KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen mit Fokus auf KRITIS und Cyber Security. Wir wollen KRITIS-Betreibern, Prüfern und Verantwortlichen mit OpenKRITIS den Weg durch das IT-Sicherheitsgesetz 2.0 und EU-Regulierung erleichtern.

Das neue IT-Sicherheitsgesetz 2.0

Für Betreiber mehr Security-Pflichten
Neue Unternehmen als UBI
Neuer Sektor KRITIS Entsorgung
Mehr Anlagen und tiefere Schwellenwerte
Für Vergehen deutlich höhere Strafen

Kritische Infrastrukturen

KRITIS: Kritische Anlagen & Sektoren
Betreiber: KRITIS-Pflichten in Anlagen
Cyber Security: KRITIS-Maßnahmen
Prüfungen: Regelmäßige BSIG-Audits
Europa: EU NIS2 und EU RCE

KRITIS in a Nutshell

OpenKRITIS Briefings and Webinars und der Podcast:

Stand der Technik Geltungsbereich

Von Paul Weissmann am 4. Juli 2022

Der Geltungsbereich ist einer der wichtigsten Dokumente von KRITIS-Betreibern in ihren KRITIS-Anlagen. Im Geltungsbereich wird der Umfang der einzelnen KRITIS-Anlagen und ihrer IT definiert — was in der KRITIS-Prüfung mit als erstes geprüft wird. Das hat BSI hat zur Erstellung von Geltungsbereichen im Juni nun eine Anleitung mit Beispielen veröffentlicht.

Anleitung zur Dokumentation vom Geltungsbereich Schritt für Schritt: Von der Anlage über Prozesse bis zur IT und Netzstrukturplan (NSP).
Anforderungen G01-G13/N01-N10 der Orientierungshilfe Nachweise (OH-N) in Textform.
Beispiel Geltungsbereich eines Tanklagers (Sektor Energie).
Beispiel Netzstrukturplan eines Tanklagers (Sektor Energie).

Die Unterlage Dokumentation des Geltungsbereiches ist beim BSI als PDF online.

DE Zur Dokumentation des Geltungsbereiches in KRITIS

Erfahrungen aus den Nachweisen - Hilfestellung und Beispiel
BSI ∙ Stand der Technik mit Beispielen ∙ Juni 2022

Orientierungshilfe Angriffserkennung

Von Paul Weissmann am 14. Juni 2022

Seit Juni 2022 gibt es vom BSI die Orientierungshilfe für Systeme zur Angriffserkennung (OH SZA) als Community Draft. Die quasi-normative Orientierungshilfe definiert Anforderungen an Betreiber zur Umsetzung von Angriffserkennung nach §8a (1a) BSIG, welche ab dem 1. Mai 2023 in KRITIS-Prüfungen nachgewiesen werden muss.

Die mehreren Dutzend Anforderungen beschreiben eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung, in den drei Phasen Protokollierung, Erkennung und Reaktion. Die Anforderungen sind in Muss, Soll und Kann-Anforderungen aufgeteilt, die für Reifegrade von 0-5 umgesetzt werden müsssen.

Der Community Draft kann bis zum 8. Juli 2022 beim BSI kommentiert werden.

DE Orientierungshilfe Angriffserkennung KRITIS (OH-SZA)

Anforderungen an Systeme zur Angriffserkennung in KRITIS
OpenKRITIS-Analyse vom Community Draft ∙ Juni 2022

Cyber Security Standards für KRITIS

Von Paul Weissmann am 15. April 2022

Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infrastrukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.

Management von Informationssicherheit: Standards wie ISO 27001, BSI IT-Grundschutz und C5 definieren ein Managementsystem zum Umgang mit Risiken und Informationssicherheit (ISMS) — in der Regel mit verbindlicher Methodik, Struktur und Kontrollen.
Branchen und Spezifika: Standards wie B3S, ISO 2701X, IEC 62443, die sich auf bestimmte Branchen und Technologien beziehen und spezifische Vorgaben für Sicherheitsmaßnahmen für branchenspezifische Anlagen oder IT/OT-Systeme definieren.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

DE Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022

Webinar Notfallmanagement in Kritischen Infrastrukturen

Von Paul Weissmann am 28. März 2022, ⚡ aktualisiert am 2. Mai 2022

Notfälle in der IT, Cyber Angriffe und Krisen gefährden den Betrieb von KRITIS-Anlagen und die Versorgung der Allgemeinheit. Wie Betreiber mit BCM und IT-Notfallmanagement die Resilienz ihrer Kritischen Infrastrukturen erhöhen, besprechen wir im OpenKRITIS-Webinar:

BCM im IT-Sicherheitsgesetz 2.0: Was müssen Betreiber beachten?
Use Cases von BCM in KRITIS: Geltungsbereich, Angriffserkennung, Notfallpläne
Diskussion und Austausch aus der Praxis

Update: Die Folien vom Webinar am 29. April sind nun als PDF online:

DE Notfallmanagement in Kritischen Infrastrukturen (PDF)

Welche Lücken BCM in Kritischen Infrastrukturen schliessen kann.
Webinar ∙ Registrierung über LinkedIn ∙ 29. April 2022

Neue Podcast-Folge 🎧 Aus der Praxis eines KRITIS-Prüfers

Von Paul Weissmann am 14. Februar 2022

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen. Was diese Prüfungen bedeuten und wie sich Unternehmen am besten vorbereiten, verrät uns Lutz Naake, ein erfahrener KRITIS-Prüfer.

Wir sprechen über die Rolle von KRITIS-Prüfungen im IT-Sicherheitsgesetz, den Sinn von Prüfungen im Einmaleins der Cyber Security und wie Unternehmen die häufigsten Irrtümer und Fallstricke in BSIG-Nachweisprüfungen umgehen. Es lohnt sich!

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis

Die Rolle von Prüfungen in Kritischen Infrastrukturen – wie Betreiber sich auf Nachweis-Prüfungen vorbereiten. Ein Gespräch über Helmkameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022

KRITIS und das Telekommunikationsgesetz 2.0

Von Paul Weissmann am 31. Januar 2022

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikationsgesetz reguliert, wenn sie öffentliche Telekommunikationsnetze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit im TKG, das 2021 umfangreich überarbeitet wurde.

Pflichten für IT-Sicherheit sind in §165-169 TKG reguliert — vormals im alten §109 TKG:

Cyber Security Maßnahmen und Umsetzung Sicherheitskatalog 2.0
Sicherheitskonzept und Sicherheitsbeauftragter
Kritische Komponenten (5G-Netzwerke)
Angriffserkennung und Meldepflichten BNetzA

Der Katalog von Sicherheitsanforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern:

Abschnitt	Sicherheitskatalog 2.0
Sicherheitsmaßnahmen	Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen	Fernmeldegeheimnis, personenbezogenen Daten, TK-Infrastruktur und Diensten
Umsetzung	Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur	Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial	Zusätzliche Sicherheitsanforderungen für Netze und Dienste erhöhter Kritikalität

DE Mapping TKG Katalog 2.0 Maßnahmen und KRITIS

Abgleich vom Sicherheitskatalog 2.0 mit BSI KRITIS-Anforderungen.
PDF ∙ OpenKRITIS-Analyse vom Sicherheitskatalog 2.0 ∙ 2022

Einsatz von 5G im KRITIS-Sektor Telekommunikation

Von Paul Weissmann am 20. Januar 2022

Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber im Sektor Telekommunikation dem Innenministerium den Einsatz bestimmter IT-Systeme in Kritischen Infrastrukturen anzeigen. Diese Kritischen Komponenten nach §9b BSIG müssen in einzelnen Sektoren nch durch weitere Gesetze geregelt werden — im TK-Sektor erstmalig 2021 durch die Novelle des TKG.

Die BNetzA hat dazu mit dem BSI kritische Funktionen in 5G-Mobilfunknetzen festgelegt:

Core network functions
NFV management and network orchestration (MANO)
Management systems and supporting services
Radio Access Network (RAN)
Transport and transmission
Internetwork exchanges

Diese Systeme dürfen nur nach Zertifizierung und Freigabe eingesetzt werden.

Die aktuelle Lage der KRITIS-Regulierung in 2022

Von Paul Weissmann am 3. Januar 2022

Die Regulierung zu Kritischen Infrastrukturen befindet sich in Deutschland seit 2021 im Umbruch und wird 2022 weiter erneuert und ausgebaut. Was hat sich alles geändert?
— erweiterte Gesetze, neue Verordnungen und noch ausstehende Entwicklungen:

2021

IT-Sicherheitsgesetz 2.0: Das neue IT-SiG 2.0 erweitert vor allem KRITIS-Pflichten und staatliche Befugnisse im BSI-Gesetz und ist seit Mai 2021 in Kraft.
KRITIS-Verordnung 2021 (1.5): Die Rechtsverordnung von 2021 (KritisV 1.5) definiert neue KRITIS-Anlagen und Schwellenwerte und ist seit Januar 2022 in Kraft.

2022

KRITIS-Verordnung 2.0: Eine weitere Rechtsverordnung konkretisiert die Änderungen des IT-SiG 2.0 wie den KRITIS-Sektor Entsorgung und ist 2022 als KritisV 2.0 in Arbeit.
UBI-Verordnung (UBI-VO): Eine eigene Rechtsverordnung UBI-VO definiert in 2022 die Unternehmen im besonderen öffentlichen Interesse (UBI).
EU NIS2: Die neue NIS-Verordnung 2.0 für Cyber Security erweitert die Pflichten in der EU. Der Entwurf wird seit 2021 verhandelt und dann (2022?) in nationales Recht überführt.
EU RCE: Die neue RCE-Verordnung macht Resilienz für Betreiber in der EU verpflichtend, und muss 2022 verabschiedet und in nationales Recht überführt werden.

News-Archiv | KRITIS-Bibliothek