KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.
KRITIS-Regulierung 2023
- Neues KRITIS-Dachgesetz für Resilienz
- Die NIS2-Umsetzung in Deutschland
- EU-Richtlinien EU NIS2 und EU RCE (CER)
- Das aktuelle IT-Sicherheitsgesetz 2.0
- Mehr KRITIS-Anlagen & Schwellenwerte
Kritische Infrastrukturen
- KRITIS: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cyber Security: Sicherheit im Betrieb
- Angriffserkennung: Stand der Technik SzA
- Prüfungen: Nachweis durch BSIG-Audit
Abfallentsorgung endlich in KRITIS
Von Paul Weissmann am 27. September 2023
Der KRITIS-Sektor Siedlungsabfallentsorgung ist nun in der KRITIS-Regulierung definiert. Mit dem IT-Sicherheitsgesetz 2.0 wurden Entsorger, Recycling-Unternehmen und kommunale Betriebe potenziell zu KRITIS-Betreibern. Die Definitionen der Anlagen wurden nun, zwei Jahre später, in der KRITIS-Verordnung als Entwurf konkretisiert.
Die Verordnung definiert im Sektor die kritische Dienstleistung (kDL) Entsorgung von Siedlungsabfällen mit zwei Bereichen Sammlung und Beförderung und Verwertung und Beseitigung. Ab 2024 werden Unternehmen im Sektor zu KRITIS-Betreibern, wenn sie auf ihren Anlagen KRITIS-Schwellenwerte überschreiten:
| Nr. | Anlage | Beispiele |
|---|---|---|
| 1. | Sammlung und Beförderung | |
| 1.1 | Disposition Sammlung oder Beförderung | Disposition, Flottenmanagement oder ERP-Systeme |
| 1.2 | Lagerung, Zwischenlagerung, Umladung | Zwischenlager oder Umladestationen |
| 2. | Verwertung und Beseitigung | |
| 2.1 | Thermische Behandlung | Müllverbrennungsanlagen (MVA) oder Ersatzbrennstoffkraftwerke (EBS-Kraftwerke) |
| 2.2 | Mechanisch-biologische oder mechanisch-physikalische Behandlung | Mechanisch-biologische Abfallbehandlungsanlagen (MBA), mechanisch-biologische Stabilisierungsanlagen (MBS) oder mechanisch-physikalische Abfallbehandlungsanlagen (MPS) |
| 2.3 | Biologische Behandlung | Kompostierungs- und Vergärungsanlagen |
| 2.4 | Mechanische Behandlung | Zerkleinerung, Klassierung, Sortierung, Pressung und Palettierung |
| 2.5 | Sortierung | Sortieranlagen |
Die Schwellenwerte sind etwas kompliziert gestaltet und orientieren an 500 Tsd. Personen:
| Abfall | Schwellenwert | pro Kopf |
|---|---|---|
| Rest/gemischter Gewerbeabfall | 79,5 Tsd. t pro Jahr | 159 kg Rest- oder Hausmüll |
| Bioabfall | 33,5 Tsd. t pro Jahr | 67 kg Abfall aus der Biotonne |
| LVP-/Kunststoffabfall | 18,5 Tsd. t pro Jahr | 35 kg Leichtverpackungen + 2 kg Kunststoff |
| PPK-Abfall | 32,5 Tsd. t pro Jahr | 65 kg Papier, Pappe, Karton |
| Glasabfall | 12 Tsd. t pro Jahr | 24 kg Glas |
Der Gesetzgeber geht von 300 zusätzlichen KRITIS-Betreiber im Sektor Entsorgung aus. Die Verordnung soll zum 1. Januar 2024 in Kraft treten, die Betroffenheit muss für die Vorjahre jeweils zum 31. März ermittelt werden und Betreiber sich zum 1. April beim BSI registrieren.
Referentenentwurf KRITIS-Verordnung
Von Henri Jäger am 26. September 2023
Das Innenministerium hat gerade den Referentenentwurf zur vierten Änderungsverordnung der KRITIS-Verordnung veröffentlicht. Die Verordnung definiert in der KRITIS-Regulierung die betroffenen KRITIS-Sektoren, Anlagen und Schwellenwerte – die jüngste Änderung, die vierte seit 2016, schließt im aktuellen Entwurf einige Lücken:
- Siedlungsabfallentsorgung kommt als KRITIS-Sektor, wie im IT-Sicherheitsgesetz 2.0 in 2021 definiert, hinzu. Betreiber müssen nun das Überschreiten von Schwellenwerten in diesem Jahr bis zum 31. März 2024 ermitteln. Sind sie betroffen, müssen sie ihre Anlage zum/ab dem 1. April 2024 als Kritische Infrastruktur registrieren.
- Im Sektor Energie umfasst Gashandel nun auch Kapazitätshandel und Stromhandel wird zum Elektrizitätsmarkt, dessen Schwellenwert auf 46,3 TWh steigt.
- Verwaltungs- und Zahlungssysteme der gesetzlichen Kranken- und Pflegeversicherung sind nun schon ab 500 Tsd. Versicherten betroffen — zuvor bei 3 Mio. Versicherten.
- Der Gesetzgeber geht von 320 zusätzlichen Betreibern aus, davon 300 in der Entsorgung und 20 im Versicherungswesen.
In den kommenden Tagen sind Verbände aufgefordert, zur Änderungsverordnung Stellung zu nehmen. Die Verordnung soll zum 1. Januar 2024 in Kraft treten.
Prüfungen in NIS2 und Dachgesetz
Von Paul Weissmann am 24. Juli 2023
Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz kommen neue Nachweispflichten auf über 8.000 Unternehmen in den nächsten Jahren zu. In NIS2 muss Cybersecurity alle zwei Jahre nachgewiesen werden, im KRITIS-Dachgesetz Resilienz ebenfalls alle zwei Jahre.
Es wird komplex – mit Tausenden Prüfungen jährlich:
| Nachweise | KRITIS-Betreiber | Betreiber kritischer Anlagen | Besonders wichtige Einrichtung |
Wichtige Einrichtung |
|
|---|---|---|---|---|---|
| Gesetz | BSIG | NISUmsuCG | DachG | NISUmsuCG | NISUmsuCG |
| Zeitraum | aktuell | ab 2024-28 | ab 2026 | ab 2024-28 | - |
| Pflicht | §8a (3) | §34 (1) §39 (2) | §11 (8) | §34 (1) | - |
| Form | Nachweisprüfung | Audits & Co. | Audits | Audits & Co. | - |
| Inhalt | IT-Sicherheit SzA |
IT-Sicherheit+ Meldepflicht SzA |
Resilienz Meldepflicht |
IT-Sicherheit+ Meldepflicht |
- |
| Scope | KRITIS-Anlage | Kritische Anlage | Kritische Anlage | Unternehmen? | - |
| Frequenz | alle zwei Jahre | alle zwei Jahre | alle zwei Jahre | alle zwei Jahre | - |
| Empfänger | BSI | BSI | BBK | BSI | - |
Die Zeitleiste der Audits hängt vom Inkrafttreten der Gesetze ab. Die bisherigen KRITIS-Prüfungen bleiben vorerst bestehen, sicherlich mit Übergangsfristen und Synchronisation. Den Zeitpunkt der ersten Nachweise legen BSI (NIS2) und BBK (DachG) fest – zwischen 2024 und 2028 in NIS2 und ab 2026 für DachG.
Neuerungen im zweiten NIS2-Referentenentwurf
Von Hanna Lurz am 21. Juli 2023
Seit Mitte Juli ist der zweite Referentenentwurf vom NIS2-Umsetzungsgesetz publik, mit einigen Auffälligkeiten und Änderungen zum letzten Entwurf von April 2023.
- Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
- Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnismäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
- Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte und Bewertungen des BSI berücksichtigen.
- Die Frist für erstmalige Nachweise nun (spätestens) vier Jahre nach Inkrafttreten.
- Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
- Die angestrebte Vereinfachung und Zentralisierung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst.
In der NIS2-Umsetzung wird keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen, eine Evaluierung erübrige sich durch die NIS-2-Umsetzung.
Referentenentwurf vom KRITIS-Dachgesetz
Von Paul Weissmann am 19. Juli 2023
Das KRITIS-Dachgesetz erweitert die Regulierung Kritischer Infrastrukturen ab 2023 um Resilienz und physische Sicherheit bei kritischen Betreibern. Basierend auf EU RCE/CER betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die mehr Maßnahmen für BCM, Risiko- und Krisenmanagement und physische Sicherheit umsetzen müssen.
Im aktuellen Referentenentwurf von Juli 2023 gibt es dazu eher milde Vorgaben und Fristen:
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS).
- Sektoren: Die bisherigen KRITIS-Sektoren der kritischen Anlagen werden reguliert, mit einigen Erweiterungen und Ausschlüssen – u.a. IT, TK, Finanzen und Versicherungen.
- Resilienz: Konkrete Resilienz-Vorgaben für Betreiber wie Krisen- und Risikomanagement, BCM, Personalsicherheit, physische Sicherheit.
- Aufsicht: Die KRITIS-Aufsicht wird um das BBK erweitert, das Nachweise, Meldungen und Registrierungen erhalten soll. Gemeinsame Lösungen mit BSI sind geplant.
- Sanktionen: Es gibt eine Liste mit Verstößen, die Bußgelder sind noch nicht definiert.
- Risiken: Nationale und Betreiber-Risiken der
Wirtschaftsstabilität
spielen eine große Rolle für Betreiber, das BBK (und die EU).
Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 in Kraft. Trotz allem kommen auf einige Betreiber zusätzliche Maßnahmen zu.
Eine ausführliche Analyse dazu im Artikel zum KRITIS-Dachgesetz.
Evaluierung des IT-Sicherheitsgesetzes 2.0
Von Hanna Lurz am 22. Juni 2023
Im Mai 2023 hat das Innenministerium den gesetzlich geforderten Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0 vorgelegt. Der Bericht ist mit fünfzehn Seiten eher kurz und enthält neben der eigentlichen Bewertung des IT-Sicherheitsgesetzes diverse Hintergrundinformationen zu Historie und Inhalt der Regulierung.
Input für die Evaluierung war eine Online-Befragung des BSI unter KRITIS-Betreibern mit knapp 400 Unternehmen und mögliche Stellungnahmen auf eine Anfrage von BMI und BSI durch UP KRITIS, Fachverbände, Universitäten, Forschungseinrichtungen, das IDW etc. Wer tatsächlich teilgenommen hat, ist nicht klar. Die Kernergebnisse laut Evaluierung sind:
- Grundsätzlich erfüllt das IT-Sicherheitsgesetz seinen Zweck. Aus der Betreiber-Umfrage lässt sich ein besonders hoher Einfluss der gesetzlichen Regulierung auf die Umsetzung organisatorischer Sicherheitsmaßnahmen erkennen: anders als technische Maßnahmen, die mancherorts schon vor dem ersten IT-SiG in Teilen umgesetzt waren, wurden insbesondere organisatorische Sicherheitsmaßnahmen mehrheitlich erst zwischen 2015 bis 2020 realisiert. Auch zwischen der Vertrautheit mit dem IT-SiG und dem Umsetzungsstand der gesetzlichen Vorgaben lässt sich ein Zusammenhang beobachten: In Unternehmen, die die Gesetzgebung und die Anforderungen „Absicherungen nach dem Stand der Technik“ und zur Nachweispflicht nicht gut kennen, ist der Umsetzungsstand auch überdurchschnittlich häufig niedriger.
- Betreiber wünschen sich in verschiedenen Bereichen Vereinfachungen, z. B. in der Nachweiserbringung, der Meldung von Sicherheitsvorfällen, der Zusammenarbeit zwischen BSI und Betreibern, der geteilten Regulatorik zwischen BSI und BNetzA etc. Auch ist eine Vereinheitlichung von Begrifflichkeiten insbesondere im Hinblick auf die kommende NIS2-Umsetzung in Deutschland gewünscht.
- Das BMI hebt hervor, dass im Zuge aktueller und künftiger Regulatorik wie DORA-, CER- und NIS2-Richtlinie besonders auf Übersichtlichkeit und pragmatische Umsetzung Wert gelegt werden sollte, um die betroffenen Unternehmen nicht zu frustrieren, sondern die Erhöhung der Sicherheitsniveaus weiter voranzutreiben.
Mehr zu den Ergebnissen der Evaluierung im Artikel zum IT-Sicherheitsgesetz 2.0.
Entwurf des Gesetzes zur Umsetzung von EU NIS2
Von Hanna Lurz am 18. Mai 2023
Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindeststandards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.
Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:
- Erweiterter Kreis betroffener Unternehmen durch besonders wichtige und wichtige Einrichtungen, neben den Betreibern kritischer Anlagen (ex-KRITIS)
- Erweiterte Sektoren in Deutschland analog zu NIS2
- Cybersecurity-Pflichten für Betreiber, z. B. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen, Governance
- Staatliche Aufsicht und Registrierungs-, Nachweis- und Meldepflichten
- Erweiterte Bußgeldtatbestände und -höhen
Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.