen im Juni nun eine Anleitung mit Beispielen veröffentlicht.

Anleitung zur Dokumentation vom Geltungsbereich Schritt für Schritt: Von der Anlage über Prozesse bis zur IT und Netzstrukturplan (NSP).
Anforderungen G01-G13/N01-N10 der Orientierungshilfe Nachweise (OH-N) in Textform.
Beispiel Geltungsbereich eines Tanklagers (Sektor Energie).
Beispiel Netzstrukturplan eines Tanklagers (Sektor Energie).

Die Unterlage Dokumentation des Geltungsbereiches ist beim BSI als PDF online.

Zur Dokumentation des Geltungsbereiches in KRITIS

Erfahrungen aus den Nachweisen - Hilfestellung und Beispiel
BSI ∙ Stand der Technik mit Beispielen ∙ Juni 2022

Cyber Security Standards für KRITIS

Von Paul Weissmann am 15. April 2022

Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infrastrukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.

Management von Informationssicherheit: Standards wie ISO 27001, BSI IT-Grundschutz und C5 definieren ein Managementsystem zum Umgang mit Risiken und Informationssicherheit (ISMS) — in der Regel mit verbindlicher Methodik, Struktur und Kontrollen.
Branchen und Spezifika: Standards wie B3S, ISO 2701X, IEC 62443, die sich auf bestimmte Branchen und Technologien beziehen und spezifische Vorgaben für Sicherheitsmaßnahmen für branchenspezifische Anlagen oder IT/OT-Systeme definieren.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022

Webinar Notfallmanagement in Kritischen Infrastrukturen

Von Paul Weissmann am 28. März 2022, ⚡ aktualisiert am 2. Mai 2022

Notfälle in der IT, Cyber Angriffe und Krisen gefährden den Betrieb von KRITIS-Anlagen und die Versorgung der Allgemeinheit. Wie Betreiber mit BCM und IT-Notfallmanagement die Resilienz ihrer Kritischen Infrastrukturen erhöhen, besprechen wir im OpenKRITIS-Webinar:

BCM im IT-Sicherheitsgesetz 2.0: Was müssen Betreiber beachten?
Use Cases von BCM in KRITIS: Geltungsbereich, Angriffserkennung, Notfallpläne
Diskussion und Austausch aus der Praxis

Update: Die Folien vom Webinar am 29. April sind nun als PDF online:

Notfallmanagement in Kritischen Infrastrukturen (PDF)

Welche Lücken BCM in Kritischen Infrastrukturen schliessen kann.
Webinar ∙ Registrierung über LinkedIn ∙ 29. April 2022

Neue Podcast-Folge 🎧 Aus der Praxis eines KRITIS-Prüfers

Von Paul Weissmann am 14. Februar 2022

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen. Was diese Prüfungen bedeuten und wie sich Unternehmen am besten vorbereiten, verrät uns Lutz Naake, ein erfahrener KRITIS-Prüfer.

Wir sprechen über die Rolle von KRITIS-Prüfungen im IT-Sicherheitsgesetz, den Sinn von Prüfungen im Einmaleins der Cyber Security und wie Unternehmen die häufigsten Irrtümer und Fallstricke in BSIG-Nachweisprüfungen umgehen. Es lohnt sich!

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis

Die Rolle von Prüfungen in Kritischen Infrastrukturen und wie Betreiber sich vorbereiten. Ein Gespräch über Helmkameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022

KRITIS und das Telekommunikationsgesetz 2.0

Von Paul Weissmann am 31. Januar 2022

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikationsgesetz reguliert, wenn sie öffentliche Telekommunikationsnetze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit im TKG, das 2021 umfangreich überarbeitet wurde.

Pflichten für IT-Sicherheit sind in §165-169 TKG reguliert — vormals im alten §109 TKG:

Cyber Security Maßnahmen und Umsetzung Sicherheitskatalog 2.0
Sicherheitskonzept und Sicherheitsbeauftragter
Kritische Komponenten (5G-Netzwerke)
Angriffserkennung und Meldepflichten BNetzA

Der Katalog von Sicherheitsanforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern:

Abschnitt	Sicherheitskatalog 2.0
Sicherheitsmaßnahmen	Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen	Fernmeldegeheimnis, personenbezogenen Daten, TK-Infrastruktur und Diensten
Umsetzung	Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur	Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial	Zusätzliche Sicherheitsanforderungen für Netze und Dienste erhöhter Kritikalität

Mapping TKG Katalog 2.0 Maßnahmen und KRITIS

Abgleich vom Sicherheitskatalog 2.0 mit BSI KRITIS-Anforderungen.
PDF ∙ OpenKRITIS-Analyse vom Sicherheitskatalog 2.0 ∙ 2022

Einsatz von 5G im KRITIS-Sektor Telekommunikation

Von Paul Weissmann am 20. Januar 2022

Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber im Sektor Telekommunikation dem Innenministerium den Einsatz bestimmter IT-Systeme in Kritischen Infrastrukturen anzeigen. Diese Kritischen Komponenten nach §9b BSIG müssen in einzelnen Sektoren nch durch weitere Gesetze geregelt werden — im TK-Sektor erstmalig 2021 durch die Novelle des TKG.

Die BNetzA hat dazu mit dem BSI kritische Funktionen in 5G-Mobilfunknetzen festgelegt:

Core network functions
NFV management and network orchestration (MANO)
Management systems and supporting services
Radio Access Network (RAN)
Transport and transmission
Internetwork exchanges

Diese Systeme dürfen nur nach Zertifizierung und Freigabe eingesetzt werden.

Vorträge zu KRITIS Loops und IT-SiG 2.0 vs. EU

Von Paul Weissmann am 18. November 2021

Zwei neue OpenKRITIS-Vorträge zu Kritischen Infrastrukturen sind nun Online: Einmal beim EY-Risikomanagement Stammtisch am 17. November zu aktuellen KRITIS-Entwicklungen im Jahr 2021 zum Thema IT-Sicherheitsgesetz 2.0 und EU-Regulierung NIS2 und RCE.

Daneben ein akademischer Vortrag zusammen mit Jan Hoff bei der Transformations of Infrastructure Systems Konferenz der TU-Darmstadt am 4.11.2021 zum Thema Infinite Loop: Transformation and Fragilities in Infrastructures — immer wiederkehrenden Verwundbarkeiten durch technologische und gesellschaftliche Transformation von Kritischen Infrastrukturen.

German and EU Critical Infrastructures 2021

Talk at IT-Sicherheitsgesetz 2.0 - Anforderungen und Umsetzung
Online ∙ Risikomanagement-Stammtisch EY ∙ 17. November 2021

Infinite Loop: Transformation and Fragilities in Infrastructures

Talk at the Transformations of Infrastructure Systems conference
With Jan Hoff ∙ FG KRITIS ∙ TU Darmstadt ∙ 4. November 2021

OpenKRITIS-Podcast – jetzt online 🎧

Von Paul Weissmann am 9. November 2021

Was sind eigentlich Kritische Infrastrukturen? Und macht das IT-Sicherheitsgesetz den Alltag wirklich sicherer? Mit unseren Gästen gehen wir dem nach — im neuen OpenKRITIS-Podcast sprechen wir über die Hintergründe Kritischer Infrastrukturen und die Effekte staatlicher KRITIS-Regulierung auf Betreiber, Unternehmen und Gesellschaft.

Die Premieren-Folge widmet sich der Geschichte des IT-Sicherheitsgesetzes und ist ab sofort auf den gängigen Plattformen und bei uns zu finden.

Geschichte und Zukunft vom IT-Sicherheitsgesetz

Die Entwicklung Kritischer Infrastrukturen in Deutschland seit den 2000ern bis zum IT-Sicherheitsgesetz 3.0. Ein Austausch über MINT-Nerds, Lieblingsparagraphen und Tipps für Betreiber.
Mit Wilhelm Dolle
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 44 Min ∙ 8.11.2021

Neue KRITIS-Anlagen in den KRITIS-Sektoren

Von Paul Weissmann am 28. Oktober 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue Verordnung die KRITIS-Anlagen. Die Änderungen sind nun auch in den einzelnen KRITIS-Sektoren eingetragen:

Energie: In Stromerzeugung und Handel sinken Schwellenwerte und Anlagen ändern sich, zentrale Steuerung und diverse Gas/Strom-Anlagen kommen hinzu, Flugkraftstoff ebenfalls
IT: Die Schwellenwerte von Rechenzentren, Cloud (Serverfarmen) und IXP sinken deutlich, Domain-Registries (TLD) kommen als Anlage dazu.
Finanzen und Versicherung: Die bisher mehrfach vorhandenen Anlagen pro Versicherungsträger werden vereinfacht, neue kommen im Wertpapierhandel hinzu.
Transport: Sendungen sind nun auch Schwellenwert in der Logistik, bei Häfen, Flughäfen und Fluggesellschaften kommen neue Leitungs-Anlagen hinzu, im Straßenverkehr das Intelligente Verkehrssystem. Im ÖPNV nur Zusammenfassungen und Präzisierungen.
Gesundheit: Bei Laboren wurden die Anlagen Transportsystem und Kommunikationssystem für Aufträge/Befunde im Laborinformationsverbund zusammengefasst.
Wasser: Nur geringe Änderungen — Stauanlagen gehören nun auch zur Gewinnung.
Ernährung: Leichte Änderungen und Konkretisierung der Steuerungs-Anlagen, Getränke bis 1.2 ‰ gehören nun zum Schwellenwert.
Entsorgung und UBI: Anlagen im neuen KRITIS-Sektor Entsorgung fehlen noch, ebenso die Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI).

Offizielle Informationen vom BSI zu UBI (UNBÖFI)

Von Paul Weissmann am 11. Oktober 2021

Das BSI hat nun die Unternehmen im besonderen öffentlichen Interesse, UBI oder UNBÖFI, etwas genauer beschrieben. Auf der offiziellen BSI-Webseite gibt es in einer FAQ-Liste mehr Informationen zu den Pflichten und Fristen der drei UBI-Gruppen 1 bis 3.

UBI 1 Rüstung: Hersteller von Rüstung und Produkten für Verschlusssachen (VS-IT)
UBI 2 Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung
UBI 3 Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen

Die UBI Cyber Security Pflichten sind in der BSI-FAQ detailliert — von der Registrierung, über die Meldepflicht bis zur Sicherheitserklärung. Das Prozedere zur Anmeldung über das UBI-Büro ist ebenfalls beschrieben, via Mail.

Konferenz Transformations of Infrastructure Systems

Von Paul Weissmann am 6. September 2021

Internationale Konferenz der TU Darmstadt und GRK KRITIS zu Kritischen Infrastrukturen und der Transformation von Infrastruktursystemen am 4.-5.11.2021. Aus dem Call of Papers:

Ziel der Konferenz ist es, diese Transformationen von Infrastruktursystemen aus verschiedenen Perspektiven zu analysieren und zu erklären. Diese unterschiedlichen Perspektiven werden durch die vier Unterthemen „Cultures of Transformation“, „Governance of Transformationa“, „Temporality and Spatiality of Transformation“ und „Safe Transformation“ repräsentiert.

Wir sind mit einem Talk vertreten zu An Infinite Loop – How Transformation and Digitalization Create New Fragilities in Critical Infrastructures und freuen uns auf die Konferenz.

Webinar zu BCM in Kritischen Infrastrukturen

Von Paul Weissmann am 2. September 2021

Brauchen Betreiber ein Business Continuity Management (BCM) in ihren KRITIS-Anlagen? Und ist das nicht alles Aufgabe vom Security Management im ISMS? — Im OpenKRITIS-Webinar zu BCM wollen wir diesen und weiteren Fragen zur Umsetzung von BCM und Kontinuität bei KRITIS-Betreibern nachgehen. Agenda:

BCM im IT-Sicherheitsgesetz 2.0: Was fordert das Gesetz?
Best Practices für die Umsetzung, Schnittstellen zum Geltungsbereich, ISMS, ...
Diskussion zu Erfahrungen aus der Praxis

Freie Teilnahme und Anmeldung über LinkedIn.

BCM in Kritischen Infrastrukturen und KRITIS-Anlagen

Ist BCM notwendig bei KRITIS-Betreibern? Ein Austausch.
Online ∙ Registrierung über LinkedIn ∙ 24.9.2021 13:00

KRITIS-Verordnung 2021 (1.5) beschlossen

Von Paul Weissmann am 23. August 2021

Das Bundeskabinett hat am 18. August 2021 die KRITIS-Verordnung 2.0 (Zweite Verordnung zur Änderung der BSI-Kritisverordnung) beschlossen. Ohne Aussprache beschlossen wurde laut Heise die bekannte Version des Entwurfs vom Frühling und soll ab 2022 in Kraft treten.

Die neuen Definitionen umfassen anscheinend die bereits bekannten Änderungen der KRITIS-Anlagen und Schwellenwerte; dagegen bleiben die Anlagen und Schwellenwerte des Sektors Siedlungsabfallentsorgung und die Methodik der UNBÖFI Gruppe 2 volkswirtschaftliche Bedeutung noch offen.

IT-Sicherheitsgesetz 2.0 heute in Kraft getreten

Von Paul Weissmann am 28. Mai 2021

Das neue IT-Sicherheitsgesetz 2.0 ist am 28. Mai 2021 in Kraft getreten, nachdem es im April und Mai 2021 von Bundesrat und Bundestag beschlossen und am 27. Mai im Bundesgesetzblatt veröffentlicht wurde. Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.

Briefing – Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

IT-Sicherheitsgesetz 2.0 und KRITIS-Neuerungen

Virtueller Erfahrungsaustausch zu den Auswirkungen vom IT-SiG 2.0
Online ∙ Registrierung über LinkedIn ∙ 17. Juni 2021 11:00-11:45

Webinar zum IT-Sicherheitsgesetz 2.0

Von Paul Weissmann am 25. Mai 2021

Ziel des Webinars ist ein virtueller, offener Austausch zur neuen KRITIS-Regulierung in 2021: Was bedeutet das für Betreiber? Und was kommt nach dem IT-Sicherheitsgesetz 2.0 noch?

Neuerungen im IT-Sicherheitsgesetz 2.0: von Angriffserkennung bis zur Entsorgung
KRITIS-Verordnung 2.0: mehr Anlagen, niedrige Schwellenwerte und +270 Betreiber
Ausblick und Diskussion zu den Auswirkungen in der Praxis

IT-Sicherheitsgesetz 2.0 und KRITIS-Neuerungen

Virtueller Erfahrungsaustausch zu den Auswirkungen vom IT-SiG 2.0
Online ∙ Registrierung über LinkedIn ∙ 17. Juni 2021 11:00-11:45

EU RCE und Resilienz in Kritischen Infrastrukturen

Von Paul Weissmann am 18. Mai 2021

Die EU RCE Directive on the resilience of critical entities reguliert die Resilienz von EU Kritischen Infrastrukturen. RCE fordert Ausfallsicherheit der kritischen Dienstleistungen bei Betreibern, während EU NIS2 deren Cyber Security reguliert — beide schreiben Maßnahmen bei Unternehmen und staatliche Aufsicht vor.

EU RCE löst die bisherige ECI (European Critical Infrastructures) Direktive von 2008 ab und liegt seit Ende 2020 als Entwurf vor. Die Direktive muss wie NIS2 noch verabschiedet und in nationales Recht überführt werden.

EN Briefing – EU RCE Directive Resilience

New resilience requirements for EU operators with EU RCE
English ∙ 12 slides PDF ∙ May 2021

EU NIS2 – Der europäische Kontext

Von Paul Weissmann am 14. Mai 2021

Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems ist das erste EU-weite Gesetz über Cyber Security bei Betreibern von Essential Services. Die neue EU NIS2 erweitert die Sektoren und Cyber Security Pflichten deutlich:

Die NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt, ein Entwurf von NIS2 liegt seit 2020 vor und muss noch verabschiedet und in nationales Recht überführt werden.

EN Briefing – EU NIS2 Directive Cyber Security

Changes in cyber security for EU operators with updated EU NIS2
English ∙ 12 slides PDF ∙ May 2021

Critical Infrastructures in Germany and IT-SiG 2.0

Von Paul Weissmann on May 11, 2021

German critical infrastructure law is regulated by the IT security act, recently updated by the second version IT-Sicherheitsgesetz 2.0. IT-SiG 2.0 updates the German legislation with more cyber security requirements and extends the scope by at least 270 more operators.

New rules include cyber attack detection and more reporting to the government. More companies will be affected too — by lower thresholds and more asset types, the new waste management sector and companies called special public interest entities (UNBÖFI).

EN Briefing – German IT Security Act IT-SiG 2.0

Major changes in German IT security legislation with the IT-SiG 2.0
English ∙ 12 slides PDF ∙ May 2021

Unternehmen im besonderen öffentlichen Interesse – what?

Von Paul Weissmann am 6. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern nun auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) zur KRITIS-Regulierung. Viele dieser besonders schützenswerten Unternehmen haben als UNBÖFI neue KRITIS-light Security Pflichten:

Rüstung: Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und
Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal für diese.
Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.

Diese Unternehmen im besonderen öffentlichen Interesse fallen mit den letzten Entwürfen vom IT-Sicherheitsgesetz 2.0 ab 2021 neu unter die Regulierung — mit neuen Rechtsfolgen und UNBÖFI-Pflichten für IT-Sicherheit.

KRITIS-Verordnung 2.0 – mehr Anlagen und Schwellenwerte

Von Paul Weissmann am 4. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-Verordnung auch die KRITIS-Anlagen und Schwellenwerte. Mehr Betroffenheit — für etwa 270 neue Betreiber.

Der Entwurf der neuen KRITIS-Verordnung senkt sechs Schwellenwerte bestehender KRITIS-Anlagen, fügt siebzehn neue Anlagen hinzu — weitere wurden umbenannt — und streicht fünf. Die wichtigsten Änderungen zum jetzigen Stand:

Energie: 6 neue und 2 wegfallende Anlagen, 3 sinkende Schwellenwerte.
Gesundheit: 1 neue und 2 wegfallende Anlagen.
Transport: 6 neue und 1 wegfallende Anlage, 1 neuer Schwellenwert.
IT und TK: 1 neue Anlage, 3 sinkende Schwellenwerte.
Finanz- und Versicherungen: 3 neue Anlagen, Konsolidierung bei Versicherungen.

Eine Analyse der Auswirkungen und alle Anlagen im Artikel zu KRITIS-Anlagen 2.0.

IT-Sicherheitsgesetz 2.0 vom Bundestag beschlossen

Von Paul Weissmann am 29. April 2021 aktualisiert ⚡

Das neue IT-Sicherheitsgesetz 2.0 wurde am 23. April vom Bundestag in der Version vom Innenausschuss (19/28844) beschlossen. Zu den Entwürfen von Anfang 2021 hat sich nur wenig Wesentliches geändert — das IT-SiG 2.0 erweitert die Pflichten von Betreibern und Befugnisse vom Staat deutlich:

Neue Pflichten für KRITIS-Betreiber
Mehr betroffene Unternehmen und Sektoren
Mehr Befugnisse für das BSI
Höhere Sanktionen
Verbraucherschutz

Update ⚡: Analyse der neuen KRITIS-Verordnung mit neuen Anlagen und Schwellenwerten im Abschnitt Schwellenwerte. Alle Anlagen auf der separaten KRITIS-Anlagen 2.0 Seite.

Für Betreiber neu — mehr KRITIS-Pflichten in der Angriffserkennung (SIEM/SOC) und mehr Informationen ans BSI, erstmalig kritische Komponenten im TK-Sektor. Neu betroffen sind der KRITIS-Sektor Entsorgung und die KRITIS-light Unternehmen im besonderen öffentlichen Interesse — nun neben Rüstung, Chemie und Konzernen auch deren Zulieferer.

Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.

OpenKRITIS – das unabhängige KRITIS-Nachschlagewerk

Von Paul Weissmann am 28. April 2021

OpenKRITIS ist ein unabhängiges Projekt für Cyber Security in Kritischen Infrastrukturen und wird seit April 2021 als Work in Progress veröffentlicht. Das Ziel ist, die vielen Informationen zu KRITIS und dem IT-Sicherheitsgesetz für Betreiber und Prüfer an einem Ort übersichtlich zusammenzuführen — für weniger STRG+F in Gesetzen und mehr Cyber Security.

Bis jetzt mit über 30 Artikeln zu: die KRITIS-Grundlagen und das ⚖ IT-Sicherheitsgesetz, die Pflichten von ♨ KRITIS-Betreibern und notwendige Cyber Security ☂ Maßnahmen. Mehr als fünf neue Artikel sind in Arbeit, der ganze Abschnitt zu ⚔ KRITIS-Prüfungen folgt bis zur nächsten Prüfsaison — alle Ausführungen werden fortlaufend aktualisiert.

OpenKRITIS basiert auf öffentlichen Quellen, den Gesetzestexten und Entwürfen sowie eigenen langfährigen KRITIS-Erfahrungen.