KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS-Regulierung: Klare Strukturen für die KRITIS-Pflichten, Cyber Security Maßnahmen und KRITIS-Prüfungen.

Power plant

Kritische Infrastrukturen

KRITIS-Dachgesetz, RCE und NIS 2

Von Paul Weissmann am 26. November 2022

KRITIS-Dachgesetz

Nach Vorfällen und der aktuellen politischen Lage in 2022 arbeitet das Innen­ministerium laut Presseberichten an einem KRITIS-Dachgesetz, das physische Sicherheit und Resilienz in Kritischen Infrastrukturen konkretisiert und EU RCE vorgreift. Ab 2023 werden damit einige Änderungen in der deutschen KRITIS-Regulierung folgen, unter anderem:

Die KRITIS-Regulierung wird sich nochmal deutlich in betroffenen Betreibern und Schutz­maßnahmen erweitern – mit Auswirkungen auf Unternehmen ab perspektivisch 2024.

Orientierungshilfe Angriffserkennung 2022

Von Paul Weissmann am 5. Oktober 2022

Die finale Version der Orientierungshilfe für Systeme zur Angriffserkennung wurde im September 2022 vom BSI veröffentlicht. Die quasi-normative Orientierungshilfe definiert Anforderungen an Betreiber zur Umsetzung von Angriffserkennung nach §8a (1a) BSIG, welche ab dem 1. Mai 2023 in KRITIS-Prüfungen nachgewiesen werden muss.

Die mehreren Dutzend Anforderungen beschreiben eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion. Die Anforderungen sind auf OpenKRITIS in logische Gruppen aufgeteilt, zusätzlich gibt es ein Mapping auf C5 und ISO 27001.

Am 21. Oktober findet ein freies OpenKRITIS-Webinar zur Diskussion der Änderungen und zum Austausch über die Konsequenzen für Betreiber und Prüfer statt:

SzA

DE Orientierungshilfe Angriffserkennung OH SzA

Austausch zu den neuen BSI-Anforderungen für Angriffserkennung
Webinar ∙ Registrierung über LinkedIn ∙ 21. Oktober 2022

IT-Sicherheitsgesetz 3.0 und KRITIS ab 2022-23

Von Paul Weissmann am 10. September 2022 ⚡

Die KRITIS-Regulierung in Deutschland und der EU wird sich in den kommenden Jahren deutlich weiterentwickeln. Mehr Anforderungen, mehr Betroffenheit und generell mehr Regulierung — hier die OpenKRITIS-Einschätzung:

2022

2023+

ISO 27002:2022 und IDW PH 9.860.2 für KRITIS

Von Paul Weissmann am 10. September 2022

Zu den nationalen und internationalen Security Standards für KRITIS-Betreiber wurden zwei Standards für KRITIS-Management ergänzt:

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind frei in der Auswahl von Standards.

Stand der Technik Geltungsbereich

Von Paul Weissmann am 4. Juli 2022

Der Geltungsbereich ist eines der wichtigsten Dokumente von KRITIS-Betreibern in ihren KRITIS-Anlagen. Im Geltungsbereich wird der Umfang der einzelnen KRITIS-Anlagen und ihrer IT definiert — was in der KRITIS-Prüfung mit als erstes geprüft wird. Das BSI hat zur Erstellung von Geltungsbereichen im Juni nun eine Anleitung mit Beispielen veröffentlicht.

Die Unterlage Dokumentation des Geltungsbereiches ist beim BSI als PDF online.

Geltungsbereich

DE Zur Dokumentation des Geltungsbereiches in KRITIS

Erfahrungen aus den Nachweisen - Hilfestellung und Beispiel
BSI ∙ Stand der Technik mit Beispielen ∙ Juni 2022

Cyber Security Standards für KRITIS

Von Paul Weissmann am 15. April 2022

Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infra­strukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

Standards

DE Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022

up

News-Archiv | KRITIS-Bibliothek