KRITIS-Dachgesetz, RCE und NIS 2

Von Paul Weissmann am 26. November 2022

Nach Vorfällen und der aktuellen politischen Lage in 2022 arbeitet das Innen­ministerium laut Presseberichten an einem KRITIS-Dachgesetz, das physische Sicherheit und Resilienz in Kritischen Infrastrukturen konkretisiert und EU RCE vorgreift. Ab 2023 werden damit einige Änderungen in der deutschen KRITIS-Regulierung folgen, unter anderem:

• Dachgesetz KRITIS: Zusätzliche Anforderungen an Kritische Infrastrukturen und weitere Unternehmen, angelehnt an die verabschiedete CER-Richtlinie.
• IT-Sicherheitsgesetz 3.0: Die EU NIS 2 Richtlinie muss in nationales Recht überführt werden, und könnte mit weiteren Neuerungen im IT-Sicherheitsgesetz 3.0 münden.
• Neue Rechtsverordnungen: Änderungen zu KRITIS Entsorgung und UBI Gruppe 2 (Volkswirtschaft) sind noch ausstehend in weiteren Rechtsverordnungen.

Die KRITIS-Regulierung wird sich nochmal deutlich in betroffenen Betreibern und Schutz­maßnahmen erweitern – mit Auswirkungen auf Unternehmen ab perspektivisch 2024.

Orientierungshilfe Angriffserkennung 2022

Von Paul Weissmann am 5. Oktober 2022

Die finale Version der Orientierungshilfe für Systeme zur Angriffserkennung wurde im September 2022 vom BSI veröffentlicht. Die quasi-normative Orientierungshilfe definiert Anforderungen an Betreiber zur Umsetzung von Angriffserkennung nach §8a (1a) BSIG, welche ab dem 1. Mai 2023 in KRITIS-Prüfungen nachgewiesen werden muss.

Die mehreren Dutzend Anforderungen beschreiben eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion. Die Anforderungen sind auf OpenKRITIS in logische Gruppen aufgeteilt, zusätzlich gibt es ein Mapping auf C5 und ISO 27001.

Am 21. Oktober findet ein freies OpenKRITIS-Webinar zur Diskussion der Änderungen und zum Austausch über die Konsequenzen für Betreiber und Prüfer statt:

IT-Sicherheitsgesetz 3.0 und KRITIS ab 2022-23

Von Paul Weissmann am 10. September 2022 ⚡

Die KRITIS-Regulierung in Deutschland und der EU wird sich in den kommenden Jahren deutlich weiterentwickeln. Mehr Anforderungen, mehr Betroffenheit und generell mehr Regulierung — hier die OpenKRITIS-Einschätzung:

2022

• KRITIS-Verordnung 2.0: Der KRITIS-Sektor Entsorgung und weitere Anpassungen an Anlagen und Schwellenwerten werden in einer neuer KritisV 2.0 definiert, die 2023 in Kraft treten soll.
• EU NIS2: Die neue NIS-Verordnung 2.0 erweitert Cyber Security Pflichten und Betroffenheit in der EU deutlich. Es gibt einen Verhandlungsentwurf, der 2022 in der EU verabschiedet werden könnte und dann über 2023 hinaus in nationales Recht überführt werden muss.

2023+

• UBI-Verordnung (UBI-VO): Die Betroffenheit von UBI, den Unternehmen im besonderen öffentlichen Interesse der Gruppe 2 (Bedeutung) müssen noch in einer Verordnung (UBI-VO) definiert werden, die 2023? in Kraft treten könnte — Zeitplan unklar.
• EU RCE: Die Resilienz-Verordnung der EU macht Resilienz für Betreiber verpflichtend, wird in der EU noch verhandelt und muss mit neuen Pflichten in nationales Recht überführt werden.
• IT-Sicherheitsgesetz 3.0: Die neuen Anforderungen aus EU-Regulierungen zu Cyber Security (NIS2), Betroffenheit (NIS2), Resilienz (RCE) sowie Erfahrungen in Deutschland (Anlagen, Nachweise, Maßnahmen und Prüfungen) werden mittelfristig sicherlich in einem neuen IT-Sicherheitsgesetz verarbeitet werden — möglicherweise IT-SiG 3.0.

ISO 27002:2022 und IDW PH 9.860.2 für KRITIS

Von Paul Weissmann am 10. September 2022

Zu den nationalen und internationalen Security Standards für KRITIS-Betreiber wurden zwei Standards für KRITIS-Management ergänzt:

• IDW PH 9.860.2: Der Prüfhinweis für das IT-Sicherheitsgesetz vom Institut der Wirtschafts­prüfer enthält Cyber Security Anforderungen für KRITIS-Betreiber und Nachweis­prüfungen.
• ISO 27002:2022: Die 2022 aktualisierten ISO 27002 Best Practices konsolidieren und erweitern das ISO Control-Set und sind jetzt auch im KRITIS-Standard-Mapping enthalten.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind frei in der Auswahl von Standards.

Stand der Technik Geltungsbereich

Von Paul Weissmann am 4. Juli 2022

Der Geltungsbereich ist eines der wichtigsten Dokumente von KRITIS-Betreibern in ihren KRITIS-Anlagen. Im Geltungsbereich wird der Umfang der einzelnen KRITIS-Anlagen und ihrer IT definiert — was in der KRITIS-Prüfung mit als erstes geprüft wird. Das BSI hat zur Erstellung von Geltungsbereichen im Juni nun eine Anleitung mit Beispielen veröffentlicht.

• Anleitung zur Dokumentation vom Geltungsbereich Schritt für Schritt: Von der Anlage über Prozesse bis zur IT und Netzstrukturplan (NSP).
• Anforderungen G01-G13/N01-N10 der Orientierungshilfe Nachweise (OH-N) in Textform.
• Beispiel Geltungsbereich eines Tanklagers (Sektor Energie).
• Beispiel Netzstrukturplan eines Tanklagers (Sektor Energie).

Die Unterlage Dokumentation des Geltungsbereiches ist beim BSI als PDF online.

Cyber Security Standards für KRITIS

Von Paul Weissmann am 15. April 2022

Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infra­strukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.

• Management von Informations­sicherheit: Standards wie ISO 27001, BSI IT-Grundschutz und C5 definieren ein Management­system zum Umgang mit Risiken und Informations­sicherheit (ISMS) — in der Regel mit verbindlicher Methodik, Struktur und Kontrollen.
• Branchen und Spezifika: Standards wie B3S, ISO 2701X, IEC 62443, die sich auf bestimmte Branchen und Technologien beziehen und spezifische Vorgaben für Sicherheits­maßnahmen für branchen­spezifische Anlagen oder IT/OT-Systeme definieren.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

up