Prüfungen in NIS2 und Dachgesetz

Von Paul Weissmann am 24. Juli 2023

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz kommen neue Nachweispflichten auf über 8.000 Unternehmen in den nächsten Jahren zu. In NIS2 muss Cybersecurity alle zwei Jahre nachgewiesen werden, im KRITIS-Dachgesetz Resilienz ebenfalls alle zwei Jahre.

Es wird komplex – mit Tausenden Prüfungen jährlich:

Nachweise	KRITIS-Betreiber	Betreiber kritischer Anlagen		Besonders wichtige Einrichtung	Wichtige Einrichtung
Gesetz	BSIG	NISUmsuCG	DachG	NISUmsuCG	NISUmsuCG
Zeitraum	aktuell	ab 2024-28	ab 2026	ab 2024-28	-
Pflicht	§8a (3)	§34 (1) §39 (2)	§11 (8)	§34 (1)	-
Form	Nachweisprüfung	Audits & Co.	Audits	Audits & Co.	-
Inhalt	IT-Sicherheit SzA	IT-Sicherheit+ Meldepflicht SzA	Resilienz Meldepflicht	IT-Sicherheit+ Meldepflicht	-
Scope	KRITIS-Anlage	Kritische Anlage	Kritische Anlage	Unternehmen?	-
Frequenz	alle zwei Jahre	alle zwei Jahre	alle zwei Jahre	alle zwei Jahre	-
Empfänger	BSI	BSI	BBK	BSI	-

Die Zeitleiste der Audits hängt vom Inkrafttreten der Gesetze ab. Die bisherigen KRITIS-Prüfungen bleiben vorerst bestehen, sicherlich mit Übergangsfristen und Synchronisation. Den Zeitpunkt der ersten Nachweise legen BSI (NIS2) und BBK (DachG) fest – zwischen 2024 und 2028 in NIS2 und ab 2026 für DachG.

Neuerungen im zweiten NIS2-Referentenentwurf

Von Hanna Lurz am 21. Juli 2023

Seit Mitte Juli ist der zweite Referentenentwurf vom NIS2-Umsetzungsgesetz publik, mit einigen Auffälligkeiten und Änderungen zum letzten Entwurf von April 2023.

• Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
• Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnis­mäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
• Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte und Bewertungen des BSI berücksichtigen.
• Die Frist für erstmalige Nachweise nun (spätestens) vier Jahre nach Inkrafttreten.
• Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
• Die angestrebte Vereinfachung und Zentralisierung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst.

In der NIS2-Umsetzung wird keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen, eine Evaluierung erübrige sich durch die NIS-2-Umsetzung.

Referentenentwurf vom KRITIS-Dachgesetz

Von Paul Weissmann am 19. Juli 2023

Das KRITIS-Dachgesetz erweitert die Regulierung Kritischer Infrastrukturen ab 2023 um Resilienz und physische Sicherheit bei kritischen Betreibern. Basierend auf EU RCE/CER betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die mehr Maßnahmen für BCM, Risiko- und Krisenmanagement und physische Sicherheit umsetzen müssen.

Im aktuellen Referentenentwurf von Juli 2023 gibt es dazu eher milde Vorgaben und Fristen:

• Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS).
• Sektoren: Die bisherigen KRITIS-Sektoren der kritischen Anlagen werden reguliert, mit einigen Erweiterungen und Ausschlüssen – u.a. IT, TK, Finanzen und Versicherungen.
• Resilienz: Konkrete Resilienz-Vorgaben für Betreiber wie Krisen- und Risikomanagement, BCM, Personalsicherheit, physische Sicherheit.
• Aufsicht: Die KRITIS-Aufsicht wird um das BBK erweitert, das Nachweise, Meldungen und Registrierungen erhalten soll. Gemeinsame Lösungen mit BSI sind geplant.
• Sanktionen: Es gibt eine Liste mit Verstößen, die Bußgelder sind noch nicht definiert.
• Risiken: Nationale und Betreiber-Risiken der Wirtschaftsstabilität spielen eine große Rolle für Betreiber, das BBK (und die EU).

Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 in Kraft. Trotz allem kommen auf einige Betreiber zusätzliche Maßnahmen zu.

Eine ausführliche Analyse dazu im Artikel zum KRITIS-Dachgesetz.

NIS2 und Auswirkungen auf den KRITIS-Energiesektor

Von Hanna Lurz am 23. Juni 2023

Die bisherige KRITIS-Regulierung im Energiesektor soll durch das NIS2-Umsetzungsgesetz vereinfacht werden. Bisher müssen manche Energiebetreiber Anforderungen aus §8a BSIG umsetzen – andere Betreiber von Energie­anlagen und Energie­versorgungsnetzen werden durch die BNetzA reguliert und müssen die IT-Sicherheitskataloge umsetzen.

Der Entwurf des NIS2-Umsetzungsgesetzes sieht vor, dass zukünftig die Verpflichtungen für Betreiber und Einrichtungen im Energiesektor einheitlich im BSIG geregelt werden und die Aufsicht für KRITIS im Energiesektor durch das BSI erfolgt. Konkret bedeutet der Entwurf:

• Das BSI wird zum ersten Ansprechpartner für alle Energie-KRITIS-Betreiber und gibt relevante Informationen an die BNetzA weiter.
• Die BNetzA legt im Einvernehmen mit dem BSI einen Katalog von Sicherheits­anforderungen für den Betrieb von Energieversorgungs­netzen und Energieanlagen fest, der kritische Komponenten und kritische Funktionen beim Anlagenbetrieb definiert.
• Die bestehenden IT-Sicherheits­kataloge nach §11 (1a) & (1b) EnWG werden obsolet. Das BSI wird befugt, einen (neuen) Katalog von Sicherheits­anforderungen zu erstellen, der geeignete Risikomanagement­maßnahmen nach § 30 (1) und zu Nachweisen beschreibt.

Mehr dazu im Artikel zum NIS2-Umsetzungsgesetz.

Evaluierung des IT-Sicherheitsgesetzes 2.0

Von Hanna Lurz am 22. Juni 2023

Im Mai 2023 hat das Innenministerium den gesetzlich geforderten Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0 vorgelegt. Der Bericht ist mit fünfzehn Seiten eher kurz und enthält neben der eigentlichen Bewertung des IT-Sicherheits­gesetzes diverse Hintergrund­informationen zu Historie und Inhalt der Regulierung.

Input für die Evaluierung war eine Online-Befragung des BSI unter KRITIS-Betreibern mit knapp 400 Unternehmen und mögliche Stellungnahmen auf eine Anfrage von BMI und BSI durch UP KRITIS, Fachverbände, Universitäten, Forschungseinrichtungen, das IDW etc. Wer tatsächlich teilgenommen hat, ist nicht klar. Die Kernergebnisse laut Evaluierung sind:

• Grundsätzlich erfüllt das IT-Sicherheitsgesetz seinen Zweck. Aus der Betreiber-Umfrage lässt sich ein besonders hoher Einfluss der gesetzlichen Regulierung auf die Umsetzung organisatorischer Sicherheitsmaßnahmen erkennen: anders als technische Maßnahmen, die mancherorts schon vor dem ersten IT-SiG in Teilen umgesetzt waren, wurden insbesondere organisatorische Sicherheitsmaßnahmen mehrheitlich erst zwischen 2015 bis 2020 realisiert. Auch zwischen der Vertrautheit mit dem IT-SiG und dem Umsetzungsstand der gesetzlichen Vorgaben lässt sich ein Zusammenhang beobachten: In Unternehmen, die die Gesetzgebung und die Anforderungen „Absicherungen nach dem Stand der Technik“ und zur Nachweispflicht nicht gut kennen, ist der Umsetzungsstand auch überdurchschnittlich häufig niedriger.
• Betreiber wünschen sich in verschiedenen Bereichen Vereinfachungen, z. B. in der Nachweiserbringung, der Meldung von Sicherheitsvorfällen, der Zusammenarbeit zwischen BSI und Betreibern, der geteilten Regulatorik zwischen BSI und BNetzA etc. Auch ist eine Vereinheitlichung von Begrifflichkeiten insbesondere im Hinblick auf die kommende NIS2-Umsetzung in Deutschland gewünscht.
• Das BMI hebt hervor, dass im Zuge aktueller und künftiger Regulatorik wie DORA-, CER- und NIS2-Richtlinie besonders auf Übersichtlichkeit und pragmatische Umsetzung Wert gelegt werden sollte, um die betroffenen Unternehmen nicht zu frustrieren, sondern die Erhöhung der Sicherheitsniveaus weiter voranzutreiben.

Mehr zu den Ergebnissen der Evaluierung im Artikel zum IT-Sicherheitsgesetz 2.0.

Entwurf des Gesetzes zur Umsetzung von EU NIS2

Von Hanna Lurz am 18. Mai 2023

Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindest­standards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.

Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:

• Erweiterter Kreis betroffener Unternehmen durch besonders wichtige und wichtige Einrichtungen, neben den Betreibern kritischer Anlagen (ex-KRITIS)
• Erweiterte Sektoren in Deutschland analog zu NIS2
• Cybersecurity-Pflichten für Betreiber, z. B. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen, Governance
• Staatliche Aufsicht und Registrierungs-, Nachweis- und Meldepflichten
• Erweiterte Bußgeldtatbestände und -höhen

Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.

Grundsätzliche Anforderungen Prüfungen §8a (5) BSIG

Von Paul Weissmann am 17. Mai 2023

Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.

Normativ geregelt werden:

• Unabhängigkeit der prüfenden Stelle und Prüfer, Anforderungen an interne Revisionen
• 4-Augen-Prinzip in einzelnen Prüfschritten
• Prüfberichte - Form, verbindliche Inhalte und Umgang in der Prüfung
• Geltungsbereich (bestehende G/N-Anforderungen nun normativ)
• Prüfung der Mängelliste, Umgang Altmängel, Prüfung Umsetzungsplan
• Nutzung der BSI-Vorlagen für Nachweise

Umsetzung ab 1.6.2023 (in zwei Wochen!), einige Anforderungen erst ab 2024.
Mehr zu den Anforderungen im Artikel zu GAiN §8a (5) BSIG

up