KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Fokus ist das IT-Sicherheitsgesetz, Pflichten von KRITIS-Betreibern, Cyber Security Maßnahmen und BSIG-Prüfungen. OpenKRITIS soll Betreibern, Prüfern und Verantwortlichen das Verständnis von KRITIS erleichtern vor dem Hintergrund des neuen IT-Sicherheitsgesetz 2.0 und EU NIS2.
Das neue IT-Sicherheitsgesetz 2.0
- Für Betreiber mehr Security-Pflichten
- Neue Unternehmen als UNBÖFI
- Neuer Sektor KRITIS Entsorgung
- Mehr Anlagen und tiefere Schwellenwerte
- Für Vergehen deutlich höhere Strafen
KRITIS In a Nutshell
Einsatz von 5G im KRITIS-Sektor Telekommunikation
Von Paul Weissmann am 20. Januar 2022
Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber im Sektor Telekommunikation dem Innenministerium den Einsatz bestimmter IT-Systeme in Kritischen Infrastrukturen anzeigen. Diese Kritischen Komponenten müssen in einzelnen Sektoren noch durch weitere Gesetze geregelt werden — im TK-Sektor erfolgte dies erstmalig 2021 durch die Novelle des TKG.
Die BNetzA hat dazu mit dem BSI folgende kritische Funktionen in 5G-Mobilfunknetzen festgelegt, deren IT-Systeme unter die Regulierung als kritische Komponenten fallen.
- Core network functions
- NFV management and network orchestration (MANO)
- Management systems and supporting services
- Radio Access Network (RAN)
- Transport and transmission
- Internetwork exchanges
Der Einsatz dieser IT-Systeme muss dem Innenministerium mit einer Erklärung angezeigt und kann untersagt werden.
Die aktuelle Lage der KRITIS-Regulierung in 2022
Von Paul Weissmann am 3. Januar 2022
Die Regulierung zu Kritischen Infrastrukturen befindet sich in Deutschland seit 2021 im Umbruch und wird 2022 weiter erneuert und ausgebaut.
Was hat sich alles geändert?
— erweiterte Gesetze, neue Verordnungen und noch ausstehende Entwicklungen:
2021
- IT-Sicherheitsgesetz 2.0: Das neue IT-SiG 2.0 erweitert vor allem KRITIS-Pflichten und staatliche Befugnisse im BSI-Gesetz und ist seit Mai 2021 in Kraft.
- KRITIS-Verordnung 2021 (1.5): Die Rechtsverordnung von 2021 (KritisV 1.5) definiert neue KRITIS-Anlagen und Schwellenwerte und ist seit Januar 2022 in Kraft.
2022
- KRITIS-Verordnung 2.0: Eine weitere Rechtsverordnung konkretisiert die Änderungen des IT-SiG 2.0 wie den KRITIS-Sektor Entsorgung und ist 2022 als KritisV 2.0 in Arbeit.
- UBI-Verordnung (UBI-VO): Eine eigene Rechtsverordnung UBI-VO definiert in 2022 die Unternehmen im besonderen öffentlichen Interesse (UBI).
- EU NIS2: Die neue NIS-Verordnung 2.0 für Cyber Security erweitert die Pflichten in der EU. Der Entwurf wird seit 2021 verhandelt und dann (2022?) in nationales Recht überführt.
- EU RCE: Die neue RCE-Verordnung macht Resilienz für Betreiber in der EU verpflichtend, und muss 2022 verabschiedet und in nationales Recht überführt werden.
Vorträge zu KRITIS Loops und IT-SiG 2.0 vs. EU
Von Paul Weissmann am 18. November 2021
Zwei neue OpenKRITIS-Vorträge zu Kritischen Infrastrukturen sind nun Online: Einmal beim EY-Risikomanagement Stammtisch am 17. November zu aktuellen KRITIS-Entwicklungen im Jahr 2021 zum Thema IT-Sicherheitsgesetz 2.0 und EU-Regulierung NIS2 und RCE.
Daneben ein akademischer Vortrag zusammen mit Jan Hoff bei der Transformations of Infrastructure Systems Konferenz der TU-Darmstadt am 4.11.2021 zum Thema Infinite Loop: Transformation and Fragilities in Infrastructures — immer wiederkehrenden Verwundbarkeiten durch technologische und gesellschaftliche Transformation von Kritischen Infrastrukturen.
EN German and EU Critical Infrastructures 2021
Talk at IT-Sicherheitsgesetz 2.0 - Anforderungen und Umsetzung
Online ∙ Risikomanagement-Stammtisch EY ∙ 17. November 2021
EN Infinite Loop: Transformation and Fragilities in Infrastructures
Talk at the Transformations of Infrastructure Systems conference
With Jan Hoff ∙ FG KRITIS ∙ TU Darmstadt ∙ 4. November 2021
OpenKRITIS-Podcast – jetzt online 🎧
Von Paul Weissmann am 9. November 2021
Was sind eigentlich Kritische Infrastrukturen? Und macht das IT-Sicherheitsgesetz den Alltag wirklich sicherer? Mit unseren Gästen gehen wir dem nach — im neuen OpenKRITIS-Podcast sprechen wir über die Hintergründe Kritischer Infrastrukturen und die Effekte staatlicher KRITIS-Regulierung auf Betreiber, Unternehmen und Gesellschaft.
Die Premieren-Folge widmet sich der Geschichte des IT-Sicherheitsgesetzes und ist ab sofort auf den gängigen Plattformen und bei uns zu finden.
DE Geschichte und Zukunft vom IT-Sicherheitsgesetz
Die Entwicklung Kritischer Infrastrukturen in Deutschland seit den 2000ern bis zum IT-Sicherheitsgesetz 3.0. Ein Austausch über MINT-Nerds, Lieblingsparagraphen und Tipps für Betreiber.
Mit Wilhelm Dolle
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 44 Min ∙ 8.11.2021
Neue KRITIS-Anlagen in den KRITIS-Sektoren
Von Paul Weissmann am 28. Oktober 2021
Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue Verordnung die KRITIS-Anlagen. Die Änderungen sind nun auch in den einzelnen KRITIS-Sektoren eingetragen:
- Energie: In Stromerzeugung und Handel sinken Schwellenwerte und Anlagen ändern sich, zentrale Steuerung und diverse Gas/Strom-Anlagen kommen hinzu, Flugkraftstoff ebenfalls
- IT: Die Schwellenwerte von Rechenzentren, Cloud (Serverfarmen) und IXP sinken deutlich, Domain-Registries (TLD) kommen als Anlage dazu.
- Finanzen und Versicherung: Die bisher mehrfach vorhandenen Anlagen pro Versicherungsträger werden vereinfacht, neue kommen im Wertpapierhandel hinzu.
- Transport: Sendungen sind nun auch Schwellenwert in der Logistik, bei Häfen, Flughäfen und Fluggesellschaften kommen neue Leitungs-Anlagen hinzu, im Straßenverkehr das Intelligente Verkehrssystem. Im ÖPNV nur Zusammenfassungen und Präzisierungen.
- Gesundheit: Bei Laboren wurden die Anlagen Transportsystem und Kommunikationssystem für Aufträge/Befunde im Laborinformationsverbund zusammengefasst.
- Wasser: Nur geringe Änderungen — Stauanlagen gehören nun auch zur Gewinnung.
- Ernährung: Leichte Änderungen und Konkretisierung der Steuerungs-Anlagen, Getränke bis 1.2 ‰ gehören nun zum Schwellenwert.
- Entsorgung und UBI/UNBÖFI: Anlagen im neuen KRITIS-Sektor Entsorgung fehlen noch, ebenso die Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI).
Offizielle Informationen vom BSI zu UBI (UNBÖFI)
Von Paul Weissmann am 11. Oktober 2021
Das BSI hat nun die Unternehmen im besonderen öffentlichen Interesse, UBI oder UNBÖFI, etwas genauer beschrieben. Auf der offiziellen BSI-Webseite gibt es in einer FAQ-Liste mehr Informationen zu den Pflichten und Fristen der drei UBI-Gruppen 1 bis 3.
- UBI 1 Rüstung: Hersteller von Rüstung und Produkten für Verschlusssachen (VS-IT)
- UBI 2 Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung
- UBI 3 Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen
Die UBI Cyber Security Pflichten sind in der BSI-FAQ detailliert — von der Registrierung, über die Meldepflicht bis zur Sicherheitserklärung. Das Prozedere zur Anmeldung über das UBI-Büro ist ebenfalls beschrieben, via Mail.
Konferenz Transformations of Infrastructure Systems
Von Paul Weissmann am 6. September 2021
Internationale Konferenz der TU Darmstadt und GRK KRITIS zu Kritischen Infrastrukturen und der Transformation von Infrastruktursystemen am 4.-5.11.2021. Aus dem Call of Papers:
Ziel der Konferenz ist es, diese Transformationen von Infrastruktursystemen aus verschiedenen Perspektiven zu analysieren und zu erklären. Diese unterschiedlichen Perspektiven werden durch die vier Unterthemen „Cultures of Transformation“, „Governance of Transformationa“, „Temporality and Spatiality of Transformation“ und „Safe Transformation“ repräsentiert.
Wir sind mit einem Talk vertreten zu An Infinite Loop – How Transformation and Digitalization Create New Fragilities in Critical Infrastructures und freuen uns auf die Konferenz.