OpenKRITIS

Briefings & Webinare

Webinar zum IT-Sicherheitsgesetz 2.0

Von Paul Weissmann am 5. Juli 2021

Ziel ist ein offener Austausch zur Umsetzung der KRITIS-Regulierung 2.0. Was müssen Betreiber tun? Und gehörte Angriffserkennung nicht schon immer zum Stand der Technik?

1. Angriffserkennung im IT-Sicherheitsgesetz 2.0: Was fordert das Gesetz?
2. SIEM, SOC & co.: Wie setzen Betreiber die Anforderungen ab 2023 um?
3. Diskussion zu Erfahrungen aus der Praxis

Update: Das nächste Webinar zum Thema Kritische Infrastrukturen ohne BCM, geht das? ist für Spätsommer geplant. Anmeldung wieder über LinkedIn.

Webinare und OpenKRITIS-Dialog

Von Paul Weissmann am 21. Juni 2021

Die von OpenKRITIS gehosteten Dialoge dienen dem offenen Austausch zu Themen rund um KRITIS und Cyber Security. In jeweils einer Stunde gibt es eine kurze Präsentation und danach Raum für Diskussionen und Austausch. Teilnahme ist frei, Registrierung über LinkedIn.

• IT-Sicherheitsgesetz 2.0 Neuerungen, 17. Juni 2021
• OT-Security in Kritischen Infrastrukturen, Sommer 2021
• Angriffserkennung nach Stand der Technik in KRITIS, Sommer 2021
• UNBÖFI und Cyber Security Anforderungen, Herbst 2021
• Der neue KRITIS-Sektor Siedlungsabfallentsorgung, Herbst 2021
• EN The European Context in Critical Infrastructures, Winter 2021
• Repetitorium für KRITIS-Prüfer, Winter 2021

IT-Sicherheitsgesetz 2.0 heute in Kraft getreten

Von Paul Weissmann am 28. Mai 2021

Das neue IT-Sicherheitsgesetz 2.0 ist am 28. Mai 2021 in Kraft getreten, nachdem es im April und Mai 2021 von Bundesrat und Bundestag beschlossen und am 27. Mai im Bundesgesetz­blatt veröffentlicht wurde. Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.

Webinar zum IT-Sicherheitsgesetz 2.0

Von Paul Weissmann am 25. Mai 2021

Ziel des Webinars ist ein virtueller, offener Austausch zur neuen KRITIS-Regulierung in 2021: Was bedeutet das für Betreiber? Und was kommt nach dem IT-Sicherheitsgesetz 2.0 noch?

1. Neuerungen im IT-Sicherheitsgesetz 2.0: von Angriffserkennung bis zur Entsorgung
2. KRITIS-Verordnung 2.0: mehr Anlagen, niedrige Schwellenwerte und +270 Betreiber
3. Ausblick und Diskussion zu den Auswirkungen in der Praxis

EU RCE und Resilienz in Kritischen Infrastrukturen

Von Paul Weissmann am 18. Mai 2021

Die EU RCE Directive on the resilience of critical entities reguliert die Resilienz von EU Kritischen Infrastrukturen. RCE fordert Ausfallsicherheit der kritischen Dienstleistungen bei Betreibern, während EU NIS2 deren Cyber Security reguliert — beide schreiben Maßnahmen bei Unternehmen und staatliche Aufsicht vor.

EU RCE löst die bisherige ECI (European Critical Infrastructures) Direktive von 2008 ab und liegt seit Ende 2020 als Entwurf vor. Die Direktive muss wie NIS2 noch verabschiedet und in nationales Recht überführt werden.

EU NIS2 – Der europäische Kontext

Von Paul Weissmann am 14. Mai 2021

Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems ist das erste EU-weite Gesetz über Cyber Security bei Betreibern von Essential Services. Die neue EU NIS2 erweitert die Sektoren und Cyber Security Pflichten deutlich:

Die NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt, ein Entwurf von NIS2 liegt seit 2020 vor und muss noch verabschiedet und in nationales Recht überführt werden.

Critical Infrastructures in Germany and IT-SiG 2.0

Von Paul Weissmann on May 11, 2021

German critical infrastructure law is regulated by the IT security act, recently updated by the second version IT-Sicherheitsgesetz 2.0. IT-SiG 2.0 updates the German legislation with more cyber security requirements and extends the scope by at least 270 more operators.

New rules include cyber attack detection and more reporting to the government. More companies will be affected too — by lower thresholds and more asset types, the new waste management sector and companies called special public interest entities (UNBÖFI).

Unternehmen im besonderen öffentlichen Interesse – what?

Von Paul Weissmann am 6. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern nun auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) zur KRITIS-Regulierung. Viele dieser besonders schützenswerten Unternehmen haben als UNBÖFI neue KRITIS-light Security Pflichten:

1. Rüstung: Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
2. Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und
   Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal für diese.
3. Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.

Diese Unternehmen im besonderen öffentlichen Interesse fallen mit den letzten Entwürfen vom IT-Sicherheitsgesetz 2.0 ab 2021 neu unter die Regulierung — mit neuen Rechtsfolgen und UNBÖFI-Pflichten für IT-Sicherheit.

KRITIS-Verordnung 2.0 – mehr Anlagen und Schwellen­werte

Von Paul Weissmann am 4. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-Verordnung auch die KRITIS-Anlagen und Schwellenwerte. Mehr Betroffenheit — für etwa 270 neue Betreiber.

Der Entwurf der neuen KRITIS-Verordnung senkt sechs Schwellenwerte bestehender KRITIS-Anlagen, fügt siebzehn neue Anlagen hinzu — weitere wurden umbenannt — und streicht fünf. Die wichtigsten Änderungen zum jetzigen Stand:

• Energie: 6 neue und 2 wegfallende Anlagen, 3 sinkende Schwellenwerte.
• Gesundheit: 1 neue und 2 wegfallende Anlagen.
• Transport: 6 neue und 1 wegfallende Anlage, 1 neuer Schwellenwert.
• IT und TK: 1 neue Anlage, 3 sinkende Schwellenwerte.
• Finanz- und Versicherungen: 3 neue Anlagen, Konsolidierung bei Versicherungen.

Eine Analyse der Auswirkungen und alle Anlagen im Artikel zu KRITIS-Anlagen 2.0.