KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.

Industry

KRITIS und NIS2

Power plant

Kritische Infrastrukturen

Einreichung von Nachweisen in KRITIS-Prüfungen

Von Hanna Lurz am 1. März 2024

Picture of Audit Evidence

KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cyber­security Maßnahmen in ihren KRITIS-Anlagen alle zwei, bald alle drei Jahre durch KRITIS-Prüfungen nachweisen. In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel, die als Teil der Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen.

Im Abschluss der Prüfung kommt es dabei häufig zu Nachfragen und Nachforderungen durch das BSI, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte:

Zur erfolgreichen Einreichung veranstaltet das BSI auch eine Videokonferenz am 5. März 2024 unter dem Titel Nachweise gemäß § 8a Abs. 3 BSIG “ We have a dream …” (mit Anmeldung).

Meldepflichten in der NIS2-Umsetzung

Von Hanna Lurz am 22. Februar 2024

Picture of Phone Booth

Mit der deutschen NIS2-Umsetzung kommen ab Ende 2024 auf betroffene Einrichtungen viele neue Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen – in Umfang, Fristen und Pflichten.

Besonders wichtige Einrichtungen, Betreiber kritischer Anlagen und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Meldepflichten durch das KRITIS-Dachgesetz an das BBK kommen noch dazu.

Die verschiedenen Arten von Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: Es gibt erhebliche Sicherheitsvorfälle, Sicherheitsvorfälle, Beinahevorfälle und erhebliche Cyberbedrohungen, die in den Meldepflichten eine Rolle spielen. Diese Vorgaben können durch Rechtsverordnung (BMI) oder einen Implementing Act (EU) angepasst werden.

Je nach Sektor und Vorfallsart, müssen manche Einrichtungen zusätzlich zum BSI auch die Kunden ihrer Dienste über erhebliche Sicherheits­vorfälle und erhebliche Cyberbedrohungen informieren – teils inklusive Gegenmaßnahmen.

Umsetzung von NIS2 in EU-Mitgliedsstaaten

Von Henri Jäger am 2. Februar 2024

EU

EU-Mitglieds­staaten müssen EU NIS2 bis Oktober 2024 in nationales Recht umsetzen. Fast alle EU-Länder arbeiten an der Umsetzung — der Umsetzungsstand variiert jedoch stark zwischen den EU-Staaten. Die Gesetzgebung in einigen Ländern ist bereits weiter fortgeschritten und befindet sich im öffentlichen Diskurs, so u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien.

Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.

Status Länder
Informationen zu EU NIS2 vorhanden Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien
Wenig zu NIS2 auffindbar Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn, Zypern

Der Artikel zu NIS2 in EU-Mitgliedsstaaten fasst unsere Erkenntnisse im Januar 2024 zusammen. Die Informationslage ist eher uneinheitlich — bei vielen Ländern haben wir keine und nur sehr wenige öffentlichen Informationen gefunden. Ergänzungen und Aktualisierungen folgen.

EU NIS2 Webinar

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

Die OpenKRITIS-Konferenz am 12. März 2024

Von Paul Weissmann am 25. Januar 2024

OpenKRITIS-Konferenz

Auf der ersten OpenKRITIS-Konferenz 2024 können Unternehmen von langjährigen Erfahrungen anderer Betreiber lernen und Impulse für die eigene Praxis sammeln. In vier Blöcken beleuchten Speaker aus der Industrie aktuelle Themen rund um KRITIS und teilen ihre Erfahrungen aus der Umsetzungs­praxis, (fast) ohne Berater.

  1. Strategie in der Umsetzung: Erfahrung aus der Umsetzung von KRITIS bei Betreibern
  2. Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
  3. Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
  4. Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
  5. Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)

Zielgruppe sind Verantwortliche in Unternehmen, die jetzt schon oder zukünftig betroffen sind und sich über Erfahrungen in der Umsetzung von KRITIS und NIS2 informieren wollen. Bei bald mehr als 30.000 betroffenen Unternehmen in Deutschland gibt es viel zu reden und zu lernen. Die OpenKRITIS-Konferenz 2024 wird am 12. März 2024 ganztägig virtuell stattfinden.

  1. Jetzt anmelden!

Webinar EU NIS2 Implementation in EU Countries

Von Paul Weissmann am 16. Januar 2024

Picture of Europe

Wie wird EU NIS2 in der EU umgesetzt? Und wie gehen Mitgliedsstaaten die nationalen Gesetze zur Umsetzung von NIS2 an? Im OpenKRITIS-Webinar am 27. Februar 2024 besprechen wir EU NIS2 und die Umsetzung in ausgewählten EU Member States – Belgien, Deutschland, Finnland, Kroatian, Tschechien.

Es gibt so viele nationale Unterschiede in der Umsetzung der Registrierung, Audit-Pflichten, Befugnisse von Behörden — und viel Unklarheit, welche Pflichten wo und wann verbindlich werden. All das im freien OpenKRITIS-Webinar am 27. Februar 2024, auf Englisch. Registrierung über LinkedIn, Durchführung per Teams.

EU NIS2 Webinar

EU NIS2 Implementation in EU Member States

Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024

KRITIS-Dachgesetz – der zweite Entwurf

Von Paul Weissmann am 2. Januar 2024

Picture of a roof

Ende Dezember 2023 wurde der zweite Entwurf vom KRITIS-Dachgesetz veröffentlicht. Das KRITIS-DachG wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken und setzt die EU CER-Richtlinie (EU 2022/2557) um. Unter das Gesetz fallen ab 2024 die Betreiber kritischer Anlagen, ex-KRITIS, mit zusätzlichen Resilienz-Pflichten.

Auch im zweiten Entwurf vom DachG sind die Vorgaben und Fristen für Betreiber eher milde. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen treten erst 2026 in Kraft. Im Entwurf von Dezember wurden einige Vorgaben angepasst, reduziert und mit NIS2 harmonisiert:

Die Bundesregierung schätzt für die Wirtschaft einen jährlichen Erfüllungs­aufwand im hohen dreistelligen Millionen­bereich. Der Entwurf nimmt an, dass 1.300 Betreiber kritischer Anlagen über keine ausreichende physische Resilienz verfügen. Die Kosten für Resilienz-Vorgaben seien zehn Mal so hoch wie für Vorgaben zu IT-Sicherheit.

Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder und Einmalaufwand von 6 Mio EUR. Neue Planstellen sind noch unklar.

NIS2-Umsetzung und Werkstatt­gespräch

Von Paul Weissmann am 15. November 2023

Workshop and tools picture

Im Oktober fand ein Werkstatt-Gespräch zwischen Innenministerium und Wirtschafts­verbänden zur NIS2-Umsetzung statt. Besprochen wurde das Diskussionspapier zum NIS2-Umsetzungsgesetz und diverse Änderungs­wünsche.

Entschärfte der Gesetzesentwurf aus September 2023 im Diskussionspapier die NIS2-Anforderungen in Deutschland schon deutlich, gab es nun viele weitere Kommentare. In den öffentlichen Folien vom BMI zum Gespräch in der Werkstatt sind nun die Reaktionen des Bundes zu diesen Wünschen enthalten.

  1. Bemerkenswerte Aspekte aus den Folien: Prüfungen sollen nur noch alle drei Jahre für Betreiber kritischer Anlagen stattfinden – für Einrichtungen soll es keine Nachweis­pflicht, dafür eine mögliche Dokumentations­pflicht geben. Generell soll der Scope der §30 NIS2-Sicherheits­maßnahmen das ganze Unternehmen umfassen.
  2. Diverse Vorschläge hat das Innenministerium laut Folien abgelehnt. So ist es gegen den generellen Ausschluss kleiner und mittlerer Unternehmen sowie konzern­eigener IT-Dienstleister. Es ist aber auch gegen die Aufnahme von Kommunen und Ländern in die NIS2-Regulierung. Weiterhin sollen die Meldefristen nicht verlängert werden und die Size-cap-Regeln zur Größen­bestimmung nicht weiter angepasst (beschnitten) werden.
  3. Sonst noch relevante Änderungen und Anpassungen: Definitionen sollen harmonisiert werden (zu Gesetzen, Branchen) und einige Formalien und Vorgaben am Rande des Gesetzes klargestellt werden. Die besonderen Anforderungen an kritische Anlagen sollen auf den Unternehmensteil beschränkt bleiben (die Prüfungen aber nicht?).
  4. Es sind weiterhin keine Übergangsfristen in der NIS2-Umsetzung erkennbar!
  5. – und vieles mehr

Aber, viele Aspekte der NIS2-Umsetzung blieben zumindest in den Folien unbesprochen:

Die Änderungen sollen in einem weiteren Referentenentwurf für die NIS2-Umsetzung an verarbeitet werden; zusätzlich stehen auch noch weitere KRITIS-Verordnung(en) aus.

up

OpenKRITIS auf LinkedIn | RSS Feed | News-Archiv