Summer School

OpenKRITIS Summer School 2024

Der Einstieg in NIS2 für Unternehmen

Die OpenKRITIS Summer School im Sommer 2024 richtet sich an Unternehmen, die einen einfachen Einstieg in die komplexe Welt der NIS2- und KRITIS-Regulierung in Deutschland suchen. In den Modulen behandeln wir an jeweils einem Vormittag in Kleingruppen in einem interaktiven Workshop-Format Themen rund um die Regulierung – mit vielen Fragen.

Die Summer School 2024 ist seit Ende Juni 2024 abgeschlossen.
Wir planen eine Fortsetzung des populären Formats ab Winter 2024-2025.

Programm OpenKRITIS-Workshops 2024, Juni 2024
ID Thema Plätze Termin
S24.1 NIS2 und KRITIS-Betroffenheit – und nun?
Grundlagen und erste Schritte für (neu) betroffene Firmen.
In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.
6 4. Juni 2024
S24.2 German Critical Infrastructure requirements: KRITIS and NIS2
Introduction to German KRITIS and NIS2 regulation.
Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps.
6 11. Juni 2024
S24.3 Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG & EnWG
Mit NIS2 bleibt mehrfache Regulierung (leider) erhalten.
In Energie und Telekommunikation fallen Anbieter neben KRITIS und NIS2 auch unter TKG, EnWG und BNetzA-Sicherheits­kataloge. Was gilt nun wo? Wir besprechen Wege, damit umzugehen.
6 13. Juni 2024
S24.4 Konzerne und Auslandsgesellschaften mit EU NIS2
Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten.
Konzerne fallen mit Legaleinheiten und Landesgesellschaften unter NIS2 – in EU-Jurisdiktionen mit unterschiedlichen Regeln. Wir beleuchten den Umgang mit Betroffenheit und Registrierung.
6 18. Juni 2024

Das Ziel der Workshops ist, in einem fokussierten Rahmen ein Grundverständnis der Themen gemeinsam in der Gruppe mit Gleichgesinnten zu erarbeiten. Dabei sollen viele Fragen gestellt und eigene Fallbeispiele eingebracht werden. Die Workshops werden online durchgeführt.

Zielgruppe

Zielgruppe sind Unternehmen, die von NIS2/KRITIS betroffen sind oder es (vielleicht) werden.

up

NIS2 und KRITIS-Betroffenheit – und nun?

ID Thema Plätze Termin
S24.1 NIS2 und KRITIS-Betroffenheit – und nun?
Grundlagen und erste Schritte für (neu) betroffene Firmen.
ausgebucht 4. Juni 2024
S24.1B NIS2 und KRITIS-Betroffenheit – und nun? Warteliste Folgetermin

Dieser Workshop ist eine Einleitung mit Grundlagenwissen zu Kritischen Infrastrukturen für Unternehmen, die (bald) unter NIS2 und KRITIS fallen. In Deutschland sind ab diesem Jahr viele Sektoren, Dienstleistungen, Produkte und Unternehmen reguliert – die Regulierung erweitert sich um Tausende Unternehmen, die deutlich über Infrastrukturen hinausgehen.

Wie ist das eigene Unternehmen betroffen? Und was sind die nächsten Schritte?

Nach den notwendigen Grundlagen der NIS2/KRITIS-Regulierung erarbeiten wir im Plenum die eigene Betroffenheit und notwendige Sicherheits­maßnahmen. Unternehmen können als Anlage, Einrichtung oder auch gar nicht von NIS2 betroffen sein – mit unterschiedlichen technischen, organisatorischen und bürokratischen Security-Maßnahmen, die umgesetzt werden müssen.

Als Ergebnis erhalten Teilnehmer ein Grundverständnis der eigenen KRITIS/NIS2-Betroffenheit und sind in der Lage, die nächsten Schritte im eigenen Unternehmen zu artikulieren. Nicht alles kann auf einmal gelöst werden – aber die Grundsteine müssen gelegt werden.

Schwerpunkte

  1. Grundlagen Regulierung: Einführung und Übersicht von NIS2 und KRITIS in Deutschland. Umsetzungsgesetz, Dachgesetz, Verordnungen, Definitionen, Vorgaben und Anforderungen.
  2. Betroffenheit: Verständnis der Sektoren, Schwellenwerte, Anlagen und Einrichtungsarten in NIS2 und KRITIS. Skizze der Betroffenheit von IT und Prozessen im Geltungsbereich.
  3. IT-Sicherheit: Die grundlegenden Maßnahmen zur Steuerung von Risiko-Management und Sicherheit. Übersicht über ISMS, Notfallvorsorge und viele Prozesse und Governance.

Der Kurs richtet sich an (potenziell) regulierte Einrichtungen.

up

German Critical Infrastructures in English

ID Topic Seats Date
S24.2 German Critical Infrastructure compliance: KRITIS and NIS2
An introduction to German KRITIS and NIS2 regulation.
fully booked June 11, 2024

This is an introductory course meant to enable foreign partners, subsidiaries or HQs of German companies understand the basic outlines of German Critical Infrastructure Protection (CIP) regulations in light of the many changes of 2024 and beyond.

Companies operating in Germany might be governed by German NIS2 and KRITIS regulations, either as infrastructure operator or entity providing services. The resulting regulations and requirements for companies with German subsidiaries and clients can be complex: registration with authorites, IT security and resilience requirements, incident reporting and formalities.

We dive into scoping, requirements and practical next steps to help IT officers, compliance experts and technical leads get a basic understanding of the requirements for entities operating under KRITIS and NIS2 law.

This course is held in English.

Topics

  1. German KRITIS basics: Overview of the foundation of German CIP regulation: KRITIS and NIS2 laws, identification methods, scope of applicability, thresholds, definition of operators.
  2. Changes NIS2 and 2024: Understanding the disruptive changes to German KRITIS by NIS2 with more sectors, more requirements and thousands more regulated companies.
  3. What now?: Deep dive into possible next steps for NIS2 and KRITIS compliance. Essential cybersecurity and resilience governance, IT security measures, authority processes.

This course is offered for operators and regulated entities.

up

Betreiber mit Mehrfach-Regulierung

ID Thema Plätze Termin
S24.3 Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG, EnWG
Strategien für NIS2 mit mehrfacher Sektor-Regulierung.
ausgebucht 13. Juni 2024

Mit NIS2 bleiben doppelte Regulierung und Zuständigkeiten in Deutschland (leider) erhalten. In der Energie­wirtschaft und Telekommunikation fallen Anbieter neben KRITIS und NIS2 häufig weiterhin auch unter das TKG, EnWG und die BNetzA-Sicherheits­kataloge. Alle diese Vorgaben werden sich ab 2024 dazu noch weiterentwickeln.

Neben vielen technischen und organisatorischen Sicherheits­maßnahmen müssen TK- und Energie-Anbieter einigen büro­kratischen Pflichten nachkommen – im Spannungsfeld mehrerer Behörden. Auch Anbieter, die nicht unmittelbar von NIS2 betroffen sind sondern sektor-reguliert bleiben, erben NIS2-Maßnahmen teilweise durch Sicherheitskataloge der BNetzA.

Was gilt nun wo und wann? Wir besprechen Wege, die vielen Anforderungen zu entzerren und konsolidiert anzugehen. Dabei helfen Strategien, auf bestehende Rahmenwerke wie ISMS und ISO im Unternehmen zurück­zugreifen um Doppelarbeit und Papiertiger zu vermeiden.

Wir helfen bei den vielen Fragen zu Maßnahmen, Zertifizierungen und Sicherheitskatalogen.

Schwerpunkte

  1. Neuerungen mit NIS2: Übersicht der NIS2-Umsetzung mit Fokus auf Definitionen und den vielen neuen Einrichtungen und Unternehmen. Und viele neue Cybersecurity-Pflichten.
  2. Sicherheitskataloge TKG und EnWG: Zusammenfassung der wesentlichen Forderungen der BNetzA-Sicherheitskataloge und potenzielle Änderungen durch NIS2 (§30).
  3. Strategien zur Bewältigung: ISMS als Grundlage zur Steuerung – mit Erweiterungen für TKG und EnWG in Scope, Vorgaben, Sicherheits­maßnahmen und Nachweisen. Ausblick auf Änderungen an bestehenden Zertifizierungen, ISMS und Auswirkungen auf Provider.

Der Kurs richtet sich an (potenziell) regulierte Einrichtungen.

up

Konzerne und Auslandeinheiten in EU NIS2

ID Thema Plätze Termin
S24.4 Konzerne und Auslandsgesellschaften in EU NIS2
Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten.
ausgebucht 18. Juni 2024

EU NIS2 verändert die Regulierung vieler Konzerne in Europa und erstreckt die Betroffenheit vielfach auf Auslands- und Tochter­gesellschaften. Unternehmen und Beteiligungen werden als eigene Legaleinheiten schnell durch NIS2 zu regulierten Entities mit eigenen Behörden und lokalen Vorgaben.

Die EU-Richtlinie NIS2 enthält Vorkehrungen, um diese Verkettungen zu vereinfachen – innerhalb von Konzernen aber auch über Landesgrenzen hinweg (Territorialität). Bestimmte Betreiber wie z.B. Cloud sollen so möglichst zentral und nicht dutzendfach reguliert werden. Dies alles bedarf noch Harmonisierung in nationalen Gesetzen und der Regulierungspraxis.

Sollen alle Auslands- und Tochtergesellschaft einzeln registriert werden? Welcher Teil von Unternehmen erbringt eigentlich NIS2-relevante Services? Was ist mit Vertriebsgesellschaften?

Wir beleuchten den Umgang von Konzernen mit Betroffenheit und Registrierung vor dem Hintergrund verteilter Verantwortungen, Dienstleistungen und Infrastruktur. Der Workshop dient als Einstieg in das Thema mit Feedback zu eigenen Ansätzen – wir werden nicht auf alles Antworten haben, aber Startpunkte finden.

Schwerpunkte

  1. Betroffenheit: Analyse der EU NIS2 und deutschen Vorgaben zu Konzernen und Ausland. Territorialität, Einrichtungen, Registrierung, Geltungsbereich und Vorgaben.
  2. Methodik: Ableitung betroffener Unternehmens­teile durch NIS2-Größen und Regeln, Dienst­leistungen, Wert­schöpfung und Konzernintegration.
  3. Strategien: Umgang mit den Auswirkungen als verteilter Konzern. Scope im Unternehmen, Interaktion mit Behörden, Sicherheits­maßnahmen, verteilte Prozesse und Steuerung.

Der Kurs richtet sich an (potenziell) regulierte Einrichtungen.

up

Referenten

Paul Weissmann

Als Gründer von OpenKRITIS und Insignals GmbH begleitet Paul Weissmann Unternehmen auf dem Weg durch KRITIS und NIS2. Er hilft Betreibern und Verantwortlichen seit vielen Jahren bei einem eigenen, passgenauen Ansatz durch die Regulierung – vom DAX-Konzern bis zum Optiker. Gelernter Netzwerk-Ingenieur, dann lange Senior Manager in der Wirtschafts­prüfung.

Mitautor des Prüfhinweises Kritische Infrastrukturen des Instituts der Wirtschaftsprüfer IdW und des neuen KRITIS-Schulungsprogramm für Prüfer ab 2024. Seit dem ersten IT-Sicherheits­gesetz sehr viel Erfahrung in der Zusammenarbeit mit Behörden im Bund und der EU.

Hanna Lurz

Hanna Lurz ist Expertin bei OpenKRITIS für ISO 27001-Standards und die Energiewirtschaft. Sie ist als Senior Beraterin bei der Insignals GmbH für die Schwerpunkte Kritische Infrastrukturen und zertifizierungs­reife ISMS verantwortlich. Hanna hat über zehn Jahre Beratungs­erfahrung und war lange Fachbereichs­leiterin ISM in einer Zertifizierungs­organisation.

Sie ist Autorin und Redakteurin verschiedener KRITIS-Studien seit 2015 mit viel Erfahrung in der Regulierungs­welt und der Beratung von Behörden und Betreibern.

up

Anmeldung

Buchung

Fragen zur Registrierung und Termine bitte an school@openkritis.de

up

Ablauf der Workshops

Durchführung

Die Workshops werden online per Microsoft Teams durchgeführt, wir laden ein. Das Format ist interaktiv mit Audio/Video und Anzeige von Teilnehmer-Namen – wir sehen uns.

Vorbereitung

Die Workshops setzen keine Vorkenntnisse zu KRITIS und NIS2 voraus. Vorbereitung und Wissen über das eigene Unternehmen und eingesetzte IT und Technologien helfen aber sehr.

  1. Pre-Reads: Unterlagen und Quellen zur Vorbereitung und zum Einlesen
    Relevante Ausschnitte von Gesetzen, Definitionen und Konzepten von Behörden
  2. Arbeitspapiere: Checklisten und Hilfsmaterial zur eigenen Einarbeitung
    Fragebögen und Arbeitspapiere zur Orientierung vor dem Workshop
  3. Fragen und Fallbeispiele: Können vor dem Workshop gerne eingereicht werden.
    Hintergründe, Herleitungen, Szenarien und spezifische Fragen

Nach den Workshops

Teilnehmer erhalten die Schulungsunterlagen nach den Kursen. Wir bleiben dann auch gerne in Kontakt und helfen bzw. vermitteln bei Fragen.