OpenKRITIS Kritische Infrastrukturen und Sicherheit

Unternehmen im besonderen öffentlichen Interesse – what?

Von Paul Weissmann am 6. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern nun auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) zur KRITIS-Regulierung. Viele dieser besonders schützenswerten Unternehmen haben als UNBÖFI neue KRITIS-light Security Pflichten:

1. Rüstung: Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
2. Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (Top 100), weil Störungen gesamtgesellschaftliche Bedeutung hätten, und
   Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal für diese.
3. Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.

Diese Unternehmen im besonderen öffentlichen Interesse fallen mit den letzten Entwürfen vom IT-Sicherheitsgesetz 2.0 ab 2021 neu unter die Regulierung — mit neuen Rechtsfolgen und UNBÖFI-Pflichten für IT-Sicherheit.

KRITIS-Verordnung 2.0 – mehr Anlagen und Schwellen­werte

Von Paul Weissmann am 4. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-Verordnung auch die KRITIS-Anlagen und Schwellenwerte. Mehr Betroffenheit — für etwa 270 neue Betreiber.

Der Entwurf der neuen KRITIS-Verordnung senkt sechs Schwellenwerte bestehender KRITIS-Anlagen, fügt vierzehn neue Anlagen hinzu — weitere wurden umbenannt — und streicht fünf. Die wichtigsten Änderungen zum jetzigen Stand:

1. Energie: 3 neue und 2 wegfallende Anlagen, 3 sinkende Schwellenwerte.
2. Gesundheit: 1 neue und 2 wegfallende Anlagen.
3. Transport: 6 neue und 1 wegfallende Anlage, 1 neuer Schwellenwert.
4. IT und TK: 1 neue Anlage, 3 sinkende Schwellenwerte.
5. Finanz- und Versicherungen: 3 neue Anlagen, Konsolidierung bei Versicherungen.

Eine Analyse der Auswirkungen und alle Anlagen im Artikel zu KRITIS-Anlagen 2.0.

IT-Sicherheits­gesetz 2.0 vom Bundestag beschlossen

Von Paul Weissmann am 29. April 2021 aktualisiert ⚡

Das neue IT-Sicherheitsgesetz 2.0 wurde am 23. April vom Bundestag in der Version vom Innenausschuss (19/28844) beschlossen. Zu den Entwürfen von Anfang 2021 hat sich nur wenig Wesentliches geändert — das IT-SiG 2.0 erweitert die Pflichten von Betreibern und Befugnisse vom Staat deutlich:

1. Neue Pflichten für KRITIS-Betreiber
2. Mehr betroffene Unternehmen und Sektoren
3. Mehr Befugnisse für das BSI
4. Höhere Sanktionen
5. Verbraucherschutz

Update ⚡: Analyse der neuen KRITIS-Verordnung mit neuen Anlagen und Schwellenwerten im Abschnitt Schwellenwerte. Alle Anlagen auf der separaten KRITIS-Anlagen 2.0 Seite.

Für Betreiber neu — mehr KRITIS-Pflichten in der Angriffserkennung (SIEM/SOC) und mehr Informationen ans BSI, erstmalig kritische Komponenten im TK-Sektor. Neu betroffen sind der KRITIS-Sektor Entsorgung und die KRITIS-light Unternehmen im besonderen öffentlichen Interesse — nun neben Rüstung, Chemie und Konzernen auch deren Zulieferer.

Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.

OpenKRITIS – das unabhängige KRITIS-Nachschlage­werk

Von Paul Weissmann am 28. April 2021

OpenKRITIS ist ein unabhängiges Projekt für Cyber Security in Kritischen Infrastrukturen und wird seit April 2021 als Work in Progress veröffentlicht. Das Ziel ist, die vielen Informationen zu KRITIS und dem IT-Sicherheitsgesetz für Betreiber und Prüfer an einem Ort übersichtlich zusammenzuführen — für weniger STRG+F in Gesetzen und mehr Cyber Security.

Bis jetzt mit über 30 Artikeln zu: die KRITIS-Grundlagen und das ⚖ IT-Sicherheitsgesetz, die Pflichten von ♨ KRITIS-Betreibern und notwendige Cyber Security ☂ Maßnahmen. Mehr als fünf neue Artikel sind in Arbeit, der ganze Abschnitt zu ⚔ KRITIS-Prüfungen folgt bis zur nächsten Prüfsaison — alle Ausführungen werden fortlaufend aktualisiert.

OpenKRITIS basiert auf öffentlichen Quellen, den Gesetzestexten und Entwürfen sowie eigenen langfährigen KRITIS-Erfahrungen.