KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.

Industry

KRITIS-Regulierung 2023

Power plant

Kritische Infrastrukturen

Abfallentsorgung endlich in KRITIS

Von Paul Weissmann am 27. September 2023

Illustrative picture waste

Der KRITIS-Sektor Siedlungsabfallentsorgung ist nun in der KRITIS-Regulierung definiert. Mit dem IT-Sicherheitsgesetz 2.0 wurden Entsorger, Recycling-Unternehmen und kommunale Betriebe potenziell zu KRITIS-Betreibern. Die Definitionen der Anlagen wurden nun, zwei Jahre später, in der KRITIS-Verordnung als Entwurf konkretisiert.

Die Verordnung definiert im Sektor die kritische Dienstleistung (kDL) Entsorgung von Siedlungsabfällen mit zwei Bereichen Sammlung und Beförderung und Verwertung und Beseitigung. Ab 2024 werden Unternehmen im Sektor zu KRITIS-Betreibern, wenn sie auf ihren Anlagen KRITIS-Schwellenwerte überschreiten:

Nr. Anlage Beispiele
1. Sammlung und Beförderung
1.1 Disposition Sammlung oder Beförderung Disposition, Flotten­management oder ERP-Systeme
1.2 Lagerung, Zwischen­lagerung, Umladung Zwischenlager oder Umlade­stationen
2. Verwertung und Beseitigung
2.1 Thermische Behandlung Müll­verbrennungsanlagen (MVA) oder Ersatz­brennstoff­kraftwerke (EBS-Kraftwerke)
2.2 Mechanisch-biologische oder mechanisch-physikalische Behandlung Mechanisch-biologische Abfall­behandlungs­anlagen (MBA), mechanisch-biologische Stabilisierungs­anlagen (MBS) oder mechanisch-physikalische Abfall­behandlungs­anlagen (MPS)
2.3 Biologische Behandlung Kompostierungs- und Vergärungsanlagen
2.4 Mechanische Behandlung Zerkleinerung, Klassierung, Sortierung, Pressung und Palettierung
2.5 Sortierung Sortieranlagen

Die Schwellenwerte sind etwas kompliziert gestaltet und orientieren an 500 Tsd. Personen:

Abfall Schwellenwert pro Kopf
Rest/gemischter Gewerbeabfall 79,5 Tsd. t pro Jahr 159 kg Rest- oder Hausmüll
Bioabfall 33,5 Tsd. t pro Jahr 67 kg Abfall aus der Biotonne
LVP-/Kunststoffabfall 18,5 Tsd. t pro Jahr 35 kg Leichtverpackungen + 2 kg Kunststoff
PPK-Abfall 32,5 Tsd. t pro Jahr 65 kg Papier, Pappe, Karton
Glasabfall 12 Tsd. t pro Jahr 24 kg Glas

Der Gesetzgeber geht von 300 zusätzlichen KRITIS-Betreiber im Sektor Entsorgung aus. Die Verordnung soll zum 1. Januar 2024 in Kraft treten, die Betroffenheit muss für die Vorjahre jeweils zum 31. März ermittelt werden und Betreiber sich zum 1. April beim BSI registrieren.

Referentenentwurf KRITIS-Verordnung

Von Henri Jäger am 26. September 2023

Illustrative picture

Das Innenministerium hat gerade den Referentenentwurf zur vierten Änderungsverordnung der KRITIS-Verordnung veröffentlicht. Die Verordnung definiert in der KRITIS-Regulierung die betroffenen KRITIS-Sektoren, Anlagen und Schwellenwerte – die jüngste Änderung, die vierte seit 2016, schließt im aktuellen Entwurf einige Lücken:

In den kommenden Tagen sind Verbände aufgefordert, zur Änderungsverordnung Stellung zu nehmen. Die Verordnung soll zum 1. Januar 2024 in Kraft treten.

Prüfungen in NIS2 und Dachgesetz

Von Paul Weissmann am 24. Juli 2023

Illustrative picture

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz kommen neue Nachweispflichten auf über 8.000 Unternehmen in den nächsten Jahren zu. In NIS2 muss Cybersecurity alle zwei Jahre nachgewiesen werden, im KRITIS-Dachgesetz Resilienz ebenfalls alle zwei Jahre.

Es wird komplex – mit Tausenden Prüfungen jährlich:

Nachweise KRITIS-Betreiber Betreiber kritischer Anlagen Besonders wichtige
Einrichtung
Wichtige
Einrichtung
Gesetz BSIG NISUmsuCG DachG NISUmsuCG NISUmsuCG
Zeitraum aktuell ab 2024-28 ab 2026 ab 2024-28 -
Pflicht §8a (3) §34 (1) §39 (2) §11 (8) §34 (1) -
Form Nachweisprüfung Audits & Co. Audits Audits & Co. -
Inhalt IT-Sicherheit

SzA
IT-Sicherheit+
Meldepflicht
SzA
Resilienz
Meldepflicht
IT-Sicherheit+
Meldepflicht
-
Scope KRITIS-Anlage Kritische Anlage Kritische Anlage Unternehmen? -
Frequenz alle zwei Jahre alle zwei Jahre alle zwei Jahre alle zwei Jahre -
Empfänger BSI BSI BBK BSI -

Die Zeitleiste der Audits hängt vom Inkrafttreten der Gesetze ab. Die bisherigen KRITIS-Prüfungen bleiben vorerst bestehen, sicherlich mit Übergangsfristen und Synchronisation. Den Zeitpunkt der ersten Nachweise legen BSI (NIS2) und BBK (DachG) fest – zwischen 2024 und 2028 in NIS2 und ab 2026 für DachG.

Neuerungen im zweiten NIS2-Referentenentwurf

Von Hanna Lurz am 21. Juli 2023

Illustrative picture

Seit Mitte Juli ist der zweite Referentenentwurf vom NIS2-Umsetzungsgesetz publik, mit einigen Auffälligkeiten und Änderungen zum letzten Entwurf von April 2023.

In der NIS2-Umsetzung wird keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen, eine Evaluierung erübrige sich durch die NIS-2-Umsetzung.

Referentenentwurf vom KRITIS-Dachgesetz

Von Paul Weissmann am 19. Juli 2023

Dach

Das KRITIS-Dachgesetz erweitert die Regulierung Kritischer Infrastrukturen ab 2023 um Resilienz und physische Sicherheit bei kritischen Betreibern. Basierend auf EU RCE/CER betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die mehr Maßnahmen für BCM, Risiko- und Krisenmanagement und physische Sicherheit umsetzen müssen.

Im aktuellen Referentenentwurf von Juli 2023 gibt es dazu eher milde Vorgaben und Fristen:

Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 in Kraft. Trotz allem kommen auf einige Betreiber zusätzliche Maßnahmen zu.

Eine ausführliche Analyse dazu im Artikel zum KRITIS-Dachgesetz.

Evaluierung des IT-Sicherheitsgesetzes 2.0

Von Hanna Lurz am 22. Juni 2023

Evaluierung IT-SiG 2.0

Im Mai 2023 hat das Innenministerium den gesetzlich geforderten Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0 vorgelegt. Der Bericht ist mit fünfzehn Seiten eher kurz und enthält neben der eigentlichen Bewertung des IT-Sicherheits­gesetzes diverse Hintergrund­informationen zu Historie und Inhalt der Regulierung.

Input für die Evaluierung war eine Online-Befragung des BSI unter KRITIS-Betreibern mit knapp 400 Unternehmen und mögliche Stellungnahmen auf eine Anfrage von BMI und BSI durch UP KRITIS, Fachverbände, Universitäten, Forschungseinrichtungen, das IDW etc. Wer tatsächlich teilgenommen hat, ist nicht klar. Die Kernergebnisse laut Evaluierung sind:

Mehr zu den Ergebnissen der Evaluierung im Artikel zum IT-Sicherheitsgesetz 2.0.

Entwurf des Gesetzes zur Umsetzung von EU NIS2

Von Hanna Lurz am 18. Mai 2023

NIS2-Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindest­standards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.

Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:

Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.

up

OpenKRITIS auf LinkedIn | News-Archiv