Entwurf des Gesetzes zur Umsetzung von EU NIS2

Von Hanna Lurz am 18. Mai 2023

Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindest­standards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.

Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:

• Erweiterter Kreis betroffener Unternehmen durch besonders wichtige und wichtige Einrichtungen, neben den Betreibern kritischer Anlagen (ex-KRITIS)
• Erweiterte Sektoren in Deutschland analog zu NIS2
• Cybersecurity-Pflichten für Betreiber, z. B. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen, Governance
• Staatliche Aufsicht und Registrierungs-, Nachweis- und Meldepflichten
• Erweiterte Bußgeldtatbestände und -höhen

Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.

Grundsätzliche Anforderungen Prüfungen §8a (5) BSIG

Von Paul Weissmann am 17. Mai 2023

Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.

Normativ geregelt werden:

• Unabhängigkeit der prüfenden Stelle und Prüfer, Anforderungen an interne Revisionen
• 4-Augen-Prinzip in einzelnen Prüfschritten
• Prüfberichte - Form, verbindliche Inhalte und Umgang in der Prüfung
• Geltungsbereich (bestehende G/N-Anforderungen nun normativ)
• Prüfung der Mängelliste, Umgang Altmängel, Prüfung Umsetzungsplan
• Nutzung der BSI-Vorlagen für Nachweise

Umsetzung ab 1.6.2023 (in zwei Wochen!), einige Anforderungen erst ab 2024.
Mehr zu den Anforderungen im Artikel zu GAiN §8a (5) BSIG

Systeme zur Angriffserkennung in 2023

Von Paul Weissmann am 3. Mai 2023

Seit dem 1. Mai müssen KRITIS-Betreiber den Einsatz von Systemen zur Angriffs­erkennung im KRITIS-Geltungsbereich nachweisen. Im BSI-Gesetz seit 2021 vorgegeben (§8a Abs. 1a), konkretisiert die Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) seit letztem Jahr die genauen Anforderungen an Betreiber.

Gefordert wird in der OH SZA eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion auf Cyberangriffe in der KRITIS-Anlage. Erste Erfahrungen aus der Praxis zeigen, dass sich intensive Vorbereitung in der Umsetzung und Prüfungen von SzA auszahlt.

Aus der OpenKRITIS-Keynote im Angriffserkennungs-Track vom CSK-Summit am 3. Mai.

KRITIS und Energiebetreiber nach EnWG

Von Hanna Lurz am 28. April 2023

Manche KRITIS-Betreiber im Energiesektor werden ausschließlich durch §8a BSIG reguliert, andere fallen neben der KRITIS-Regulierung auch unter §11 EnWG oder das ATG. Dies hängt von der betriebenen KRITIS-Anlage ab — mit unterschiedlichen Anforderungen bei Energie­anlagen, Energie­versorgungsnetzen (beide Sicherheitskatalog), Kernkraft und weiteren.

KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 EnWG unterliegen (§8d (2) Nr. 2. BSIG), müssen keine KRITIS-Maßnahmen nach §8a BSIG umsetzen oder prüfen lassen. Für diese KRITIS-Betreiber gilt das Energiewirtschaftsgesetz (EnWG).

• Betreiber von Energie­versorgungsnetzen (Strom- und Gasnetze) müssen ihre IT/OT/TK für den Netzbetrieb schützen: IT-Sicherheitskatalog gemäß §11 Abs. 1a EnWG.
• Betreiber von Energieanlagen (Erzeugung, Speicherung, Förderung) müssen IT/OT/TK für den Anlagenbetrieb schützen: IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG.
• Sicherheits­vorfälle mit Auswirkungen sowie Vorfälle mit potentiellen Auswirkungen müssen gemeldet werden.
• Betreiber müssen die von ihnen betriebene Anlage beim BSI registrieren und einen Sicherheits­beauftragen als Kontaktstelle benennen.
• Spätestens zum 1. Mai 2023 müssen Betreiber Systeme zur Angriffserkennung einsetzen und gegenüber dem BSI nachweisen.
• Es sollen noch kritische Komponenten sowie kritisch bestimmte Funktionen nach BSIG definiert werden (Mai 2023), die dann besonderen Auflagen unterliegen.

up

KRITIS-Betreiber und nun? Webinar zu NIS2, RCE & co.

Von Paul Weissmann am 27. März 2023

Was bedeutet EU NIS2 für Unternehmen? Und was kommt ab 2023 noch auf Kritische Infrastrukturen zu? Im OpenKRITIS-Webinar am 30. März zu KRITIS 2023-24 besprechen wir EU NIS2, CER und KRITIS-Dachgesetz – und die Auswirkungen auf KRITIS-Betreiber.

• Wer gehört ab 2024 zu den (Tausenden) neuen Betroffenen durch NIS2 und CER?
• Was passiert bis dahin in der deutschen KRITIS-Regulierung?
• Security, Resilienz, Supply Chain Sicherheit – was noch?
• Und was bedeutet das für mich als Unternehmen und Dienstleister?

Viele Unternehmen fallen ab 2024 unter mehrere Regulierungen – der Gesetzgeber wird viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben. All das im freien OpenKRITIS-Webinar am 30.3. und 13.4. Die aktualisierten Folien aus dem Webinar vom 13.4. sind nun online (PDF).

KRITIS-Verordnung 1¾: LNG und Seekabel auch KRITIS

Von Paul Weissmann am 9. März 2023

Mit der 3. Verordnung zur Änderung der BSI-Kritis­verordnung von 1. März 2023 sind ab diesem Jahr LNG-Anlagen und Seekabelanlandestationen als Kritische Infrastruktur zwischen Land und See nun auch KRITIS. Die KRITIS-Verordnung 1.75 ändert genau diesen beiden Sektoren:

• KRITIS-Sektor Energie: LNG-Anlagen (2.2.4) zur Verflüssigung oder Einfuhr, Entladung und Wiederverdampfung
• KRITIS-Sektor IKT: Seekabelanlandestation (1.2.2) zur Anbindung von Seekabeln (Sprache/Daten) an landgestützte TK-Netze

Entsprechende Anlagen könnten mit den Stichtagen 31.3. und 1.4. noch dieses Jahr KRITIS werden mit allen Pflichten von KRITIS-Betreibern.

Who is who in KRITIS, EU NIS2 und RCE

Von Paul Weissmann am 21. Februar 2023

Wer sich bei KRITIS, NIS2 und RCE fragt, welche Unternehmen zu welcher Gruppe von regulierten Kritischen Infrastrukturen gehörden – die Auflösung im Factsheet zu EU NIS2.

• KRITIS reguliert in 8 Sektoren nach Anlagenlogik kritische Teile von Betreibern mit Security, Nachweisen, Audits und Sanktionen.
• KRITIS-Dachgesetz wird in 10 bis 12 Sektoren physische Sicherheit und Resilienz vorschreiben, mit Meldepflichten ans BBK.
• EU NIS2 reguliert in 18 Sektoren bei mittleren und großen Betreibern die Security mit hohen Sanktionen (GDPR-like) und weiteren Meldepflichten.
• EU RCE reguliert in 11 Sektoren bei Betreibern nach nationaler Kritikalität physische Sicherheit und Resilienz, und betrachtet auch EU-Betroffenheit.

Viele Unternehmen könnten unter mehrere Regulierungen, Meldepflichten und Vorgaben fallen. Der Gesetzgeber wird bis spätestens Herbst 2024 viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben.

Size-Cap in EU NIS 2 für Betreiber

Von Paul Weissmann am 8. Februar 2023

EU NIS2 reguliert zwei Gruppen von Betreibern, die in achtzehn Sektoren in der EU Services erbringen und nach Größe reguliert werden. Die Betroffenheit der Essential und Important Entities wird in NIS 2 nach size-cap Regel über Umsatz und Größe festgestellt:

1. Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
2. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz

Essential Entities: Große Betreiber aus Essential Sektoren A und bestimmte Betreiber und Branchen unabhängig der Größe: Digitale Infrastruktur aus A, Öffentliche Verwaltung aus A, Sonderfälle aus A und B, Critical Entities, die unter EU RCE/CER fallen und Bisherige Entities, die bis Januar 2023 von voriger Regulierung betroffen waren.

Important Entities: Große Betreiber aus Important Sektoren B, mittlere Betreiber aus allen Sektoren B und A sowie Sonderfälle aus B und A.

NIS2 Sektoren sind A Essential Sektoren (Annex I) und B Important Sektoren (Annex II).

EU NIS 2 und RCE-Sektoren

Von Paul Weissmann am 23. Januar 2023

Die EU-Direktiven NIS2 und RCE für Kritische Infrastrukturen sind in Kraft und definieren beide Listen von Wirtschafts­sektoren, die bis 2024 von Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.

NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.

Kategorie	Sektoren
Essential	Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management, Öffentliche Verwaltung, Raumfahrt
Important	Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie, Digitale Dienste, Forschung

In allen Sektoren werden wahrscheinlich tausende Unternehmen (neu) betroffen sein, zusätzlich zu den bisherigen KRITIS und kommenden UBI.

up