Older News

Folien CSK-Keynote NIS2 und DORA-Webinar

Von Paul Weissmann am 4. Juli 2024

Webinar

Die Folien der Vorträge bei der Keynote des CSK-Summits im Juli von IT-SICHERHEIT und <kes> und vom OpenKRITIS-Webinar zu IT-Providern sind nun online. Beide Vorträge beleuchteten Betreiber in NIS2, die ab 2024/2025 mehrfacher Regulierung für Cybersecurity unterliegen.

IT-Dienstleister mit Finanzkunden könnten durch DORA zu kritischen IKT-Dienstleistern mit zusätzliche Cybersecurity-Pflichten und starker Aufsicht werden. Betreiber im Energiesektor und der Telekommunikation unterliegen neben NIS2 teilweise noch Sektorregulierung von EnWG und TKG – mit vielen Cybersecurity-Pflichten. Was gilt nun in welchem ISMS?

Bank picture

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

EU NIS2 Keynote

Keynote NIS2 Mehrfach-Regulierung

NIS2-Einrichtungen mit EnWG, TKG und DORA ab 2025
Keynote ∙ CSK-Summit 2024 IT-SICHERHEIT und <kes> ∙ Juli 2024

NIS2 Implementing Act Mapping ISO 27001 und KRITIS

Von Paul Weissmann am 1. Juli 2024

Mapping

Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben in Deutschland das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2 für bestimmte Betreiber.

Für Internet Provider gibt es zwei verpflichtende Implementing Acts für Vorfallsmeldungen und Sicherheitsmaßnahmen. Beide sind nun in einer Commission Implementing Regulation als Entwurf veröffentlicht worden – der Annex konkretisiert für Internet-Provider in 159 Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das OpenKRITIS NIS2 Implementing Act Mapping ordnet die Controls den Standards ISO 27001 und KRITIS zu – und findet einige Abweichungen:

Für betroffene Betreiber bleibt einiger Arbeitsbedarf.

Bank picture

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

Letzter Referentenentwurf NIS2-Umsetzung Juni

Von Paul Weissmann am 28. Juni 2024

Document reading

Der nächste und möglicherweise letzte Referentenentwurf der deutschen NIS2-Umsetzung wurde, nach Verbändeabstimmung, Ende Juni 2024 vom BMI veröffentlicht.

Im Entwurf ändert sich nicht mehr allzuviel, wie zu erwarten: Die Pflichten bleiben gleich, an der Betroffenheit und Zuständigkeiten ändern sich wieder einige Konstellationen. Daneben hat der Gesetzgeber abermals Struktur, Definitionen und Argumentationen angepasst.

Die Änderungen an Sektorgesetzen wie TKG und EnWG blieben größtenteils gleich – dafür wurden Teile der Doppelregulierung aufgehoben. Eine konkretes Datum zum Inkrafttreten fehlt diesmal, es scheint aber, dass das Bundeskabinett im Sommer den Gesetzesentwurf diskutiert. Vielleicht tritt das Gesetz dann doch (fast) fristgemäß in Kraft?

DORA-Mapping auf NIS2, ISO 27001 und C5

Von Hanna Lurz am 7. Mai 2024

Mapping

Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für Finanzunternehmen und kritische IKT-Drittdienstleister wie Cloud Provider vor. Für diese IT-Provider ordnet das OpenKRITIS DORA-Mapping die einzelnen Anforderungen aus DORA aufgeschlüsselt verschiedenen Cybersecurity-Standards zu:

Das OpenKRITIS DORA-Mapping auf NIS2 schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf, gruppiert thematisch und weist einzelne Pflichten NIS2, C5:2020 und ISO 27001:2022 Kontrollen zu – alles als Draft.

NIS2-Umsetzungsgesetz Referentenentwurf Mai

Von Paul Weissmann am 9. Mai 2024

Document reading

Der aktuelle Referentenentwurf der deutschen NIS2-Umsetzung wurde im Mai 2024 vom BMI veröffentlicht. Der Entwurf vom NIS2UmsuCG dient der Verbändeabstimmung bis Anfang Juni und soll am 1. Oktober 2024 in Kraft treten – so der Entwurf in Artikel 29.

Es ändert sich nicht viel für Betreiber zu den letzten bekannten Entwürfen: Pflichten bleiben im Grunde gleich, an der Betroffenheit und Zuständigkeit im Bund ändern sich Randfälle. Sonst gibt es viele Änderungen an Struktur, Definitionen – ohne tiefe Folgen für Betreiber.

Dafür enthält der Entwurf vom NIS2UmsuCG nun die meisten Änderungen am EnWG für Energie­betreiber und TKG für Telekommunikationsanbieter. Wenig überraschend – die parallele Regulierung mit BNetzA bleibt bestehen + neue EnWG-Sicherheitskataloge. Dafür erbt das TKG §30 NIS2-Maßnahmen in §165 TKG-E – und dafür vielleicht keinen neuen Sicherheitskatalog.

Weitere bemerkenswerte Annahmen im Entwurf, vor allem in der lesenswerten Begründung:

Ob dieser Entwurf den Prozess der Gesetzgebung bis zum 1. Oktober 2024 schafft?

DORA und NIS2 im Finanzsektor

Von Hanna Lurz und John Bauer am 29. April 2024

Business sector

Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.

DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.

Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.

NIS2-Mapping auf Standards

Von Paul Weissmann am 9. April 2024

Mapping

Das OpenKRITIS-Mapping von NIS2 zu Security-Standards erleichtert die Zuordnung der Sicherheits­maßnahmen bei betroffenen Einrichtungen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) fordern Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS und werden im Mapping folgenden Standards zugeordnet:

Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts noch konkretisiert und detailliert werden. Bis dahin bleibt diese Zuordnung die einzige Orientierung.

Das OpenKRITIS-Mapping auf KRITIS und ISO 27001 schlüsselt die Absätze und Listen aus §30 BSIG-E in einzelne Anforderungen auf und passt den Text mit Ergänzungen leicht an.

Unternehmen im besonderen öffentlichen Interesse

Von Paul Weissmann am 26. März 2024

Factory

In NIS2 gibt es die Unternehmen im besonderen öffentlichen Interesse (UBI) nicht mehr als eigene Gruppe. Eingeführt mit dem IT-Sicherheitsgesetz 2.0, wurden die UBI parallel zu KRITIS-Betreibern mit eigenen, abgestuften UBI Cybersecurity-Pflichten reguliert.

Viele Definitionen und Klarstellungen fehlten seitdem – und mit NIS2 verschwinden die UBI fast. Die UBI fallen als explizite Kategorie weg und gehen größtenteils in NIS2-Einrichtungen auf:

UBI 1 Rüstung könnten als Produzenten der folgenden Güter von NIS2 betroffen sein, u. a.:

UBI 2 Volkswirtschaft sind von NIS2 betroffen, wenn sie als Einrichtung Größen überschreiten und in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft, auch UBI.

UBI 3 Gefahrstoffe sind in NIS2 im Sektor Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:

Die eigenen UBI-Pflichten (§8f BSIG 2021) fallen ebenfalls weg und werden von den regulären NIS2-Pflichten für Einrichtungen abgelöst. Viel zu tun – und die Liste der NACE-Güter ist lang.

Energiesektor, NIS2 und EnWG

Von Hanna Lurz am 8. März 2024

Energy

Auch mit der NIS2-Umsetzung bleibt im Energiesektor ab 2024 Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen fallen in einigen Betriebsteilen weiterhin unter separate Regulierung im Energiesektor mit dem EnWG, parallel zu NIS2 und KRITIS. Der Dezember-Entwurf der NIS2-Umsetzung passt das EnWG in vielen Teilen an.

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) wahrscheinlich keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen. Es gelten dann die Anforderungen §5c EnWG (neuer Paragraph im Entwurf, der die bisherigen §11-Anforderungen ersetzt):

Weiterhin wird es für Energiebetreiber verschiedene Sicherheitskataloge der BNetzA geben.

Katalog gültig Betreiber und Anlagen
IT‑Sicherheitskatalog
§11 Abs. 1a EnWG
2015 Betreiber von Energieversorgungsnetzen
  • Stromübertragungs- und -verteilnetze
  • Gasübertragungs- und -verteilnetze
IT‑Sicherheitskatalog
§11 Abs. 1b EnWG
2018 Betreiber von Energieanlagen nach KRITIS-Verordnung
  • Erzeugungsanlagen
  • Steuerung/Bündelung elektrischer Leistung
  • Zentrale standortübergreifende Steuerung Gas
IT-Sicherheitskatalog
neu EnWG
2024? Betreiber von Energieversorgungsnetzen
  • ersetzt Katalog §11 Abs. 1a für NIS2UmsuCG
IT-Sicherheitskatalog
neu EnWG
2024? Betreiber von Energieanlagen
  • ersetzt Katalog §11 Abs. 1b für NIS2UmsuCG

Die OpenKRITIS Summer School

Von Paul Weissmann am 6. März 2024

OpenKRITIS Summer School 2024

Die OpenKRITIS-Workshops Sommer 2024 richten sich an Unternehmen, die einen fokussierten Einstieg in die NIS2 und KRITIS-Regulierung ab 2024 suchen. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt. Neben Wissensvermittlung liegt der Schwerpunkt auf Interaktion im Plenum zu Fallbeispielen – eigene Fragen sind erwünscht!

Programm OpenKRITIS-Workshops 2024, Stand März 2024, Agenda kann sich ändern
ID Thema Teilnehmer Termin
S24.1 NIS2 und KRITIS-Betroffenheit – und nun?
Grundlagen und erste Schritte für (neu) betroffene Firmen.
In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.
Max. 6 4. Juni 2024
9:30-12:30
online
S24.2 German Critical Infrastructure requirements: KRITIS and NIS2
Introduction to German KRITIS and NIS2 regulation.
Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps.
Max. 6 11. Juni 2024
9:30-12:30
online
S24.3 Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG & EnWG
Mit NIS2 bleibt mehrfache Regulierung (leider) erhalten.
In Energie und Telekommunikation fallen Anbieter neben KRITIS und NIS2 auch unter TKG, EnWG und BNetzA-Sicherheits­kataloge. Was gilt nun wo? Wir besprechen Wege, damit umzugehen.
Max. 6 13. Juni 2024
9:30-12:30
online
S24.4 Konzerne und Auslandsgesellschaften mit EU NIS2
Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten.
Konzerne fallen mit Legaleinheiten und Landesgesellschaften unter NIS2 – in EU-Jurisdiktionen mit unterschiedlichen Regeln. Wir beleuchten den Umgang mit Betroffenheit und Registrierung.
Max. 6 18. Juni 2024
9:30-12:30
online

Die OpenKRITIS-Konferenz am 12. März 2024

Von Paul Weissmann am 5. März 2024

OpenKRITIS-Konferenz

Nur noch eine Woche bis zur OpenKRITIS-Konferenz 2024 – mit Talks von Betreibern und BSI!
Unternehmen können von den Erfahrungen anderer Betreiber aus vielen Jahren KRITIS lernen. In vier Blöcken beleuchten Verantwortliche aus der Industrie aktuelle Themen aus der gelebten Praxis Kritischer Infrastrukturen, (fast) ohne Berater.

  1. Strategie: Erfahrungen aus dem Aufbau von KRITIS bei Betreibern
  2. Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
  3. Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
  4. Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
  5. Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)

Die OpenKRITIS-Konferenz 2024 findet am 12. März 2024 ganztägig virtuell statt.

Der Staat als Kritische Infrastruktur

Von Paul Weissmann am 4. März 2024

Picture of Audit Evidence

Der Sektor Staat und öffentliche Verwaltung gehören seit langem zu Kritischen Infrastrukturen. Trotzdem waren staatliche Organe und die öffentliche Verwaltung von vielen KRITIS-Pflichten ausgenommen. Mit NIS2 und KRITIS-Dachgesetz wird die Bundesverwaltung ab 2024 nun etwas mehr reguliert – es bleiben aber immer noch Lücken.

Während die EU-Direktive NIS2 große Teile der Regierung in mehreren Ebenen reguliert, gibt es im Bundesgesetz dafür viele Ausnahmen. Länder und Kommunen sind nicht explizit vom deutschen NIS2-Umsetzungsgesetz benannt, es soll aber NIS2-Landesgesetze geben.

eigene Zusammenstellung Stand März 2024
Ebene Einrichtungen Out of scope (wahrscheinlich)
Bund
  • Stellen des Bundes
  • Körperschaften, Anstalten des öffentlichen Rechts
  • Öffentliche IT-Dienstleistunger Bund
  • Bundesministerien
  • Bundeskanzleramt
  • Sicherheitsbehörden des Bundes
  • Strafverfolgungsbehörden
  • Nationale Sicherheit
  • Institutionen soziale Sicherung
  • Geschäftsbereich Verteidigung
Länder wartet auf Landesgesetze
  • Landesregierungen, Landesministerien
  • Öffentliche Verwaltung Landesebene
  • Landesbehörden
  • IT-Dienstleister und Rechenzentren
  • Strafverfolgung und Polizeien der Länder
  • Hochschulen und Bildungswesen
Kommunen Kommunale Eigenbetriebe (AöR, GmbH, ...)
  • Stadtwerke, Heizkraftwerke
  • Krankenhäuser und Gruppen
  • Entsorger
  • Wasser- und Abwasserwerke
  • IT-Dienstleister und Rechenzentren
  • Kommunale Verwaltung und Regierung
  • Ämter, Stadthäuser, Zentren
  • Kommunale Behörden
  • Feuerwehr
  • Kommunale Polizei, Stadtpolizei
  • Schulen, Volkshochschulen
  • Betreuuung
  • Unklar: Kommunale Zweckverbänden

Einreichung von Nachweisen in KRITIS-Prüfungen

Von Hanna Lurz am 1. März 2024

Picture of Audit Evidence

KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cyber­security Maßnahmen in ihren KRITIS-Anlagen alle zwei, bald alle drei Jahre durch KRITIS-Prüfungen nachweisen. In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel, die als Teil der Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen.

Im Abschluss der Prüfung kommt es dabei häufig zu Nachfragen und Nachforderungen durch das BSI, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte:

Zur erfolgreichen Einreichung veranstaltet das BSI auch eine Videokonferenz am 5. März 2024 unter dem Titel Nachweise gemäß § 8a Abs. 3 BSIG “ We have a dream …” (mit Anmeldung).

Meldepflichten in der NIS2-Umsetzung

Von Hanna Lurz am 22. Februar 2024

Picture of Phone Booth

Mit der deutschen NIS2-Umsetzung kommen ab Ende 2024 auf betroffene Einrichtungen viele neue Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen – in Umfang, Fristen und Pflichten.

Besonders wichtige Einrichtungen, Betreiber kritischer Anlagen und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Meldepflichten durch das KRITIS-Dachgesetz an das BBK kommen noch dazu.

Die verschiedenen Arten von Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: Es gibt erhebliche Sicherheitsvorfälle, Sicherheitsvorfälle, Beinahevorfälle und erhebliche Cyberbedrohungen, die in den Meldepflichten eine Rolle spielen. Diese Vorgaben können durch Rechtsverordnung (BMI) oder einen Implementing Act (EU) angepasst werden.

Je nach Sektor und Vorfallsart, müssen manche Einrichtungen zusätzlich zum BSI auch die Kunden ihrer Dienste über erhebliche Sicherheits­vorfälle und erhebliche Cyberbedrohungen informieren – teils inklusive Gegenmaßnahmen.

Umsetzung von NIS2 in EU-Mitgliedsstaaten

Von Henri Jäger am 2. Februar 2024

EU

EU-Mitglieds­staaten müssen EU NIS2 bis Oktober 2024 in nationales Recht umsetzen. Fast alle EU-Länder arbeiten an der Umsetzung — der Umsetzungsstand variiert jedoch stark zwischen den EU-Staaten. Die Gesetzgebung in einigen Ländern ist bereits weiter fortgeschritten und befindet sich im öffentlichen Diskurs, so u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien.

Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.

Status Länder
Informationen zu EU NIS2 vorhanden Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien
Wenig zu NIS2 auffindbar Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn, Zypern

Der Artikel zu NIS2 in EU-Mitgliedsstaaten fasst unsere Erkenntnisse im Januar 2024 zusammen. Die Informationslage ist eher uneinheitlich — bei vielen Ländern haben wir keine und nur sehr wenige öffentlichen Informationen gefunden. Ergänzungen und Aktualisierungen folgen.

EU NIS2 Webinar

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

Webinar EU NIS2 Implementation in EU Countries

Von Paul Weissmann am 16. Januar 2024

Picture of Europe

Wie wird EU NIS2 in der EU umgesetzt? Und wie gehen Mitgliedsstaaten die nationalen Gesetze zur Umsetzung von NIS2 an? Im OpenKRITIS-Webinar am 27. Februar 2024 besprechen wir EU NIS2 und die Umsetzung in ausgewählten EU Member States – Belgien, Deutschland, Finnland, Kroatian, Tschechien.

Es gibt so viele nationale Unterschiede in der Umsetzung der Registrierung, Audit-Pflichten, Befugnisse von Behörden — und viel Unklarheit, welche Pflichten wo und wann verbindlich werden. All das im freien OpenKRITIS-Webinar am 27. Februar 2024, auf Englisch. Registrierung über LinkedIn, Durchführung per Teams.

EU NIS2 Webinar

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

KRITIS-Dachgesetz – der zweite Entwurf

Von Paul Weissmann am 2. Januar 2024

Picture of a roof

Ende Dezember 2023 wurde der zweite Entwurf vom KRITIS-Dachgesetz veröffentlicht. Das KRITIS-DachG wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken und setzt die EU CER-Richtlinie (EU 2022/2557) um. Unter das Gesetz fallen ab 2024 die Betreiber kritischer Anlagen, ex-KRITIS, mit zusätzlichen Resilienz-Pflichten.

Auch im zweiten Entwurf vom DachG sind die Vorgaben und Fristen für Betreiber eher milde. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen treten erst 2026 in Kraft. Im Entwurf von Dezember wurden einige Vorgaben angepasst, reduziert und mit NIS2 harmonisiert:

Die Bundesregierung schätzt für die Wirtschaft einen jährlichen Erfüllungs­aufwand im hohen dreistelligen Millionen­bereich. Der Entwurf nimmt an, dass 1.300 Betreiber kritischer Anlagen über keine ausreichende physische Resilienz verfügen. Die Kosten für Resilienz-Vorgaben seien zehn Mal so hoch wie für Vorgaben zu IT-Sicherheit.

Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder und Einmalaufwand von 6 Mio EUR. Neue Planstellen sind noch unklar.

NIS2-Umsetzung und Werkstatt­gespräch

Von Paul Weissmann am 15. November 2023

Workshop and tools picture

Im Oktober fand ein Werkstatt-Gespräch zwischen Innenministerium und Wirtschafts­verbänden zur NIS2-Umsetzung statt. Besprochen wurde das Diskussionspapier zum NIS2-Umsetzungsgesetz und diverse Änderungs­wünsche.

Entschärfte der Gesetzesentwurf aus September 2023 im Diskussionspapier die NIS2-Anforderungen in Deutschland schon deutlich, gab es nun viele weitere Kommentare. In den öffentlichen Folien vom BMI zum Gespräch in der Werkstatt sind nun die Reaktionen des Bundes zu diesen Wünschen enthalten.

  1. Bemerkenswerte Aspekte aus den Folien: Prüfungen sollen nur noch alle drei Jahre für Betreiber kritischer Anlagen stattfinden – für Einrichtungen soll es keine Nachweis­pflicht, dafür eine mögliche Dokumentations­pflicht geben. Generell soll der Scope der §30 NIS2-Sicherheits­maßnahmen das ganze Unternehmen umfassen.
  2. Diverse Vorschläge hat das Innenministerium laut Folien abgelehnt. So ist es gegen den generellen Ausschluss kleiner und mittlerer Unternehmen sowie konzern­eigener IT-Dienstleister. Es ist aber auch gegen die Aufnahme von Kommunen und Ländern in die NIS2-Regulierung. Weiterhin sollen die Meldefristen nicht verlängert werden und die Size-cap-Regeln zur Größen­bestimmung nicht weiter angepasst (beschnitten) werden.
  3. Sonst noch relevante Änderungen und Anpassungen: Definitionen sollen harmonisiert werden (zu Gesetzen, Branchen) und einige Formalien und Vorgaben am Rande des Gesetzes klargestellt werden. Die besonderen Anforderungen an kritische Anlagen sollen auf den Unternehmensteil beschränkt bleiben (die Prüfungen aber nicht?).
  4. Es sind weiterhin keine Übergangsfristen in der NIS2-Umsetzung erkennbar!
  5. – und vieles mehr

Aber, viele Aspekte der NIS2-Umsetzung blieben zumindest in den Folien unbesprochen:

Die Änderungen sollen in einem weiteren Referentenentwurf für die NIS2-Umsetzung an verarbeitet werden; zusätzlich stehen auch noch weitere KRITIS-Verordnung(en) aus.

Verarbeitendes Gewerbe in NIS2

Von Paul Weissmann am 27. Oktober 2023

Illustrative picture electronics

Der Sektor verarbeitendes Gewerbe gehört ab 2024 zur deutschen NIS2-Regulierung. Mit EU NIS2 werden die schützens­würdigen Wirtschafts­sektoren sehr viel weiter als klassische Kritische Infra­strukturen gefasst. Ein großer Teil der EU-Wirtschaft muss bald Cybersecurity und Risiko-Management umsetzen – darunter auch Industrie und Produktion.

Breit gefasst, umfasst der Sektor verarbeitendes Gewerbe viele Güterklassen nach NACE:

Darin verbirgt sich eine Vielzahl an Produzenten in Deutschland, die als wichtige Einrichtung ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz reguliert werden; ein paar Beispiele:

Neben dem verarbeitenden Gewerbe gibt es in NIS2 weitere neue Sektoren: Chemie, Digitale Dienste, Forschung (Institute) und Weltraum (Boden­infrastruktur).

Das NIS2-Diskussionspapier des BMI

Von Paul Weissmann am 1. Oktober 2023

Illustrative picture draft

Ende September veröffentlichte das Innenministerium ein Diskussionspapier der NIS2-Umsetzung. Dieser dritte nun bekannte Gesetzesentwurf schreibt einige Anforderungen teils deutlich um. Der Entwurf zum Dialog mit der Wirtschaft enthält grundlegende Änderungen und Erleichterungen der NIS2-Vorgaben.

Die vereinfachten Definitionen erleichtern das Gesetz und entschärfen die Sicherheits­vorgaben teils deutlich. Vor dem Hinblick der Tausenden neuen Einrichtungen wird so sicherlich Last von Betreibern, Einrichtungen, Prüfern und auch Behörden genommen.

Unbenommen der Nachweise bleibt aber die Pflicht zur Umsetzung der Maßnahmen für nach wie vor einen Großteil der Wirtschaft in vielen Wirtschaftssektoren. Ob die Änderungen so Bestand haben, wird sich in den nächsten Monaten zeigen.

Mehr im Artikel zum NIS2-Umsetzungsgesetz.

Ergebnisbericht Wirksamkeit der IT-Sicherheitsgesetze

Von Henri Jäger am 5. Oktober 2023

Illustrative picture draft

Das BSI hat gerade die Ergebnisse einer Befragung von KRITS-Betreibern veröffentlicht. Die Studie hat die IT-Sicherheitsgesetze der vergangenen Jahre in ihrer Wirksamkeit untersucht. Befragt wurden regulierte Großunternehmen und KMUs. Von diesen KRITIS-Unternehmen betrieb jedes fünfte Anlagen, die (auch) vom EnWG oder das TKG reguliert werden.

Trotz aller Schwierigkeiten wie geringem Budget, Personalmangel und komplexer Gesetze scheinen es Betreiber zu schaffen, die Regulierung und KRITIS-Prüfungen zu bestehen. Einige der Einzelerkenntnisse aus der Befragung:

Insgesamt bewertet der Ergebnisbericht die Wirksamkeit der IT-Sicherheitsgesetze zwar als gut, die Umsetzung der KRITIS-Anforderungen leide aber an fehlendem Personal und finanziellen Ressourcen und begründet sich häufig in unzureichender Kenntnis der Gesetze.

Letzteres läßt mit Blick auf die bevorstehende NIS2-Umsetzung von über 20.000 weiteren Unternehmen, die bisher keine Erfahrungen mit dem IT-Sicherheitsgesetz gemacht haben, nicht nur Gutes erahnen. Viele der jetzt defizitären Themen gewinnen mit NIS2 deutlich an Relevanz.

Abfallentsorgung endlich in KRITIS

Von Paul Weissmann am 27. September 2023

Illustrative picture waste

Der KRITIS-Sektor Siedlungsabfallentsorgung ist nun in der KRITIS-Regulierung definiert. Mit dem IT-Sicherheitsgesetz 2.0 wurden Entsorger, Recycling-Unternehmen und kommunale Betriebe potenziell zu KRITIS-Betreibern. Die Definitionen der Anlagen wurden nun, zwei Jahre später, in der KRITIS-Verordnung als Entwurf konkretisiert.

Die Verordnung definiert im Sektor die kritische Dienstleistung (kDL) Entsorgung von Siedlungsabfällen mit zwei Bereichen Sammlung und Beförderung und Verwertung und Beseitigung. Ab 2024 werden Unternehmen im Sektor zu KRITIS-Betreibern, wenn sie auf ihren Anlagen KRITIS-Schwellenwerte überschreiten:

Nr. Anlage Beispiele
1. Sammlung und Beförderung
1.1 Disposition Sammlung oder Beförderung Disposition, Flotten­management oder ERP-Systeme
1.2 Lagerung, Zwischen­lagerung, Umladung Zwischenlager oder Umlade­stationen
2. Verwertung und Beseitigung
2.1 Thermische Behandlung Müll­verbrennungsanlagen (MVA) oder Ersatz­brennstoff­kraftwerke (EBS-Kraftwerke)
2.2 Mechanisch-biologische oder mechanisch-physikalische Behandlung Mechanisch-biologische Abfall­behandlungs­anlagen (MBA), mechanisch-biologische Stabilisierungs­anlagen (MBS) oder mechanisch-physikalische Abfall­behandlungs­anlagen (MPS)
2.3 Biologische Behandlung Kompostierungs- und Vergärungsanlagen
2.4 Mechanische Behandlung Zerkleinerung, Klassierung, Sortierung, Pressung und Palettierung
2.5 Sortierung Sortieranlagen

Die Schwellenwerte sind etwas kompliziert gestaltet und orientieren an 500 Tsd. Personen:

Abfall Schwellenwert pro Kopf
Rest/gemischter Gewerbeabfall 79,5 Tsd. t pro Jahr 159 kg Rest- oder Hausmüll
Bioabfall 33,5 Tsd. t pro Jahr 67 kg Abfall aus der Biotonne
LVP-/Kunststoffabfall 18,5 Tsd. t pro Jahr 35 kg Leichtverpackungen + 2 kg Kunststoff
PPK-Abfall 32,5 Tsd. t pro Jahr 65 kg Papier, Pappe, Karton
Glasabfall 12 Tsd. t pro Jahr 24 kg Glas

Der Gesetzgeber geht von 300 zusätzlichen KRITIS-Betreiber im Sektor Entsorgung aus. Die Verordnung soll zum 1. Januar 2024 in Kraft treten, die Betroffenheit muss für die Vorjahre jeweils zum 31. März ermittelt werden und Betreiber sich zum 1. April beim BSI registrieren.

Referentenentwurf KRITIS-Verordnung

Von Henri Jäger am 26. September 2023

Illustrative picture

Das Innenministerium hat gerade den Referentenentwurf zur vierten Änderungsverordnung der KRITIS-Verordnung veröffentlicht. Die Verordnung definiert in der KRITIS-Regulierung die betroffenen KRITIS-Sektoren, Anlagen und Schwellenwerte – die jüngste Änderung, die vierte seit 2016, schließt im aktuellen Entwurf einige Lücken:

In den kommenden Tagen sind Verbände aufgefordert, zur Änderungsverordnung Stellung zu nehmen. Die Verordnung soll zum 1. Januar 2024 in Kraft treten.

Prüfungen in NIS2 und Dachgesetz

Von Paul Weissmann am 24. Juli 2023

Illustrative picture

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz kommen neue Nachweispflichten auf über 8.000 Unternehmen in den nächsten Jahren zu. In NIS2 muss Cybersecurity alle zwei Jahre nachgewiesen werden, im KRITIS-Dachgesetz Resilienz ebenfalls alle zwei Jahre.

Es wird komplex – mit Tausenden Prüfungen jährlich:

Nachweise KRITIS-Betreiber Betreiber kritischer Anlagen (KRITIS) Besonders wichtige
Einrichtung
Wichtige
Einrichtung
Gesetz BSIG NISUmsuCG DachG NISUmsuCG NISUmsuCG
Zeitraum aktuell ab 2024-28 ab 2026 ab 2024-28 -
Pflicht §8a (3) §34 (1) §39 (2) §11 (8) §34 (1) -
Form Nachweisprüfung Audits & Co. Audits Audits & Co. -
Inhalt IT-Sicherheit

SzA
IT-Sicherheit+
Meldepflicht
SzA
Resilienz
Meldepflicht
IT-Sicherheit+
Meldepflicht
-
Scope KRITIS-Anlage Kritische Anlage Kritische Anlage Unternehmen? -
Frequenz alle zwei Jahre alle zwei Jahre alle zwei Jahre alle zwei Jahre -
Empfänger BSI BSI BBK BSI -

Die Zeitleiste der Audits hängt vom Inkrafttreten der Gesetze ab. Die bisherigen KRITIS-Prüfungen bleiben vorerst bestehen, sicherlich mit Übergangsfristen und Synchronisation. Den Zeitpunkt der ersten Nachweise legen BSI (NIS2) und BBK (DachG) fest – zwischen 2024 und 2028 in NIS2 und ab 2026 für DachG.

Neuerungen im zweiten NIS2-Referentenentwurf

Von Hanna Lurz am 21. Juli 2023

Illustrative picture

Seit Mitte Juli ist der zweite Referentenentwurf vom NIS2-Umsetzungsgesetz publik, mit einigen Auffälligkeiten und Änderungen zum letzten Entwurf von April 2023.

In der NIS2-Umsetzung wird keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen, eine Evaluierung erübrige sich durch die NIS-2-Umsetzung.

Referentenentwurf vom KRITIS-Dachgesetz

Von Paul Weissmann am 19. Juli 2023

Dach

Das KRITIS-Dachgesetz erweitert die Regulierung Kritischer Infrastrukturen ab 2023 um Resilienz und physische Sicherheit bei kritischen Betreibern. Basierend auf EU RCE/CER betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die mehr Maßnahmen für BCM, Risiko- und Krisenmanagement und physische Sicherheit umsetzen müssen.

Im aktuellen Referentenentwurf von Juli 2023 gibt es dazu eher milde Vorgaben und Fristen:

Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 in Kraft. Trotz allem kommen auf einige Betreiber zusätzliche Maßnahmen zu.

Eine ausführliche Analyse dazu im Artikel zum KRITIS-Dachgesetz.

Evaluierung des IT-Sicherheitsgesetzes 2.0

Von Hanna Lurz am 22. Juni 2023

Evaluierung IT-SiG 2.0

Im Mai 2023 hat das Innenministerium den gesetzlich geforderten Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0 vorgelegt. Der Bericht ist mit fünfzehn Seiten eher kurz und enthält neben der eigentlichen Bewertung des IT-Sicherheits­gesetzes diverse Hintergrund­informationen zu Historie und Inhalt der Regulierung.

Input für die Evaluierung war eine Online-Befragung des BSI unter KRITIS-Betreibern mit knapp 400 Unternehmen und mögliche Stellungnahmen auf eine Anfrage von BMI und BSI durch UP KRITIS, Fachverbände, Universitäten, Forschungseinrichtungen, das IDW etc. Wer tatsächlich teilgenommen hat, ist nicht klar. Die Kernergebnisse laut Evaluierung sind:

Mehr zu den Ergebnissen der Evaluierung im Artikel zum IT-Sicherheitsgesetz 2.0.

Entwurf des Gesetzes zur Umsetzung von EU NIS2

Von Hanna Lurz am 18. Mai 2023

NIS2-Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindest­standards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.

Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:

Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.

Grundsätzliche Anforderungen Prüfungen §8a (5) BSIG

Von Paul Weissmann am 17. Mai 2023

KRITIS-Prüfungen

Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.

Normativ geregelt werden:

Umsetzung ab 1.6.2023 (in zwei Wochen!), einige Anforderungen erst ab 2024.
Mehr zu den Anforderungen im Artikel zu GAiN §8a (5) BSIG

Systeme zur Angriffserkennung in 2023

Von Paul Weissmann am 3. Mai 2023

Illustrative picture

Seit dem 1. Mai müssen KRITIS-Betreiber den Einsatz von Systemen zur Angriffs­erkennung im KRITIS-Geltungsbereich nachweisen. Im BSI-Gesetz seit 2021 vorgegeben (§8a Abs. 1a), konkretisiert die Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) seit letztem Jahr die genauen Anforderungen an Betreiber.

Gefordert wird in der OH SZA eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion auf Cyberangriffe in der KRITIS-Anlage. Erste Erfahrungen aus der Praxis zeigen, dass sich intensive Vorbereitung in der Umsetzung und Prüfungen von SzA auszahlt.

Aus der OpenKRITIS-Keynote im Angriffserkennungs-Track vom CSK-Summit am 3. Mai.

SzA

Orientierungshilfe Angriffserkennung OH SzA

Austausch zu den neuen BSI-Anforderungen für Angriffserkennung
Webinar ∙ CSK-Summit <kes> Keynote ∙ 3. Mai 2023

KRITIS und Energiebetreiber nach EnWG

Von Hanna Lurz am 28. April 2023

KRITIS powerplant

Manche KRITIS-Betreiber im Energiesektor werden ausschließlich durch §8a BSIG reguliert, andere fallen neben der KRITIS-Regulierung auch unter §11 EnWG oder das ATG. Dies hängt von der betriebenen KRITIS-Anlage ab — mit unterschiedlichen Anforderungen bei Energie­anlagen, Energie­versorgungsnetzen (beide Sicherheitskatalog), Kernkraft und weiteren.

KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 EnWG unterliegen (§8d (2) Nr. 2. BSIG), müssen keine KRITIS-Maßnahmen nach §8a BSIG umsetzen oder prüfen lassen. Für diese KRITIS-Betreiber gilt das Energiewirtschaftsgesetz (EnWG).

KRITIS-Betreiber und nun? Webinar zu NIS2, RCE & co.

Von Paul Weissmann am 27. März 2023

EU size cap

Was bedeutet EU NIS2 für Unternehmen? Und was kommt ab 2023 noch auf Kritische Infrastrukturen zu? Im OpenKRITIS-Webinar am 30. März zu KRITIS 2023-24 besprechen wir EU NIS2, CER und KRITIS-Dachgesetz – und die Auswirkungen auf KRITIS-Betreiber.

Viele Unternehmen fallen ab 2024 unter mehrere Regulierungen – der Gesetzgeber wird viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben. All das im freien OpenKRITIS-Webinar am 30.3. und 13.4. Die aktualisierten Folien aus dem Webinar vom 13.4. sind nun online (PDF).

NIS2

KRITIS-Betreiber und nun? EU NIS2, CER und Dachgesetz

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ April 2023 ∙ OpenKRITIS-Briefing

KRITIS-Verordnung 1¾: LNG und Seekabel auch KRITIS

Von Paul Weissmann am 9. März 2023

KRITIS-Verordnung 1.75

Mit der 3. Verordnung zur Änderung der BSI-Kritis­verordnung von 1. März 2023 sind ab diesem Jahr LNG-Anlagen und Seekabelanlandestationen als Kritische Infrastruktur zwischen Land und See nun auch KRITIS. Die KRITIS-Verordnung 1.75 ändert genau diesen beiden Sektoren:

Entsprechende Anlagen könnten mit den Stichtagen 31.3. und 1.4. noch dieses Jahr KRITIS werden mit allen Pflichten von KRITIS-Betreibern.

Who is who in KRITIS, EU NIS2 und RCE

Von Paul Weissmann am 21. Februar 2023

EU size cap

Wer sich bei KRITIS, NIS2 und RCE fragt, welche Unternehmen zu welcher Gruppe von regulierten Kritischen Infrastrukturen gehörden – die Auflösung im Factsheet zu EU NIS2.

Viele Unternehmen könnten unter mehrere Regulierungen, Meldepflichten und Vorgaben fallen. Der Gesetzgeber wird bis spätestens Herbst 2024 viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben.

NIS2

EN EU NIS2 and RCE: Security and Resilience in Infrastructures

Fact Sheet: Pflichten, Sektoren, Betreiber in NIS2 und RCE (CER)
English ∙ PDF ∙ ⚡ Februar 2023 ∙ OpenKRITIS-Briefing

Size-Cap in EU NIS 2 für Betreiber

Von Paul Weissmann am 8. Februar 2023

EU size cap

EU NIS2 reguliert zwei Gruppen von Betreibern, die in achtzehn Sektoren in der EU Services erbringen und nach Größe reguliert werden. Die Betroffenheit der Essential und Important Entities wird in NIS 2 nach size-cap Regel über Umsatz und Größe festgestellt:

  1. Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
  2. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz

Essential Entities: Große Betreiber aus Essential Sektoren A und bestimmte Betreiber und Branchen unabhängig der Größe: Digitale Infrastruktur aus A, Öffentliche Verwaltung aus A, Sonderfälle aus A und B, Critical Entities, die unter EU RCE/CER fallen und Bisherige Entities, die bis Januar 2023 von voriger Regulierung betroffen waren.

Important Entities: Große Betreiber aus Important Sektoren B, mittlere Betreiber aus allen Sektoren B und A sowie Sonderfälle aus B und A.

NIS2 Sektoren sind A Essential Sektoren (Annex I) und B Important Sektoren (Annex II).

EU NIS 2 und RCE-Sektoren

Von Paul Weissmann am 23. Januar 2023

Die EU-Direktiven NIS2 und RCE für Kritische Infrastrukturen sind in Kraft und definieren beide Listen von Wirtschafts­sektoren, die bis 2024 von Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.

NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.

Kategorie Sektoren
Essential Energie, Transport, Banken, Finanzmärkte,
Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur,
ICT Service Management, Öffentliche Verwaltung, Raumfahrt
Important Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung,
Industrie, Digitale Dienste, Forschung

In allen Sektoren werden wahrscheinlich tausende Unternehmen (neu) betroffen sein, zusätzlich zu den bisherigen KRITIS und kommenden UBI.

up

KRITIS-Dachgesetz, RCE und NIS 2

Von Paul Weissmann am 26. November 2022, ⚡ aktualisiert am 7. Dezember 2022

KRITIS-Dachgesetz

Nach Vorfällen und der aktuellen politischen Lage in 2022 arbeitet das Innen­ministerium laut Eckpunkte-Papier an einem KRITIS-Dachgesetz, das physische Sicherheit und Resilienz in Kritischen Infrastrukturen konkretisiert und EU RCE vorgreift. Ab 2023 werden damit einige Änderungen in der deutschen KRITIS-Regulierung folgen, unter anderem:

Die KRITIS-Regulierung wird sich nochmal deutlich in betroffenen Betreibern und Schutz­maßnahmen erweitern – mit Auswirkungen auf Unternehmen ab perspektivisch 2024.
Update: Das BMI hat mittlerweile ein offizielles Papier mit Eckpunkten des geplanten Dachgesetzes publiziert, das den Regelungsrahmen umreisst.

IT-Sicherheitsgesetz 3.0 und KRITIS ab 2022-23

Von Paul Weissmann am 10. September 2022 ⚡

Die KRITIS-Regulierung in Deutschland und der EU wird sich in den kommenden Jahren deutlich weiterentwickeln. Mehr Anforderungen, mehr Betroffenheit und generell mehr Regulierung — hier die OpenKRITIS-Einschätzung:

2022

2023+

ISO 27002:2022 und IDW PH 9.860.2 für KRITIS

Von Paul Weissmann am 10. September 2022

Zu den nationalen und internationalen Security Standards für KRITIS-Betreiber wurden zwei Standards für KRITIS-Management ergänzt:

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind frei in der Auswahl von Standards.

Stand der Technik Geltungsbereich

Von Paul Weissmann am 4. Juli 2022

Der Geltungsbereich ist eines der wichtigsten Dokumente von KRITIS-Betreibern in ihren KRITIS-Anlagen. Im Geltungsbereich wird der Umfang der einzelnen KRITIS-Anlagen und ihrer IT definiert — was in der KRITIS-Prüfung mit als erstes geprüft wird. Das BSI hat zur Erstellung von Geltungsbereichen im Juni nun eine Anleitung mit Beispielen veröffentlicht.

Die Unterlage Dokumentation des Geltungsbereiches ist beim BSI als PDF online.

Geltungsbereich

Zur Dokumentation des Geltungsbereiches in KRITIS

Erfahrungen aus den Nachweisen - Hilfestellung und Beispiel
BSI ∙ Stand der Technik mit Beispielen ∙ Juni 2022

Cyber Security Standards für KRITIS

Von Paul Weissmann am 15. April 2022

Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infra­strukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

Standards

Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022

Webinar Notfall­management in Kritischen Infrastrukturen

Von Paul Weissmann am 28. März 2022, ⚡ aktualisiert am 2. Mai 2022

Notfälle in der IT, Cyber Angriffe und Krisen gefährden den Betrieb von KRITIS-Anlagen und die Versorgung der Allgemeinheit. Wie Betreiber mit BCM und IT-Notfallmanagement die Resilienz ihrer Kritischen Infrastrukturen erhöhen, besprechen wir im OpenKRITIS-Webinar:

Update: Die Folien vom Webinar am 29. April sind nun als PDF online:

BCM

Notfallmanagement in Kritischen Infrastrukturen (PDF)

Welche Lücken BCM in Kritischen Infrastrukturen schliessen kann.
Webinar ∙ Registrierung über LinkedIn ∙ 29. April 2022

up

Neue Podcast-Folge 🎧 Aus der Praxis eines KRITIS-Prüfers

Von Paul Weissmann am 14. Februar 2022

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen. Was diese Prüfungen bedeuten und wie sich Unternehmen am besten vorbereiten, verrät uns Lutz Naake, ein erfahrener KRITIS-Prüfer.

Wir sprechen über die Rolle von KRITIS-Prüfungen im IT-Sicherheitsgesetz, den Sinn von Prüfungen im Einmaleins der Cyber Security und wie Unternehmen die häufigsten Irrtümer und Fallstricke in BSIG-Nachweis­prüfungen umgehen. Es lohnt sich!

Podcast Icon

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis

Die Rolle von Prüfungen in Kritischen Infrastrukturen und wie Betreiber sich vorbereiten. Ein Gespräch über Helm­kameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022

up

KRITIS und das Telekommunikations­gesetz 2.0

Von Paul Weissmann am 31. Januar 2022

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikations­gesetz reguliert, wenn sie öffentliche Telekommunikations­netze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit im TKG, das 2021 umfangreich überarbeitet wurde.

Pflichten für IT-Sicherheit sind in §165-169 TKG reguliert — vormals im alten §109 TKG:

Der Katalog von Sicherheits­anforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern:

Abschnitt Sicherheitskatalog 2.0
Sicherheits­maßnahmen Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen Fernmelde­geheimnis, personen­bezogenen Daten, TK-Infrastruktur und Diensten
Umsetzung Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial Zusätzliche Sicherheits­anforderungen für Netze und Dienste erhöhter Kritikalität
Telecommunications

Mapping TKG Katalog 2.0 Maßnahmen und KRITIS

Abgleich vom Sicherheits­katalog 2.0 mit BSI KRITIS-Anforderungen.
PDF ∙ OpenKRITIS-Analyse vom Sicherheits­katalog 2.0 ∙ 2022

up

Einsatz von 5G im KRITIS-Sektor Telekommunikation

Von Paul Weissmann am 20. Januar 2022

Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber im Sektor Telekommunikation dem Innenministerium den Einsatz bestimmter IT-Systeme in Kritischen Infrastrukturen anzeigen. Diese Kritischen Komponenten nach §9b BSIG müssen in einzelnen Sektoren nch durch weitere Gesetze geregelt werden — im TK-Sektor erstmalig 2021 durch die Novelle des TKG.

Die BNetzA hat dazu mit dem BSI kritische Funktionen in 5G-Mobilfunk­netzen festgelegt:

Diese Systeme dürfen nur nach Zertifizierung und Freigabe eingesetzt werden.

Vorträge zu KRITIS Loops und IT-SiG 2.0 vs. EU

Von Paul Weissmann am 18. November 2021

Zwei neue OpenKRITIS-Vorträge zu Kritischen Infrastrukturen sind nun Online: Einmal beim EY-Risikomanagement Stammtisch am 17. November zu aktuellen KRITIS-Entwicklungen im Jahr 2021 zum Thema IT-Sicherheitsgesetz 2.0 und EU-Regulierung NIS2 und RCE.

Daneben ein akademischer Vortrag zusammen mit Jan Hoff bei der Transformations of Infrastructure Systems Konferenz der TU-Darmstadt am 4.11.2021 zum Thema Infinite Loop: Transformation and Fragilities in Infrastructures — immer wiederkehrenden Verwundbarkeiten durch technologische und gesellschaftliche Transformation von Kritischen Infrastrukturen.

Talk cover

German and EU Critical Infrastructures 2021

Talk at IT-Sicherheitsgesetz 2.0 - Anforderungen und Umsetzung
Online ∙ Risikomanagement-Stammtisch EY ∙ 17. November 2021

Talk cover

Infinite Loop: Transformation and Fragilities in Infrastructures

Talk at the Transformations of Infrastructure Systems conference
With Jan Hoff ∙ FG KRITIS ∙ TU Darmstadt ∙ 4. November 2021

up

OpenKRITIS-Podcast – jetzt online 🎧

Von Paul Weissmann am 9. November 2021

Was sind eigentlich Kritische Infrastrukturen? Und macht das IT-Sicherheitsgesetz den Alltag wirklich sicherer? Mit unseren Gästen gehen wir dem nach — im neuen OpenKRITIS-Podcast sprechen wir über die Hintergründe Kritischer Infrastrukturen und die Effekte staatlicher KRITIS-Regulierung auf Betreiber, Unternehmen und Gesellschaft.

Die Premieren-Folge widmet sich der Geschichte des IT-Sicherheitsgesetzes und ist ab sofort auf den gängigen Plattformen und bei uns zu finden.

Podcast Icon

Geschichte und Zukunft vom IT-Sicherheitsgesetz

Die Entwicklung Kritischer Infrastrukturen in Deutschland seit den 2000ern bis zum IT-Sicherheitsgesetz 3.0. Ein Austausch über MINT-Nerds, Lieblings­paragraphen und Tipps für Betreiber.
Mit Wilhelm Dolle
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 44 Min ∙ 8.11.2021

up

Neue KRITIS-Anlagen in den KRITIS-Sektoren

Von Paul Weissmann am 28. Oktober 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue Verordnung die KRITIS-Anlagen. Die Änderungen sind nun auch in den einzelnen KRITIS-Sektoren eingetragen:

up

Offizielle Informationen vom BSI zu UBI (UNBÖFI)

Von Paul Weissmann am 11. Oktober 2021

Das BSI hat nun die Unternehmen im besonderen öffentlichen Interesse, UBI oder UNBÖFI, etwas genauer beschrieben. Auf der offiziellen BSI-Webseite gibt es in einer FAQ-Liste mehr Informationen zu den Pflichten und Fristen der drei UBI-Gruppen 1 bis 3.

Die UBI Cyber Security Pflichten sind in der BSI-FAQ detailliert — von der Registrierung, über die Meldepflicht bis zur Sicherheitserklärung. Das Prozedere zur Anmeldung über das UBI-Büro ist ebenfalls beschrieben, via Mail.

Konferenz Transformations of Infrastructure Systems

Von Paul Weissmann am 6. September 2021

Internationale Konferenz der TU Darmstadt und GRK KRITIS zu Kritischen Infrastrukturen und der Transformation von Infrastruktursystemen am 4.-5.11.2021. Aus dem Call of Papers:

Ziel der Konferenz ist es, diese Transformationen von Infrastruktursystemen aus verschiedenen Perspektiven zu analysieren und zu erklären. Diese unterschiedlichen Perspektiven werden durch die vier Unterthemen „Cultures of Transformation“, „Governance of Transformationa“, „Temporality and Spatiality of Transformation“ und „Safe Transformation“ repräsentiert.

Wir sind mit einem Talk vertreten zu An Infinite Loop – How Transformation and Digitalization Create New Fragilities in Critical Infrastructures und freuen uns auf die Konferenz.

Webinar zu BCM in Kritischen Infrastrukturen

Von Paul Weissmann am 2. September 2021

Brauchen Betreiber ein Business Continuity Management (BCM) in ihren KRITIS-Anlagen? Und ist das nicht alles Aufgabe vom Security Management im ISMS? — Im OpenKRITIS-Webinar zu BCM wollen wir diesen und weiteren Fragen zur Umsetzung von BCM und Kontinuität bei KRITIS-Betreibern nachgehen. Agenda:

  1. BCM im IT-Sicherheitsgesetz 2.0: Was fordert das Gesetz?
  2. Best Practices für die Umsetzung, Schnittstellen zum Geltungsbereich, ISMS, ...
  3. Diskussion zu Erfahrungen aus der Praxis

Freie Teilnahme und Anmeldung über LinkedIn.

OT-Sicherheit

BCM in Kritischen Infrastrukturen und KRITIS-Anlagen

Ist BCM notwendig bei KRITIS-Betreibern? Ein Austausch.
Online ∙ Registrierung über LinkedIn ∙ 24.9.2021 13:00

KRITIS-Verordnung 2021 (1.5) beschlossen

Von Paul Weissmann am 23. August 2021

Das Bundeskabinett hat am 18. August 2021 die KRITIS-Verordnung 2.0 (Zweite Verordnung zur Änderung der BSI-Kritisverordnung) beschlossen. Ohne Aussprache beschlossen wurde laut Heise die bekannte Version des Entwurfs vom Frühling und soll ab 2022 in Kraft treten.

Die neuen Definitionen umfassen anscheinend die bereits bekannten Änderungen der KRITIS-Anlagen und Schwellenwerte; dagegen bleiben die Anlagen und Schwellenwerte des Sektors Siedlungs­abfallentsorgung und die Methodik der UNBÖFI Gruppe 2 volkswirtschaftliche Bedeutung noch offen.

IT-Sicherheitsgesetz 2.0 heute in Kraft getreten

Von Paul Weissmann am 28. Mai 2021

Das neue IT-Sicherheitsgesetz 2.0 ist am 28. Mai 2021 in Kraft getreten, nachdem es im April und Mai 2021 von Bundesrat und Bundestag beschlossen und am 27. Mai im Bundesgesetz­blatt veröffentlicht wurde. Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.

IT-SiG 2.0

Briefing – Das neue IT-Sicherheitsgesetz 2.0

Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021

IT-SiG 2.0

IT-Sicherheitsgesetz 2.0 und KRITIS-Neuerungen

Virtueller Erfahrungsaustausch zu den Auswirkungen vom IT-SiG 2.0
Online ∙ Registrierung über LinkedIn ∙ 17. Juni 2021 11:00-11:45

Webinar zum IT-Sicherheitsgesetz 2.0

Von Paul Weissmann am 25. Mai 2021

Ziel des Webinars ist ein virtueller, offener Austausch zur neuen KRITIS-Regulierung in 2021: Was bedeutet das für Betreiber? Und was kommt nach dem IT-Sicherheitsgesetz 2.0 noch?

  1. Neuerungen im IT-Sicherheitsgesetz 2.0: von Angriffserkennung bis zur Entsorgung
  2. KRITIS-Verordnung 2.0: mehr Anlagen, niedrige Schwellenwerte und +270 Betreiber
  3. Ausblick und Diskussion zu den Auswirkungen in der Praxis
IT-SiG 2.0

IT-Sicherheitsgesetz 2.0 und KRITIS-Neuerungen

Virtueller Erfahrungsaustausch zu den Auswirkungen vom IT-SiG 2.0
Online ∙ Registrierung über LinkedIn ∙ 17. Juni 2021 11:00-11:45

EU RCE und Resilienz in Kritischen Infrastrukturen

Von Paul Weissmann am 18. Mai 2021

Die EU RCE Directive on the resilience of critical entities reguliert die Resilienz von EU Kritischen Infrastrukturen. RCE fordert Ausfallsicherheit der kritischen Dienstleistungen bei Betreibern, während EU NIS2 deren Cyber Security reguliert — beide schreiben Maßnahmen bei Unternehmen und staatliche Aufsicht vor.

EU RCE löst die bisherige ECI (European Critical Infrastructures) Direktive von 2008 ab und liegt seit Ende 2020 als Entwurf vor. Die Direktive muss wie NIS2 noch verabschiedet und in nationales Recht überführt werden.

EU RCE

EN Briefing – EU RCE Directive Resilience

New resilience requirements for EU operators with EU RCE
English ∙ 12 slides PDF ∙ May 2021

EU NIS2 – Der europäische Kontext

Von Paul Weissmann am 14. Mai 2021

Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems ist das erste EU-weite Gesetz über Cyber Security bei Betreibern von Essential Services. Die neue EU NIS2 erweitert die Sektoren und Cyber Security Pflichten deutlich:

Die NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt, ein Entwurf von NIS2 liegt seit 2020 vor und muss noch verabschiedet und in nationales Recht überführt werden.

EU NIS

EN Briefing – EU NIS2 Directive Cyber Security

Changes in cyber security for EU operators with updated EU NIS2
English ∙ 12 slides PDF ∙ May 2021

Critical Infrastructures in Germany and IT-SiG 2.0

Von Paul Weissmann on May 11, 2021

German critical infrastructure law is regulated by the IT security act, recently updated by the second version IT-Sicherheitsgesetz 2.0. IT-SiG 2.0 updates the German legislation with more cyber security requirements and extends the scope by at least 270 more operators.

New rules include cyber attack detection and more reporting to the government. More companies will be affected too — by lower thresholds and more asset types, the new waste management sector and companies called special public interest entities (UNBÖFI).

IT-SiG 2.0

EN Briefing – German IT Security Act IT-SiG 2.0

Major changes in German IT security legislation with the IT-SiG 2.0
English ∙ 12 slides PDF ∙ May 2021

Unternehmen im besonderen öffentlichen Interesse – what?

Von Paul Weissmann am 6. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern nun auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) zur KRITIS-Regulierung. Viele dieser besonders schützenswerten Unternehmen haben als UNBÖFI neue KRITIS-light Security Pflichten:

  1. Rüstung: Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
  2. Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und
    Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal für diese.
  3. Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.

Diese Unternehmen im besonderen öffentlichen Interesse fallen mit den letzten Entwürfen vom IT-Sicherheitsgesetz 2.0 ab 2021 neu unter die Regulierung — mit neuen Rechtsfolgen und UNBÖFI-Pflichten für IT-Sicherheit.

KRITIS-Verordnung 2.0 – mehr Anlagen und Schwellen­werte

Von Paul Weissmann am 4. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-Verordnung auch die KRITIS-Anlagen und Schwellenwerte. Mehr Betroffenheit — für etwa 270 neue Betreiber.

Der Entwurf der neuen KRITIS-Verordnung senkt sechs Schwellenwerte bestehender KRITIS-Anlagen, fügt siebzehn neue Anlagen hinzu — weitere wurden umbenannt — und streicht fünf. Die wichtigsten Änderungen zum jetzigen Stand:

Eine Analyse der Auswirkungen und alle Anlagen im Artikel zu KRITIS-Anlagen 2.0.

IT-Sicherheits­gesetz 2.0 vom Bundestag beschlossen

Von Paul Weissmann am 29. April 2021 aktualisiert ⚡

Das neue IT-Sicherheitsgesetz 2.0 wurde am 23. April vom Bundestag in der Version vom Innenausschuss (19/28844) beschlossen. Zu den Entwürfen von Anfang 2021 hat sich nur wenig Wesentliches geändert — das IT-SiG 2.0 erweitert die Pflichten von Betreibern und Befugnisse vom Staat deutlich:

  1. Neue Pflichten für KRITIS-Betreiber
  2. Mehr betroffene Unternehmen und Sektoren
  3. Mehr Befugnisse für das BSI
  4. Höhere Sanktionen
  5. Verbraucherschutz

Update ⚡: Analyse der neuen KRITIS-Verordnung mit neuen Anlagen und Schwellenwerten im Abschnitt Schwellenwerte. Alle Anlagen auf der separaten KRITIS-Anlagen 2.0 Seite.

Für Betreiber neu — mehr KRITIS-Pflichten in der Angriffserkennung (SIEM/SOC) und mehr Informationen ans BSI, erstmalig kritische Komponenten im TK-Sektor. Neu betroffen sind der KRITIS-Sektor Entsorgung und die KRITIS-light Unternehmen im besonderen öffentlichen Interesse — nun neben Rüstung, Chemie und Konzernen auch deren Zulieferer.

Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.

– das unabhängige KRITIS-Nachschlage­werk

Von Paul Weissmann am 28. April 2021

OpenKRITIS ist ein unabhängiges Projekt für Cyber Security in Kritischen Infrastrukturen und wird seit April 2021 als Work in Progress veröffentlicht. Das Ziel ist, die vielen Informationen zu KRITIS und dem IT-Sicherheitsgesetz für Betreiber und Prüfer an einem Ort übersichtlich zusammenzuführen — für weniger STRG+F in Gesetzen und mehr Cyber Security.

Bis jetzt mit über 30 Artikeln zu: die KRITIS-Grundlagen und das ⚖ IT-Sicherheitsgesetz, die Pflichten von ♨ KRITIS-Betreibern und notwendige Cyber Security ☂ Maßnahmen. Mehr als fünf neue Artikel sind in Arbeit, der ganze Abschnitt zu ⚔ KRITIS-Prüfungen folgt bis zur nächsten Prüfsaison — alle Ausführungen werden fortlaufend aktualisiert.

OpenKRITIS basiert auf öffentlichen Quellen, den Gesetzestexten und Entwürfen sowie eigenen langfährigen KRITIS-Erfahrungen.