KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.

KRITIS und NIS2

Die NIS2-Umsetzung in Deutschland
Neues KRITIS-Dachgesetz für Resilienz
Europa: Richtlinien EU NIS2 und EU RCE
Das 2021er IT-Sicherheitsgesetz 2.0
Anlagen in KRITIS-Verordnungen

Kritische Infrastrukturen

Gesetze: Regulierte Anlagen & Sektoren
Betreiber: Pflichten als Infrastruktur
Cybersecurity: Sicherheit im Betrieb
Angriffserkennung: Systeme OH SzA
Schulungen: Aus Erfahrungen lernen

DORA und NIS2 im Finanzsektor

Von Hanna Lurz und John Bauer am 29. April 2024

Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.

Betroffen: Finanzunternehmen wie Kreditinstitute, Versicherungen + IKT-Drittdienstleister
Finanzunternehmen: Risikomanagement, Cybersecurity, Resilienz, Providersteuerung, Tests
Dienstleister: Governance, Risikomanagement, technische Sicherheit, Audits
Sanktionen: Mitgliedsstaaten legen Sanktionen fest, Behörden verhängen
Fristen: DORA gilt als EU-Vorgabe direkt und muss ab Januar 2025 angewendet werden
Aufsicht: Finanzunternehmen unterliegen nationalen Behörden, IKT-Dienstleister der EU

DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.

Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.

Von DORA und NIS2 betroffene Unternehmen müssen zwischen den Pflichten übersetzen.

Betreiber mit Mehrfach-Regulierung in NIS2

Von Hanna Lurz am 16. April 2024

In der NIS2-Umsetzung gibt es für einige Sektoren und Betreiber Ausnahmen von den NIS2-Pflichten. Trotzdem bleiben viele Betreiber in NIS2 reguliert – mit Mehrfach-Regulierung.

In NIS2 sind in einigen Sektoren bestimmte Unternehmen aus den besonders wichtigen und wichtigen Einrichtungen ausgenommen, weil sie separat reguliert sind. Das betrifft:

Sektor	Ausnahmeregel für	Reguliert durch	NIS2-Anpassung
TK	TK-Netze und Dienste	TKG (neu) Sicherheitskatalog 2.0	TKG und Katalog unbekannt
Energie	Energieversorgungsnetze Energieanlagen	§5c EnWG (neu) IT‑Sicherheitskatalog §5c (1) IT‑Sicherheitskatalog §5c (2)	äquivalent im EnWG Kataloge noch unbekannt
Finanzen	Finanzunternehmen*	DORA	äquivalent

Die Einrichtungen sind von NIS2 ausgenommen, weil sie spezialgesetzlicher Regelung durch TKG, EnWG und DORA unterliegen. Diese spezialgesetzlichen Regelungen sollen äquivalente Anforderungen aus NIS2 enthalten, sowie vertiefende Anforderungen. Vier Beispiele:

KRITIS und NIS2: Stadtwerk mit Kläranlage als Einrichtung und KRITIS-Betreiber
TKG und NIS2: Unternehmen als TK-Anbieter mit Zugangsnetz und NIS2-Einrichtung
EnWG und NIS2: Energieversorger mit Verteilnetz und KRITIS-Anlage und NIS2
DORA und NIS2: MSP als kritischer IKT-Drittdienstleister und NIS2-Einrichtung

Die Beispiele basieren auf Gesetzesentwürfen und sind stark vereinfacht – die betriebliche Realität und praktische Regulierung wird sicherlich komplexer.

NIS2-Anforderungen und Standards

Von Paul Weissmann am 9. April 2024

Das NIS2-Umsetzungsgesetz und die EU NIS2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) beschreiben Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS, aber auch einige sehr konkrete Maßnahmen in wenigen Worten.

Um die Vorbereitung zu erleichtern, werden die Anforderungen der NIS2-Umsetzung im folgenden einzeln aufgeschlüsselt und Cybersecurity-Standards zugeordnet:

BSI Konkretisierung: Anforderungen vom BSI als Nachweis für Betreiber.
ISO 27001:2022: Informationssicherheit der Annex A Kontrollen.

Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts noch konkretisiert und detailliert werden. Bis dahin bleibt diese Zuordnung die einzige Orientierung.

Aktuelles Mapping der NIS2-Anforderungen aus dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) von Dezember 2023 auf Cybersecurity Standards. Das Mapping schlüsselt die Absätze und Listen aus §30 BSIG-E (NIS2UmsuCG) in einzelne Anforderungen auf und passt den Text leicht an (Ergänzungen in Klammern). Die Zuweisung von ISO 27001:2022 und KRITIS als Draft.

Unternehmen im besonderen öffentlichen Interesse

Von Paul Weissmann am 26. März 2024

In NIS2 gibt es die Unternehmen im besonderen öffentlichen Interesse (UBI) nicht mehr als eigene Gruppe. Eingeführt mit dem IT-Sicherheitsgesetz 2.0, wurden die UBI parallel zu KRITIS-Betreibern mit eigenen, abgestuften UBI Cybersecurity-Pflichten reguliert.

Viele Definitionen und Klarstellungen fehlten seitdem – und mit NIS2 verschwinden die UBI fast. Die UBI fallen als explizite Kategorie weg und gehen größtenteils in NIS2-Einrichtungen auf:

UBI 1 Rüstung könnten als Produzenten der folgenden Güter von NIS2 betroffen sein, u. a.:

NACE C 26: Optik, Kommunikation, Elektronik, Radar, GPS, Antennen
NACE C 27: Elektrik, Schaltungen und weiteres
NACE C 30.3: Luft- und Raumfahrt, Hubschrauber, Flugzeuge, Teile, Raketen, Bodengeräte
NACE C 30.4: Militärische Kampffahrzeuge, Panzer, Amphibien- und sonstige Fahrzeuge

UBI 2 Volkswirtschaft sind von NIS2 betroffen, wenn sie als Einrichtung Größen überschreiten und in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft, auch UBI.

UBI 3 Gefahrstoffe sind in NIS2 im Sektor Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:

Hersteller und Händler von chemischen Stoffen Art. 3 Nr. 9, 14 (EG) 1907/2006
Produzenten von chemischen Erzeugnissen im Sinne Art. 3 Nr. 3 (EG) 1907/2006

Die eigenen UBI-Pflichten (§8f BSIG 2021) fallen ebenfalls weg und werden von den regulären NIS2-Pflichten für Einrichtungen abgelöst. Viel zu tun – und die Liste der NACE-Güter ist lang.

Energiesektor, NIS2 und EnWG

Von Hanna Lurz am 8. März 2024

Auch mit der NIS2-Umsetzung bleibt im Energiesektor ab 2024 Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen fallen in einigen Betriebsteilen weiterhin unter separate Regulierung im Energiesektor mit dem EnWG, parallel zu NIS2 und KRITIS. Der Dezember-Entwurf der NIS2-Umsetzung passt das EnWG in vielen Teilen an.

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) wahrscheinlich keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen. Es gelten dann die Anforderungen §5c EnWG (neuer Paragraph im Entwurf, der die bisherigen §11-Anforderungen ersetzt):

Energieversorgungsnetze und Energieanlagen müssen ihre IT im Anlagen- und Netzbetrieb schützen mit neuen BNetzA IT-Sicherheitskatalogen. Diese Kataloge müssen mindestens §30-Maßnahmen aus BSIG-E (NIS2UmsuCG) und Angriffserkennung umfassen
Maßnahmen müssen dokumentiert, Mängel beseitigt werden, das BNetzA darf die Umsetzung überprüfen und Maßnahmen vornehmen.
Sicherheitsvorfälle müssen ans BSI gemeldet werden, weiterhin diverser Austausch mit der BNetzA und weitere Informationspflichten. Betreiber müssen sich beim BSI registrieren, das dann an die BNetzA übermittelt.

Weiterhin wird es für Energiebetreiber verschiedene Sicherheitskataloge der BNetzA geben.

Katalog	gültig	Betreiber und Anlagen
IT‑Sicherheitskatalog §11 Abs. 1a EnWG	2015	Betreiber von Energieversorgungsnetzen Stromübertragungs- und -verteilnetze Gasübertragungs- und -verteilnetze
IT‑Sicherheitskatalog §11 Abs. 1b EnWG	2018	Betreiber von Energieanlagen nach KRITIS-Verordnung Erzeugungsanlagen Steuerung/Bündelung elektrischer Leistung Zentrale standortübergreifende Steuerung Gas
IT-Sicherheitskatalog neu EnWG	2024?	Betreiber von Energieversorgungsnetzen ersetzt Katalog §11 Abs. 1a für NIS2UmsuCG
IT-Sicherheitskatalog neu EnWG	2024?	Betreiber von Energieanlagen ersetzt Katalog §11 Abs. 1b für NIS2UmsuCG

Die OpenKRITIS Summer School

Von Paul Weissmann am 6. März 2024

Die OpenKRITIS-Workshops Sommer 2024 richten sich an Unternehmen, die einen fokussierten Einstieg in die NIS2 und KRITIS-Regulierung ab 2024 suchen. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt. Neben Wissensvermittlung liegt der Schwerpunkt auf Interaktion im Plenum zu Fallbeispielen – eigene Fragen sind erwünscht!

Programm OpenKRITIS-Workshops 2024, Stand März 2024, Agenda kann sich ändern
ID	Thema	Teilnehmer	Termin
S24.1	NIS2 und KRITIS-Betroffenheit – und nun? Grundlagen und erste Schritte für (neu) betroffene Firmen. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.	Max. 8	4. Juni 2024 9:30-12:30 online
S24.2	German Critical Infrastructure requirements: KRITIS and NIS2 Introduction to German KRITIS and NIS2 regulation. Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps.	Max. 8	11. Juni 2024 9:30-12:30 online
S24.3	Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG & EnWG Mit NIS2 bleibt mehrfache Regulierung (leider) erhalten. In Energie und Telekommunikation fallen Anbieter neben KRITIS und NIS2 auch unter TKG, EnWG und BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege, damit umzugehen.	Max. 6	13. Juni 2024 9:30-12:30 online
S24.4	Konzerne und Auslandsgesellschaften mit EU NIS2 Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten. Konzerne fallen mit Legaleinheiten und Landesgesellschaften unter NIS2 – in EU-Jurisdiktionen mit unterschiedlichen Regeln. Wir beleuchten den Umgang mit Betroffenheit und Registrierung.	Max. 6	18. Juni 2024 9:30-12:30 online

Die OpenKRITIS-Konferenz am 12. März 2024

Von Paul Weissmann am 5. März 2024

Nur noch eine Woche bis zur OpenKRITIS-Konferenz 2024 – mit Talks von Betreibern und BSI!
Unternehmen können von den Erfahrungen anderer Betreiber aus vielen Jahren KRITIS lernen. In vier Blöcken beleuchten Verantwortliche aus der Industrie aktuelle Themen aus der gelebten Praxis Kritischer Infrastrukturen, (fast) ohne Berater.

Strategie: Erfahrungen aus dem Aufbau von KRITIS bei Betreibern
Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)

Die OpenKRITIS-Konferenz 2024 findet am 12. März 2024 ganztägig virtuell statt.

OpenKRITIS auf LinkedIn | RSS Feed | News-Archiv