KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.
KRITIS und NIS2
- Die NIS2-Umsetzung in Deutschland
- Neues KRITIS-Dachgesetz für Resilienz
- Europa: Richtlinien EU NIS2 und EU RCE
- Das 2021er IT-Sicherheitsgesetz 2.0
- Anlagen in KRITIS-Verordnungen
Kritische Infrastrukturen
- Gesetze: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cybersecurity: Sicherheit im Betrieb
- Angriffserkennung: Systeme OH SzA
- Schulungen: Aus Erfahrungen lernen
NIS2-Umsetzungsgesetz Referentenentwurf Mai
Von Paul Weissmann am 9. Mai 2024
Der aktuelle Referentenentwurf der deutschen NIS2-Umsetzung wurde im Mai 2024 vom BMI veröffentlicht. Der Entwurf vom NIS2UmsuCG dient der Verbändeabstimmung bis Anfang Juni und soll am 1. Oktober 2024 in Kraft treten – so der Entwurf in Artikel 29.
Es ändert sich nicht viel für Betreiber zu den letzten bekannten Entwürfen: Pflichten bleiben im Grunde gleich, an der Betroffenheit und Zuständigkeit im Bund ändern sich Randfälle. Sonst gibt es viele Änderungen an Struktur, Definitionen – ohne tiefe Folgen für Betreiber.
- Präzisierung der Betroffenheit im NIS2-Sektor Chemie auf NACE 20
- Anpassung weiterer Definitionen in NIS2-Sektoren und Betreibern (IXPs, CDNs, Weltraum)
- Definition der regulierten Einrichtungen: Reihenfolge angepasst, Finanzunternehmen sind nun (doch) Einrichtungen aber von Pflichten ausgenommen, Pflichten angepasst
- Betroffenheit der öffentlichen Hand: Mehr Ausschlüsse (Kammern, IHKn, Auswärtiges Amt, Nachrichtendienste) und umgeschriebene Ausschlüsse (öffentliche IT und Cloud Provider)
- Authentizität nun kein explizites Schutzziel mehr bei §30 Maßnahmen
- Konformitätsbewertung neu hinzugekommen
- Bußgeldvorschriften angepasst in Tatbeständen und Höhe (kompliziert)
- Pflicht zur Teilnahme am Informationsaustausch für Einrichtung fällt weg
Dafür enthält der Entwurf vom NIS2UmsuCG nun die meisten Änderungen am EnWG für Energiebetreiber und TKG für Telekommunikationsanbieter. Wenig überraschend – die parallele Regulierung mit BNetzA bleibt bestehen + neue EnWG-Sicherheitskataloge. Dafür erbt das TKG §30 NIS2-Maßnahmen in §165 TKG-E – und dafür vielleicht keinen neuen Sicherheitskatalog.
Weitere bemerkenswerte Annahmen im Entwurf, vor allem in der lesenswerten Begründung:
- Prognose der Einrichtungen steigt auf 8.250 (besonders wichtig) und 21.600 (wichtig)
- Das BSI geht von 24 BSI-Prüfungen nach §65 bei Einrichtungen pro Jahr aus
- Der Gesetzgeber geht von 2,1 Mrd. EUR einmaligem und 2,1 Mrd. jährlichem Aufwand für neue Einrichtungen aus, vor allem durch Anpassung digitaler Geschäftsprozesse
- Drei Millionen Geschäftsleiter und Mitarbeiter müssen pro Jahr für NIS2 geschult werden.
- Über 1.500 neue Stellen im Bund, davon 549 beim BSI für neue Aufgaben und Pflichten
Ob dieser Entwurf den Prozess der Gesetzgebung bis zum 1. Oktober 2024 schafft?
DORA-Mapping auf NIS2, ISO 27001 und C5
Von Hanna Lurz am 7. Mai 2024
Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für betroffene Finanzunternehmen vor. Daneben werden kritische IKT-Drittdienstleister wie Cloud Provider durch die EU-Finanzaufsicht mit eigenen Security-Pflichten belegt und erben über Verträge und Erwartungen ihrer Finanzkunden weitere DORA-Pflichten.
Für IT-Provider (IKT-Drittdienstleistern) ordnet das OpenKRITIS DORA-Mapping die einzelnen Anforderungen aus DORA aufgeschlüsselt verschiedenen Cybersecurity-Standards zu:
- NIS2-Umsetzung: Vorgaben aus dem NIS2-Umsetzungsgesetz für Einrichtungen.
- C5:2020: Standard vom BSI für Informationsssicherheit in Cloud Computing.
- ISO/IEC 27001:2022: Informationssicherheit im ISMS und Annex A-Kontrollen.
Das OpenKRITIS DORA-Mapping auf NIS2 schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf, gruppiert thematisch und weist einzelne Pflichten NIS2, C5:2020 und ISO 27001:2022 Kontrollen zu – alles als Draft.
DORA und EU NIS2 für IT-Provider
DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024
DORA und NIS2 im Finanzsektor
Von Hanna Lurz und John Bauer am 29. April 2024
Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.
- Betroffen: Finanzunternehmen wie Kreditinstitute, Versicherungen + IKT-Drittdienstleister
- Finanzunternehmen: Risikomanagement, Cybersecurity, Resilienz, Providersteuerung, Tests
- Dienstleister: Governance, Risikomanagement, technische Sicherheit, Audits
- Sanktionen: Mitgliedsstaaten legen Sanktionen fest, Behörden verhängen
- Fristen: DORA gilt als EU-Vorgabe direkt und muss ab Januar 2025 angewendet werden
- Aufsicht: Finanzunternehmen unterliegen nationalen Behörden, IKT-Dienstleister der EU
DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.
Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.
Von DORA und NIS2 betroffene Unternehmen müssen zwischen den Pflichten übersetzen.
Betreiber mit Mehrfach-Regulierung in NIS2
Von Hanna Lurz am 16. April 2024
In der NIS2-Umsetzung gibt es für einige Sektoren und Betreiber Ausnahmen von den NIS2-Pflichten. Trotzdem bleiben viele Betreiber in NIS2 reguliert – mit Mehrfach-Regulierung.
In NIS2 sind in einigen Sektoren bestimmte Unternehmen aus den besonders wichtigen und wichtigen Einrichtungen ausgenommen, weil sie separat reguliert sind. Das betrifft:
| Sektor | Ausnahmeregel für | Reguliert durch | NIS2-Anpassung |
|---|---|---|---|
| TK | TK-Netze und Dienste | TKG (neu) Sicherheitskatalog 2.0 |
TKG und Katalog unbekannt |
| Energie | Energieversorgungsnetze Energieanlagen | §5c EnWG (neu) IT‑Sicherheitskatalog §5c (1) IT‑Sicherheitskatalog §5c (2) |
äquivalent im EnWG Kataloge noch unbekannt |
| Finanzen | Finanzunternehmen* | DORA | äquivalent |
Die Einrichtungen sind von NIS2 ausgenommen, weil sie spezialgesetzlicher Regelung durch TKG, EnWG und DORA unterliegen. Diese spezialgesetzlichen Regelungen sollen äquivalente Anforderungen aus NIS2 enthalten, sowie vertiefende Anforderungen. Vier Beispiele:
- KRITIS und NIS2: Stadtwerk mit Kläranlage als Einrichtung und KRITIS-Betreiber
- TKG und NIS2: Unternehmen als TK-Anbieter mit Zugangsnetz und NIS2-Einrichtung
- EnWG und NIS2: Energieversorger mit Verteilnetz und KRITIS-Anlage und NIS2
- DORA und NIS2: MSP als kritischer IKT-Drittdienstleister und NIS2-Einrichtung
Die Beispiele basieren auf Gesetzesentwürfen und sind stark vereinfacht – die betriebliche Realität und praktische Regulierung wird sicherlich komplexer.
NIS2-Mapping auf Standards
Von Paul Weissmann am 9. April 2024
Das NIS2-Umsetzungsgesetz und die EU NIS2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) beschreiben Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS, aber auch einige sehr konkrete Maßnahmen in wenigen Worten.
Um die Vorbereitung zu erleichtern, werden die Anforderungen der NIS2-Umsetzung im folgenden einzeln aufgeschlüsselt und Cybersecurity-Standards zugeordnet:
- BSI Konkretisierung: Anforderungen vom BSI als Nachweis für Betreiber.
- ISO 27001:2022: Informationssicherheit der Annex A Kontrollen.
Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts noch konkretisiert und detailliert werden. Bis dahin bleibt diese Zuordnung die einzige Orientierung.
Aktuelles Mapping der NIS2-Anforderungen aus dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) von Dezember 2023 auf Cybersecurity Standards. Das Mapping schlüsselt die Absätze und Listen aus §30 BSIG-E (NIS2UmsuCG) in einzelne Anforderungen auf und passt den Text leicht an (Ergänzungen in Klammern). Die Zuweisung von ISO 27001:2022 und KRITIS als Draft.
Unternehmen im besonderen öffentlichen Interesse
Von Paul Weissmann am 26. März 2024
In NIS2 gibt es die Unternehmen im besonderen öffentlichen Interesse (UBI) nicht mehr als eigene Gruppe.
Eingeführt mit dem IT-Sicherheitsgesetz 2.0, wurden die UBI parallel zu KRITIS-Betreibern mit eigenen, abgestuften
UBI Cybersecurity-Pflichten reguliert.
Viele Definitionen und Klarstellungen fehlten seitdem – und mit NIS2 verschwinden die UBI fast. Die UBI fallen als explizite Kategorie weg und gehen größtenteils in NIS2-Einrichtungen auf:
UBI 1 Rüstung könnten als Produzenten der folgenden Güter von NIS2 betroffen sein, u. a.:
- NACE C 26: Optik, Kommunikation, Elektronik, Radar, GPS, Antennen
- NACE C 27: Elektrik, Schaltungen und weiteres
- NACE C 30.3: Luft- und Raumfahrt, Hubschrauber, Flugzeuge, Teile, Raketen, Bodengeräte
- NACE C 30.4: Militärische Kampffahrzeuge, Panzer, Amphibien- und sonstige Fahrzeuge
UBI 2 Volkswirtschaft sind von NIS2 betroffen, wenn sie als Einrichtung Größen überschreiten und in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft, auch UBI.
UBI 3 Gefahrstoffe sind in NIS2 im Sektor Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:
- Hersteller und Händler von chemischen Stoffen Art. 3 Nr. 9, 14 (EG) 1907/2006
- Produzenten von chemischen Erzeugnissen im Sinne Art. 3 Nr. 3 (EG) 1907/2006
Die eigenen UBI-Pflichten (§8f BSIG 2021) fallen ebenfalls weg und werden von den regulären NIS2-Pflichten für Einrichtungen abgelöst. Viel zu tun – und die Liste der NACE-Güter ist lang.