KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.
KRITIS und NIS2
- Die NIS2-Umsetzung in Deutschland
- Neues KRITIS-Dachgesetz für Resilienz
- Europa: Richtlinien EU NIS2 und EU RCE
- Das 2021er IT-Sicherheitsgesetz 2.0
- Anlagen in KRITIS-Verordnungen
Kritische Infrastrukturen
- Gesetze: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cybersecurity: Sicherheit im Betrieb
- Angriffserkennung: Systeme OH SzA
- Schulungen: Aus Erfahrungen lernen
Unternehmen im besonderen öffentlichen Interesse
Von Paul Weissmann am 26. März 2024
In NIS2 gibt es die Unternehmen im besonderen öffentlichen Interesse (UBI) nicht mehr als eigene Gruppe.
Eingeführt mit dem IT-Sicherheitsgesetz 2.0, wurden die UBI parallel zu KRITIS-Betreibern mit eigenen, abgestuften
UBI Cybersecurity-Pflichten reguliert.
Viele Definitionen und Klarstellungen fehlten seitdem – und mit NIS2 verschwinden die UBI fast. Die UBI fallen als explizite Kategorie weg und gehen größtenteils in NIS2-Einrichtungen auf:
UBI 1 Rüstung könnten als Produzenten der folgenden Güter von NIS2 betroffen sein, u. a.:
- NACE C 26: Optik, Kommunikation, Elektronik, Radar, GPS, Antennen
- NACE C 27: Elektrik, Schaltungen und weiteres
- NACE C 30.3: Luft- und Raumfahrt, Hubschrauber, Flugzeuge, Teile, Raketen, Bodengeräte
- NACE C 30.4: Militärische Kampffahrzeuge, Panzer, Amphibien- und sonstige Fahrzeuge
UBI 2 Volkswirtschaft sind von NIS2 betroffen, wenn sie als Einrichtung Größen überschreiten und in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft, auch UBI.
UBI 3 Gefahrstoffe sind in NIS2 im Sektor Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:
- Hersteller und Händler von chemischen Stoffen Art. 3 Nr. 9, 14 (EG) 1907/2006
- Produzenten von chemischen Erzeugnissen im Sinne Art. 3 Nr. 3 (EG) 1907/2006
Die eigenen UBI-Pflichten (§8f BSIG 2021) fallen ebenfalls weg und werden von den regulären NIS2-Pflichten für Einrichtungen abgelöst. Viel zu tun – und die Liste der NACE-Güter ist lang.
Energiesektor, NIS2 und EnWG
Von Hanna Lurz am 8. März 2024
Auch mit der NIS2-Umsetzung bleibt im Energiesektor ab 2024 Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen fallen in einigen Betriebsteilen weiterhin unter separate Regulierung im Energiesektor mit dem EnWG, parallel zu NIS2 und KRITIS. Der Dezember-Entwurf der NIS2-Umsetzung passt das EnWG in vielen Teilen an.
NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) wahrscheinlich keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen. Es gelten dann die Anforderungen §5c EnWG (neuer Paragraph im Entwurf, der die bisherigen §11-Anforderungen ersetzt):
- Energieversorgungsnetze und Energieanlagen müssen ihre IT im Anlagen- und Netzbetrieb schützen mit neuen BNetzA IT-Sicherheitskatalogen. Diese Kataloge müssen mindestens §30-Maßnahmen aus BSIG-E (NIS2UmsuCG) und Angriffserkennung umfassen
- Maßnahmen müssen dokumentiert, Mängel beseitigt werden, das BNetzA darf die Umsetzung überprüfen und Maßnahmen vornehmen.
- Sicherheitsvorfälle müssen ans BSI gemeldet werden, weiterhin diverser Austausch mit der BNetzA und weitere Informationspflichten. Betreiber müssen sich beim BSI registrieren, das dann an die BNetzA übermittelt.
Weiterhin wird es für Energiebetreiber verschiedene Sicherheitskataloge der BNetzA geben.
Katalog | gültig | Betreiber und Anlagen |
---|---|---|
IT‑Sicherheitskatalog §11 Abs. 1a EnWG |
2015 | Betreiber von Energieversorgungsnetzen
|
IT‑Sicherheitskatalog §11 Abs. 1b EnWG |
2018 | Betreiber von Energieanlagen nach KRITIS-Verordnung
|
IT-Sicherheitskatalog neu EnWG |
2024? | Betreiber von Energieversorgungsnetzen
|
IT-Sicherheitskatalog neu EnWG |
2024? | Betreiber von Energieanlagen
|
Die OpenKRITIS Summer School
Von Paul Weissmann am 6. März 2024
Die OpenKRITIS-Workshops Sommer 2024 richten sich an Unternehmen, die einen fokussierten Einstieg in die NIS2 und KRITIS-Regulierung ab 2024 suchen. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt. Neben Wissensvermittlung liegt der Schwerpunkt auf Interaktion im Plenum zu Fallbeispielen – eigene Fragen sind erwünscht!
ID | Thema | Teilnehmer | Termin |
---|---|---|---|
S24.1 | NIS2 und KRITIS-Betroffenheit – und nun? Grundlagen und erste Schritte für (neu) betroffene Firmen. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten. |
Max. 8 | 4. Juni 2024 9:30-12:30 online |
S24.2 | German Critical Infrastructure requirements: KRITIS and NIS2 Introduction to German KRITIS and NIS2 regulation. Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps. |
Max. 8 | 11. Juni 2024 9:30-12:30 online |
S24.3 | Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG & EnWG Mit NIS2 bleibt mehrfache Regulierung (leider) erhalten. In Energie und Telekommunikation fallen Anbieter neben KRITIS und NIS2 auch unter TKG, EnWG und BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege, damit umzugehen. |
Max. 6 | 13. Juni 2024 9:30-12:30 online |
S24.4 | Konzerne und Auslandsgesellschaften mit EU NIS2 Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten. Konzerne fallen mit Legaleinheiten und Landesgesellschaften unter NIS2 – in EU-Jurisdiktionen mit unterschiedlichen Regeln. Wir beleuchten den Umgang mit Betroffenheit und Registrierung. |
Max. 6 | 18. Juni 2024 9:30-12:30 online |
Die OpenKRITIS-Konferenz am 12. März 2024
Von Paul Weissmann am 5. März 2024
Nur noch eine Woche bis zur OpenKRITIS-Konferenz 2024 – mit Talks von Betreibern und BSI!
Unternehmen können von den Erfahrungen anderer Betreiber aus vielen Jahren KRITIS lernen.
In vier Blöcken beleuchten Verantwortliche aus der Industrie aktuelle Themen aus der gelebten Praxis Kritischer Infrastrukturen, (fast) ohne Berater.
- Strategie: Erfahrungen aus dem Aufbau von KRITIS bei Betreibern
- Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
- Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
- Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
- Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)
Die OpenKRITIS-Konferenz 2024 findet am 12. März 2024 ganztägig virtuell statt.
Der Staat als Kritische Infrastruktur
Von Paul Weissmann am 4. März 2024
Der Sektor Staat und öffentliche Verwaltung gehören seit langem zu Kritischen Infrastrukturen. Trotzdem waren staatliche Organe und die öffentliche Verwaltung von vielen KRITIS-Pflichten ausgenommen. Mit NIS2 und KRITIS-Dachgesetz wird die Bundesverwaltung ab 2024 nun etwas mehr reguliert – es bleiben aber immer noch Lücken.
Während die EU-Direktive NIS2 große Teile der Regierung in mehreren Ebenen reguliert, gibt es im Bundesgesetz dafür viele Ausnahmen. Länder und Kommunen sind nicht explizit vom deutschen NIS2-Umsetzungsgesetz benannt, es soll aber NIS2-Landesgesetze geben.
Ebene | Einrichtungen | Out of scope (wahrscheinlich) |
---|---|---|
Bund |
|
|
Länder | wartet auf Landesgesetze |
|
Kommunen | Kommunale Eigenbetriebe (AöR, GmbH, ...)
|
|
Einreichung von Nachweisen in KRITIS-Prüfungen
Von Hanna Lurz am 1. März 2024
KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cybersecurity Maßnahmen in ihren KRITIS-Anlagen alle zwei, bald alle drei Jahre durch KRITIS-Prüfungen nachweisen. In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel, die als Teil der Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen.
Im Abschluss der Prüfung kommt es dabei häufig zu Nachfragen und Nachforderungen durch das BSI, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte:
- Die verbindlichen GAiN-Anforderungen müssen berücksichtigt werden.
- Nachweise müssen die Prüfung von Systemen zur Angriffserkennung enthalten.
- Alle Nachweisunterlagen müssen pünktlich eingereicht werden und vollständig sein: Formular KI und P, Anlagen PD.A, PD.B, PE.A, PS.A, PD.C und ggf. optionale
- Nachweisdokumente müssen in Deutsch eingereicht werden; Bericht kann Englisch sein.
- Die Unabhängigkeit der Prüfer wird durch die prüfenden Stellen geprüft.
- Einreichung per Melde- und Informationsportal (MIP) oder Mail (S/MIME).
Zur erfolgreichen Einreichung veranstaltet das BSI auch eine Videokonferenz am 5. März 2024 unter dem Titel Nachweise gemäß § 8a Abs. 3 BSIG “ We have a dream …” (mit Anmeldung).
Meldepflichten in der NIS2-Umsetzung
Von Hanna Lurz am 22. Februar 2024
Mit der deutschen NIS2-Umsetzung kommen ab Ende 2024 auf betroffene Einrichtungen viele neue Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen – in Umfang, Fristen und Pflichten.
Besonders wichtige Einrichtungen, Betreiber kritischer Anlagen und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Meldepflichten durch das KRITIS-Dachgesetz an das BBK kommen noch dazu.
- Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, innerhalb von 24h
- Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung) innerhalb 72h
- Zwischenmeldungen auf Nachfrage des BSI
- Abschlussmeldung innerhalb eines Monats mit Ursachen, Maßnahmen, Auswirkungen
- Alternativ eine Statusmeldung, falls der Vorfall noch andauert
- Betreiber kritischer Anlagen mit Zusatzpflichten
- Sektor Finanzen, Versicherung, IT und TK, Digitale Dienste mit Zusatzpflichten
Die verschiedenen Arten von Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: Es gibt erhebliche Sicherheitsvorfälle, Sicherheitsvorfälle, Beinahevorfälle und erhebliche Cyberbedrohungen, die in den Meldepflichten eine Rolle spielen. Diese Vorgaben können durch Rechtsverordnung (BMI) oder einen Implementing Act (EU) angepasst werden.
Je nach Sektor und Vorfallsart, müssen manche Einrichtungen zusätzlich zum BSI auch die Kunden ihrer Dienste über erhebliche Sicherheitsvorfälle und erhebliche Cyberbedrohungen informieren – teils inklusive Gegenmaßnahmen.
Umsetzung von NIS2 in EU-Mitgliedsstaaten
Von Henri Jäger am 2. Februar 2024
EU-Mitgliedsstaaten müssen EU NIS2 bis Oktober 2024 in nationales Recht umsetzen. Fast alle EU-Länder arbeiten an der Umsetzung — der Umsetzungsstand variiert jedoch stark zwischen den EU-Staaten. Die Gesetzgebung in einigen Ländern ist bereits weiter fortgeschritten und befindet sich im öffentlichen Diskurs, so u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien.
Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.
Status | Länder |
---|---|
Informationen zu EU NIS2 vorhanden | Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien |
Wenig zu NIS2 auffindbar | Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn, Zypern |
Der Artikel zu NIS2 in EU-Mitgliedsstaaten fasst unsere Erkenntnisse im Januar 2024 zusammen. Die Informationslage ist eher uneinheitlich — bei vielen Ländern haben wir keine und nur sehr wenige öffentlichen Informationen gefunden. Ergänzungen und Aktualisierungen folgen.
EU NIS2 Implementation in EU Member States
Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024