KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen mit Fokus auf KRITIS und Cyber Security. Wir wollen KRITIS-Betreibern, Prüfern und Verantwortlichen mit OpenKRITIS den Weg durch das IT-Sicherheitsgesetz 2.0 und EU-Regulierung erleichtern.

Industry

Das neue IT-Sicherheitsgesetz 2.0

Power plant

Kritische Infrastrukturen

KRITIS in a Nutshell

OpenKRITIS Briefings and Webinars und der Podcast:

Stand der Technik Geltungsbereich

Von Paul Weissmann am 4. Juli 2022

Der Geltungsbereich ist einer der wichtigsten Dokumente von KRITIS-Betreibern in ihren KRITIS-Anlagen. Im Geltungsbereich wird der Umfang der einzelnen KRITIS-Anlagen und ihrer IT definiert — was in der KRITIS-Prüfung mit als erstes geprüft wird. Das hat BSI hat zur Erstellung von Geltungsbereichen im Juni nun eine Anleitung mit Beispielen veröffentlicht.

Die Unterlage Dokumentation des Geltungsbereiches ist beim BSI als PDF online.

Geltungsbereich

DE Zur Dokumentation des Geltungsbereiches in KRITIS

Erfahrungen aus den Nachweisen - Hilfestellung und Beispiel
BSI ∙ Stand der Technik mit Beispielen ∙ Juni 2022

Orientierungshilfe Angriffserkennung

Von Paul Weissmann am 14. Juni 2022

Seit Juni 2022 gibt es vom BSI die Orientierungshilfe für Systeme zur Angriffserkennung (OH SZA) als Community Draft. Die quasi-normative Orientierungshilfe definiert Anforderungen an Betreiber zur Umsetzung von Angriffserkennung nach §8a (1a) BSIG, welche ab dem 1. Mai 2023 in KRITIS-Prüfungen nachgewiesen werden muss.

Die mehreren Dutzend Anforderungen beschreiben eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung, in den drei Phasen Protokollierung, Erkennung und Reaktion. Die Anforderungen sind in Muss, Soll und Kann-Anforderungen aufgeteilt, die für Reifegrade von 0-5 umgesetzt werden müsssen.

Der Community Draft kann bis zum 8. Juli 2022 beim BSI kommentiert werden.

Angriffserkennung

DE Orientierungshilfe Angriffserkennung KRITIS (OH-SZA)

Anforderungen an Systeme zur Angriffserkennung in KRITIS
OpenKRITIS-Analyse vom Community Draft ∙ Juni 2022

Cyber Security Standards für KRITIS

Von Paul Weissmann am 15. April 2022

Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infra­strukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

Standards

DE Mapping von Cyber Security Standards und KRITIS

Abgleich von BSI KRITIS, C5, ISO 27001 und TKG Katalog 2.0.
PDF ∙ OpenKRITIS-Analyse von KRITIS-Standards ∙ 2022

up

Webinar Notfall­management in Kritischen Infrastrukturen

Von Paul Weissmann am 28. M√§rz 2022, ⚡ aktualisiert am 2. Mai 2022

Notfälle in der IT, Cyber Angriffe und Krisen gefährden den Betrieb von KRITIS-Anlagen und die Versorgung der Allgemeinheit. Wie Betreiber mit BCM und IT-Notfallmanagement die Resilienz ihrer Kritischen Infrastrukturen erhöhen, besprechen wir im OpenKRITIS-Webinar:

Update: Die Folien vom Webinar am 29. April sind nun als PDF online:

BCM

DE Notfallmanagement in Kritischen Infrastrukturen (PDF)

Welche Lücken BCM in Kritischen Infrastrukturen schliessen kann.
Webinar ∙ Registrierung über LinkedIn ∙ 29. April 2022

up

Neue Podcast-Folge 🎧 Aus der Praxis eines KRITIS-Prüfers

Von Paul Weissmann am 14. Februar 2022

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen. Was diese Prüfungen bedeuten und wie sich Unternehmen am besten vorbereiten, verrät uns Lutz Naake, ein erfahrener KRITIS-Prüfer.

Wir sprechen über die Rolle von KRITIS-Prüfungen im IT-Sicherheitsgesetz, den Sinn von Prüfungen im Einmaleins der Cyber Security und wie Unternehmen die häufigsten Irrtümer und Fallstricke in BSIG-Nachweis­prüfungen umgehen. Es lohnt sich!

Podcast Icon

KRITIS-Prüfungen bestehen – Erfahrungen aus der Praxis

Die Rolle von Prüfungen in Kritischen Infrastrukturen – wie Betreiber sich auf Nachweis-Prüfungen vorbereiten. Ein Gespräch über Helm­kameras, 50 KRITIS-Anlagen und wie man Prüfungen (nicht) besteht.
Mit Lutz Naake
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 46 Min ∙ 14.2.2022

up

KRITIS und das Telekommunikations­gesetz 2.0

Von Paul Weissmann am 31. Januar 2022

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikations­gesetz reguliert, wenn sie öffentliche Telekommunikations­netze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit im TKG, das 2021 umfangreich überarbeitet wurde.

Pflichten für IT-Sicherheit sind in §165-169 TKG reguliert — vormals im alten §109 TKG:

Der Katalog von Sicherheits­anforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern:

Abschnitt Sicherheitskatalog 2.0
Sicherheits­maßnahmen Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen Fernmelde­geheimnis, personen­bezogenen Daten, TK-Infrastruktur und Diensten
Umsetzung Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial Zusätzliche Sicherheits­anforderungen für Netze und Dienste erhöhter Kritikalität
Telecommunications

DE Mapping TKG Katalog 2.0 Maßnahmen und KRITIS

Abgleich vom Sicherheits­katalog 2.0 mit BSI KRITIS-Anforderungen.
PDF ∙ OpenKRITIS-Analyse vom Sicherheits­katalog 2.0 ∙ 2022

up

Einsatz von 5G im KRITIS-Sektor Telekommunikation

Von Paul Weissmann am 20. Januar 2022

Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber im Sektor Telekommunikation dem Innenministerium den Einsatz bestimmter IT-Systeme in Kritischen Infrastrukturen anzeigen. Diese Kritischen Komponenten nach §9b BSIG müssen in einzelnen Sektoren nch durch weitere Gesetze geregelt werden — im TK-Sektor erstmalig 2021 durch die Novelle des TKG.

Die BNetzA hat dazu mit dem BSI kritische Funktionen in 5G-Mobilfunk­netzen festgelegt:

Diese Systeme dürfen nur nach Zertifizierung und Freigabe eingesetzt werden.

up

Die aktuelle Lage der KRITIS-Regulierung in 2022

Von Paul Weissmann am 3. Januar 2022

Die Regulierung zu Kritischen Infrastrukturen befindet sich in Deutschland seit 2021 im Umbruch und wird 2022 weiter erneuert und ausgebaut. Was hat sich alles geändert?
— erweiterte Gesetze, neue Verordnungen und noch ausstehende Entwicklungen:

2021

2022

up

News-Archiv | KRITIS-Bibliothek