KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.

Industry

KRITIS und NIS2

Power plant

Kritische Infrastrukturen

Energiesektor, NIS2 und EnWG

Von Hanna Lurz am 8. März 2024

Energy

Auch mit der NIS2-Umsetzung bleibt im Energiesektor ab 2024 Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen fallen in einigen Betriebsteilen weiterhin unter separate Regulierung im Energiesektor mit dem EnWG, parallel zu NIS2 und KRITIS. Der Dezember-Entwurf der NIS2-Umsetzung passt das EnWG in vielen Teilen an.

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) wahrscheinlich keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen. Es gelten dann die Anforderungen §5c EnWG (neuer Paragraph im Entwurf, der die bisherigen §11-Anforderungen ersetzt):

Weiterhin wird es für Energiebetreiber verschiedene Sicherheitskataloge der BNetzA geben.

Katalog gültig Betreiber und Anlagen
IT‑Sicherheitskatalog
§11 Abs. 1a EnWG
2015 Betreiber von Energieversorgungsnetzen
  • Stromübertragungs- und -verteilnetze
  • Gasübertragungs- und -verteilnetze
IT‑Sicherheitskatalog
§11 Abs. 1b EnWG
2018 Betreiber von Energieanlagen nach KRITIS-Verordnung
  • Erzeugungsanlagen
  • Steuerung/Bündelung elektrischer Leistung
  • Zentrale standortübergreifende Steuerung Gas
IT-Sicherheitskatalog
neu EnWG
2024? Betreiber von Energieversorgungsnetzen
  • ersetzt Katalog §11 Abs. 1a für NIS2UmsuCG
IT-Sicherheitskatalog
neu EnWG
2024? Betreiber von Energieanlagen
  • ersetzt Katalog §11 Abs. 1b für NIS2UmsuCG

Die OpenKRITIS Summer School

Von Paul Weissmann am 6. März 2024

OpenKRITIS Summer School 2024

Die OpenKRITIS-Workshops Sommer 2024 richten sich an Unternehmen, die einen fokussierten Einstieg in die NIS2 und KRITIS-Regulierung ab 2024 suchen. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt. Neben Wissensvermittlung liegt der Schwerpunkt auf Interaktion im Plenum zu Fallbeispielen – eigene Fragen sind erwünscht!

Programm OpenKRITIS-Workshops 2024, Stand März 2024, Agenda kann sich ändern
ID Thema Teilnehmer Termin
S24.1 NIS2 und KRITIS-Betroffenheit – und nun?
Grundlagen und erste Schritte für (neu) betroffene Firmen.
In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.
Max. 8 4. Juni 2024
9:30-12:30
online
S24.2 German Critical Infrastructure requirements: KRITIS and NIS2
Introduction to German KRITIS and NIS2 regulation.
Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps.
Max. 8 11. Juni 2024
9:30-12:30
online
S24.3 Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG & EnWG
Mit NIS2 bleibt mehrfache Regulierung (leider) erhalten.
In Energie und Telekommunikation fallen Anbieter neben KRITIS und NIS2 auch unter TKG, EnWG und BNetzA-Sicherheits­kataloge. Was gilt nun wo? Wir besprechen Wege, damit umzugehen.
Max. 6 13. Juni 2024
9:30-12:30
online
S24.4 Konzerne und Auslandsgesellschaften mit EU NIS2
Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten.
Konzerne fallen mit Legaleinheiten und Landesgesellschaften unter NIS2 – in EU-Jurisdiktionen mit unterschiedlichen Regeln. Wir beleuchten den Umgang mit Betroffenheit und Registrierung.
Max. 6 18. Juni 2024
9:30-12:30
online

Die OpenKRITIS-Konferenz am 12. März 2024

Von Paul Weissmann am 5. März 2024

OpenKRITIS-Konferenz

Nur noch eine Woche bis zur OpenKRITIS-Konferenz 2024 – mit Talks von Betreibern und BSI!
Unternehmen können von den Erfahrungen anderer Betreiber aus vielen Jahren KRITIS lernen. In vier Blöcken beleuchten Verantwortliche aus der Industrie aktuelle Themen aus der gelebten Praxis Kritischer Infrastrukturen, (fast) ohne Berater.

  1. Strategie: Erfahrungen aus dem Aufbau von KRITIS bei Betreibern
  2. Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
  3. Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
  4. Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
  5. Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)

Die OpenKRITIS-Konferenz 2024 findet am 12. März 2024 ganztägig virtuell statt.

Der Staat als Kritische Infrastruktur

Von Paul Weissmann am 4. März 2024

Picture of Audit Evidence

Der Sektor Staat und öffentliche Verwaltung gehören seit langem zu Kritischen Infrastrukturen. Trotzdem waren staatliche Organe und die öffentliche Verwaltung von vielen KRITIS-Pflichten ausgenommen. Mit NIS2 und KRITIS-Dachgesetz wird die Bundesverwaltung ab 2024 nun etwas mehr reguliert – es bleiben aber immer noch Lücken.

Während die EU-Direktive NIS2 große Teile der Regierung in mehreren Ebenen reguliert, gibt es im Bundesgesetz dafür viele Ausnahmen. Länder und Kommunen sind nicht explizit vom deutschen NIS2-Umsetzungsgesetz benannt, es soll aber NIS2-Landesgesetze geben.

eigene Zusammenstellung Stand März 2024
Ebene Einrichtungen Out of scope (wahrscheinlich)
Bund
  • Stellen des Bundes
  • Körperschaften, Anstalten des öffentlichen Rechts
  • Öffentliche IT-Dienstleistunger Bund
  • Bundesministerien
  • Bundeskanzleramt
  • Sicherheitsbehörden des Bundes
  • Strafverfolgungsbehörden
  • Nationale Sicherheit
  • Institutionen soziale Sicherung
  • Geschäftsbereich Verteidigung
Länder wartet auf Landesgesetze
  • Landesregierungen, Landesministerien
  • Öffentliche Verwaltung Landesebene
  • Landesbehörden
  • IT-Dienstleister und Rechenzentren
  • Strafverfolgung und Polizeien der Länder
  • Hochschulen und Bildungswesen
Kommunen Kommunale Eigenbetriebe (AöR, GmbH, ...)
  • Stadtwerke, Heizkraftwerke
  • Krankenhäuser und Gruppen
  • Entsorger
  • Wasser- und Abwasserwerke
  • IT-Dienstleister und Rechenzentren
  • Kommunale Verwaltung und Regierung
  • Ämter, Stadthäuser, Zentren
  • Kommunale Behörden
  • Feuerwehr
  • Kommunale Polizei, Stadtpolizei
  • Schulen, Volkshochschulen
  • Betreuuung
  • Unklar: Kommunale Zweckverbänden

Einreichung von Nachweisen in KRITIS-Prüfungen

Von Hanna Lurz am 1. März 2024

Picture of Audit Evidence

KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cyber­security Maßnahmen in ihren KRITIS-Anlagen alle zwei, bald alle drei Jahre durch KRITIS-Prüfungen nachweisen. In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel, die als Teil der Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen.

Im Abschluss der Prüfung kommt es dabei häufig zu Nachfragen und Nachforderungen durch das BSI, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte:

Zur erfolgreichen Einreichung veranstaltet das BSI auch eine Videokonferenz am 5. März 2024 unter dem Titel Nachweise gemäß § 8a Abs. 3 BSIG “ We have a dream …” (mit Anmeldung).

Meldepflichten in der NIS2-Umsetzung

Von Hanna Lurz am 22. Februar 2024

Picture of Phone Booth

Mit der deutschen NIS2-Umsetzung kommen ab Ende 2024 auf betroffene Einrichtungen viele neue Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen – in Umfang, Fristen und Pflichten.

Besonders wichtige Einrichtungen, Betreiber kritischer Anlagen und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Meldepflichten durch das KRITIS-Dachgesetz an das BBK kommen noch dazu.

Die verschiedenen Arten von Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: Es gibt erhebliche Sicherheitsvorfälle, Sicherheitsvorfälle, Beinahevorfälle und erhebliche Cyberbedrohungen, die in den Meldepflichten eine Rolle spielen. Diese Vorgaben können durch Rechtsverordnung (BMI) oder einen Implementing Act (EU) angepasst werden.

Je nach Sektor und Vorfallsart, müssen manche Einrichtungen zusätzlich zum BSI auch die Kunden ihrer Dienste über erhebliche Sicherheits­vorfälle und erhebliche Cyberbedrohungen informieren – teils inklusive Gegenmaßnahmen.

Umsetzung von NIS2 in EU-Mitgliedsstaaten

Von Henri Jäger am 2. Februar 2024

EU

EU-Mitglieds­staaten müssen EU NIS2 bis Oktober 2024 in nationales Recht umsetzen. Fast alle EU-Länder arbeiten an der Umsetzung — der Umsetzungsstand variiert jedoch stark zwischen den EU-Staaten. Die Gesetzgebung in einigen Ländern ist bereits weiter fortgeschritten und befindet sich im öffentlichen Diskurs, so u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien.

Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.

Status Länder
Informationen zu EU NIS2 vorhanden Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien
Wenig zu NIS2 auffindbar Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn, Zypern

Der Artikel zu NIS2 in EU-Mitgliedsstaaten fasst unsere Erkenntnisse im Januar 2024 zusammen. Die Informationslage ist eher uneinheitlich — bei vielen Ländern haben wir keine und nur sehr wenige öffentlichen Informationen gefunden. Ergänzungen und Aktualisierungen folgen.

EU NIS2 Webinar

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

Webinar EU NIS2 Implementation in EU Countries

Von Paul Weissmann am 16. Januar 2024

Picture of Europe

Wie wird EU NIS2 in der EU umgesetzt? Und wie gehen Mitgliedsstaaten die nationalen Gesetze zur Umsetzung von NIS2 an? Im OpenKRITIS-Webinar am 27. Februar 2024 besprechen wir EU NIS2 und die Umsetzung in ausgewählten EU Member States – Belgien, Deutschland, Finnland, Kroatian, Tschechien.

Es gibt so viele nationale Unterschiede in der Umsetzung der Registrierung, Audit-Pflichten, Befugnisse von Behörden — und viel Unklarheit, welche Pflichten wo und wann verbindlich werden. All das im freien OpenKRITIS-Webinar am 27. Februar 2024, auf Englisch. Registrierung über LinkedIn, Durchführung per Teams.

EU NIS2 Webinar

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

up

OpenKRITIS auf LinkedIn | RSS Feed | News-Archiv