KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.
KRITIS und NIS2
- Die NIS2-Umsetzung in Deutschland
- Neues KRITIS-Dachgesetz für Resilienz
- Europa: Richtlinien EU NIS2 und EU RCE
- Das 2021er IT-Sicherheitsgesetz 2.0
- Anlagen in KRITIS-Verordnungen
Kritische Infrastrukturen
- Gesetze: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cybersecurity: Sicherheit im Betrieb
- Angriffserkennung: Systeme OH SzA
- Schulungen: Aus Erfahrungen lernen
DORA und NIS2 im Finanzsektor
Von Hanna Lurz und John Bauer am 29. April 2024
Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.
- Betroffen: Finanzunternehmen wie Kreditinstitute, Versicherungen + IKT-Drittdienstleister
- Finanzunternehmen: Risikomanagement, Cybersecurity, Resilienz, Providersteuerung, Tests
- Dienstleister: Governance, Risikomanagement, technische Sicherheit, Audits
- Sanktionen: Mitgliedsstaaten legen Sanktionen fest, Behörden verhängen
- Fristen: DORA gilt als EU-Vorgabe direkt und muss ab Januar 2025 angewendet werden
- Aufsicht: Finanzunternehmen unterliegen nationalen Behörden, IKT-Dienstleister der EU
DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.
Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.
Von DORA und NIS2 betroffene Unternehmen müssen zwischen den Pflichten übersetzen.
Betreiber mit Mehrfach-Regulierung in NIS2
Von Hanna Lurz am 16. April 2024
In der NIS2-Umsetzung gibt es für einige Sektoren und Betreiber Ausnahmen von den NIS2-Pflichten. Trotzdem bleiben viele Betreiber in NIS2 reguliert – mit Mehrfach-Regulierung.
In NIS2 sind in einigen Sektoren bestimmte Unternehmen aus den besonders wichtigen und wichtigen Einrichtungen ausgenommen, weil sie separat reguliert sind. Das betrifft:
Sektor | Ausnahmeregel für | Reguliert durch | NIS2-Anpassung |
---|---|---|---|
TK | TK-Netze und Dienste | TKG (neu) Sicherheitskatalog 2.0 |
TKG und Katalog unbekannt |
Energie | Energieversorgungsnetze Energieanlagen | §5c EnWG (neu) IT‑Sicherheitskatalog §5c (1) IT‑Sicherheitskatalog §5c (2) |
äquivalent im EnWG Kataloge noch unbekannt |
Finanzen | Finanzunternehmen* | DORA | äquivalent |
Die Einrichtungen sind von NIS2 ausgenommen, weil sie spezialgesetzlicher Regelung durch TKG, EnWG und DORA unterliegen. Diese spezialgesetzlichen Regelungen sollen äquivalente Anforderungen aus NIS2 enthalten, sowie vertiefende Anforderungen. Vier Beispiele:
- KRITIS und NIS2: Stadtwerk mit Kläranlage als Einrichtung und KRITIS-Betreiber
- TKG und NIS2: Unternehmen als TK-Anbieter mit Zugangsnetz und NIS2-Einrichtung
- EnWG und NIS2: Energieversorger mit Verteilnetz und KRITIS-Anlage und NIS2
- DORA und NIS2: MSP als kritischer IKT-Drittdienstleister und NIS2-Einrichtung
Die Beispiele basieren auf Gesetzesentwürfen und sind stark vereinfacht – die betriebliche Realität und praktische Regulierung wird sicherlich komplexer.
NIS2-Anforderungen und Standards
Von Paul Weissmann am 9. April 2024
Das NIS2-Umsetzungsgesetz und die EU NIS2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) beschreiben Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS, aber auch einige sehr konkrete Maßnahmen in wenigen Worten.
Um die Vorbereitung zu erleichtern, werden die Anforderungen der NIS2-Umsetzung im folgenden einzeln aufgeschlüsselt und Cybersecurity-Standards zugeordnet:
- BSI Konkretisierung: Anforderungen vom BSI als Nachweis für Betreiber.
- ISO 27001:2022: Informationssicherheit der Annex A Kontrollen.
Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts noch konkretisiert und detailliert werden. Bis dahin bleibt diese Zuordnung die einzige Orientierung.
Aktuelles Mapping der NIS2-Anforderungen aus dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) von Dezember 2023 auf Cybersecurity Standards. Das Mapping schlüsselt die Absätze und Listen aus §30 BSIG-E (NIS2UmsuCG) in einzelne Anforderungen auf und passt den Text leicht an (Ergänzungen in Klammern). Die Zuweisung von ISO 27001:2022 und KRITIS als Draft.
Unternehmen im besonderen öffentlichen Interesse
Von Paul Weissmann am 26. März 2024
In NIS2 gibt es die Unternehmen im besonderen öffentlichen Interesse (UBI) nicht mehr als eigene Gruppe.
Eingeführt mit dem IT-Sicherheitsgesetz 2.0, wurden die UBI parallel zu KRITIS-Betreibern mit eigenen, abgestuften
UBI Cybersecurity-Pflichten reguliert.
Viele Definitionen und Klarstellungen fehlten seitdem – und mit NIS2 verschwinden die UBI fast. Die UBI fallen als explizite Kategorie weg und gehen größtenteils in NIS2-Einrichtungen auf:
UBI 1 Rüstung könnten als Produzenten der folgenden Güter von NIS2 betroffen sein, u. a.:
- NACE C 26: Optik, Kommunikation, Elektronik, Radar, GPS, Antennen
- NACE C 27: Elektrik, Schaltungen und weiteres
- NACE C 30.3: Luft- und Raumfahrt, Hubschrauber, Flugzeuge, Teile, Raketen, Bodengeräte
- NACE C 30.4: Militärische Kampffahrzeuge, Panzer, Amphibien- und sonstige Fahrzeuge
UBI 2 Volkswirtschaft sind von NIS2 betroffen, wenn sie als Einrichtung Größen überschreiten und in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft, auch UBI.
UBI 3 Gefahrstoffe sind in NIS2 im Sektor Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:
- Hersteller und Händler von chemischen Stoffen Art. 3 Nr. 9, 14 (EG) 1907/2006
- Produzenten von chemischen Erzeugnissen im Sinne Art. 3 Nr. 3 (EG) 1907/2006
Die eigenen UBI-Pflichten (§8f BSIG 2021) fallen ebenfalls weg und werden von den regulären NIS2-Pflichten für Einrichtungen abgelöst. Viel zu tun – und die Liste der NACE-Güter ist lang.
Energiesektor, NIS2 und EnWG
Von Hanna Lurz am 8. März 2024
Auch mit der NIS2-Umsetzung bleibt im Energiesektor ab 2024 Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen fallen in einigen Betriebsteilen weiterhin unter separate Regulierung im Energiesektor mit dem EnWG, parallel zu NIS2 und KRITIS. Der Dezember-Entwurf der NIS2-Umsetzung passt das EnWG in vielen Teilen an.
NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) wahrscheinlich keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen. Es gelten dann die Anforderungen §5c EnWG (neuer Paragraph im Entwurf, der die bisherigen §11-Anforderungen ersetzt):
- Energieversorgungsnetze und Energieanlagen müssen ihre IT im Anlagen- und Netzbetrieb schützen mit neuen BNetzA IT-Sicherheitskatalogen. Diese Kataloge müssen mindestens §30-Maßnahmen aus BSIG-E (NIS2UmsuCG) und Angriffserkennung umfassen
- Maßnahmen müssen dokumentiert, Mängel beseitigt werden, das BNetzA darf die Umsetzung überprüfen und Maßnahmen vornehmen.
- Sicherheitsvorfälle müssen ans BSI gemeldet werden, weiterhin diverser Austausch mit der BNetzA und weitere Informationspflichten. Betreiber müssen sich beim BSI registrieren, das dann an die BNetzA übermittelt.
Weiterhin wird es für Energiebetreiber verschiedene Sicherheitskataloge der BNetzA geben.
Katalog | gültig | Betreiber und Anlagen |
---|---|---|
IT‑Sicherheitskatalog §11 Abs. 1a EnWG |
2015 | Betreiber von Energieversorgungsnetzen
|
IT‑Sicherheitskatalog §11 Abs. 1b EnWG |
2018 | Betreiber von Energieanlagen nach KRITIS-Verordnung
|
IT-Sicherheitskatalog neu EnWG |
2024? | Betreiber von Energieversorgungsnetzen
|
IT-Sicherheitskatalog neu EnWG |
2024? | Betreiber von Energieanlagen
|
Die OpenKRITIS Summer School
Von Paul Weissmann am 6. März 2024
Die OpenKRITIS-Workshops Sommer 2024 richten sich an Unternehmen, die einen fokussierten Einstieg in die NIS2 und KRITIS-Regulierung ab 2024 suchen. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt. Neben Wissensvermittlung liegt der Schwerpunkt auf Interaktion im Plenum zu Fallbeispielen – eigene Fragen sind erwünscht!
ID | Thema | Teilnehmer | Termin |
---|---|---|---|
S24.1 | NIS2 und KRITIS-Betroffenheit – und nun? Grundlagen und erste Schritte für (neu) betroffene Firmen. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten. |
Max. 8 | 4. Juni 2024 9:30-12:30 online |
S24.2 | German Critical Infrastructure requirements: KRITIS and NIS2 Introduction to German KRITIS and NIS2 regulation. Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps. |
Max. 8 | 11. Juni 2024 9:30-12:30 online |
S24.3 | Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG & EnWG Mit NIS2 bleibt mehrfache Regulierung (leider) erhalten. In Energie und Telekommunikation fallen Anbieter neben KRITIS und NIS2 auch unter TKG, EnWG und BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege, damit umzugehen. |
Max. 6 | 13. Juni 2024 9:30-12:30 online |
S24.4 | Konzerne und Auslandsgesellschaften mit EU NIS2 Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten. Konzerne fallen mit Legaleinheiten und Landesgesellschaften unter NIS2 – in EU-Jurisdiktionen mit unterschiedlichen Regeln. Wir beleuchten den Umgang mit Betroffenheit und Registrierung. |
Max. 6 | 18. Juni 2024 9:30-12:30 online |
Die OpenKRITIS-Konferenz am 12. März 2024
Von Paul Weissmann am 5. März 2024
Nur noch eine Woche bis zur OpenKRITIS-Konferenz 2024 – mit Talks von Betreibern und BSI!
Unternehmen können von den Erfahrungen anderer Betreiber aus vielen Jahren KRITIS lernen.
In vier Blöcken beleuchten Verantwortliche aus der Industrie aktuelle Themen aus der gelebten Praxis Kritischer Infrastrukturen, (fast) ohne Berater.
- Strategie: Erfahrungen aus dem Aufbau von KRITIS bei Betreibern
- Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
- Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
- Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
- Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)
Die OpenKRITIS-Konferenz 2024 findet am 12. März 2024 ganztägig virtuell statt.