KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS-Regulierung: Klare Strukturen für die KRITIS-Pflichten, Cyber Security Maßnahmen und KRITIS-Prüfungen.
KRITIS-Regulierung 2023
- Neues KRITIS-Dachgesetz und IT-SiG 3.0
- EU-Richtlinien EU NIS2 und EU RCE (CER)
- Das aktuelle IT-Sicherheitsgesetz 2.0
- Viele Unternehmen als UBI betroffen
- Neue KRITIS-Anlagen & Schwellenwerte
Kritische Infrastrukturen
- KRITIS: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cyber Security: Sicherheit im Betrieb
- Angriffserkennung: Stand der Technik SzA
- Prüfungen: Nachweis durch BSIG-Audit
KRITIS-Betreiber und nun? Webinar zu NIS2, RCE & co.
Von Paul Weissmann am 27. März 2023
Was bedeutet EU NIS2 für Unternehmen? Und was kommt ab 2023 noch auf Kritische Infrastrukturen zu? Im OpenKRITIS-Webinar am 30. März zu KRITIS 2023-24 besprechen wir EU NIS2, CER und KRITIS-Dachgesetz – und die Auswirkungen auf KRITIS-Betreiber.
- Wer gehört ab 2024 zu den (Tausenden) neuen Betroffenen durch NIS2 und CER?
- Was passiert bis dahin in der deutschen KRITIS-Regulierung?
- Security, Resilienz, Supply Chain Sicherheit – was noch?
- Und was bedeutet das für mich als Unternehmen und Dienstleister?
Viele Unternehmen fallen ab 2024 unter mehrere Regulierungen – der Gesetzgeber wird viele Fragen zu Definitionen, Überschneidungen und Vorrangsregelungen zu klären haben. All das im freien OpenKRITIS-Webinar am 30.3., ab 11:00 über Teams.
DE KRITIS-Betreiber und nun? EU NIS2, CER und Dachgesetz
Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ März 2023 ∙ OpenKRITIS-Briefing
KRITIS-Verordnung 1¾: LNG und Seekabel auch KRITIS
Von Paul Weissmann am 9. März 2023
Mit der 3. Verordnung zur Änderung der BSI-Kritisverordnung von 1. März 2023 sind ab diesem Jahr LNG-Anlagen und Seekabelanlandestationen als Kritische Infrastruktur zwischen Land und See nun auch KRITIS. Die KRITIS-Verordnung 1.75 ändert genau diesen beiden Sektoren:
- KRITIS-Sektor Energie: LNG-Anlagen (2.2.4) zur Verflüssigung oder Einfuhr, Entladung und Wiederverdampfung
- KRITIS-Sektor IKT: Seekabelanlandestation (1.2.2) zur Anbindung von Seekabeln (Sprache/Daten) an landgestützte TK-Netze
Entsprechende Anlagen könnten mit den Stichtagen 31.3. und 1.4. noch dieses Jahr KRITIS werden mit allen Pflichten von KRITIS-Betreibern.
Who is who in KRITIS, EU NIS2 und RCE
Von Paul Weissmann am 21. Februar 2023
Wer sich bei KRITIS, NIS2 und RCE fragt, welche Unternehmen zu welcher Gruppe von regulierten Kritischen Infrastrukturen gehörden – die Auflösung im Factsheet zu EU NIS2.
- KRITIS reguliert in 8 Sektoren nach Anlagenlogik kritische Teile von Betreibern mit Security, Nachweisen, Audits und Sanktionen.
- KRITIS-Dachgesetz wird in 10 bis 12 Sektoren physische Sicherheit und Resilienz vorschreiben, mit Meldepflichten ans BBK.
- EU NIS2 reguliert in 18 Sektoren bei mittleren und großen Betreibern die Security mit hohen Sanktionen (GDPR-like) und weiteren Meldepflichten.
- EU RCE reguliert in 11 Sektoren bei Betreibern nach nationaler Kritikalität physische Sicherheit und Resilienz, und betrachtet auch EU-Betroffenheit.
Viele Unternehmen könnten unter mehrere Regulierungen, Meldepflichten und Vorgaben fallen. Der Gesetzgeber wird bis spätestens Herbst 2024 viele Fragen zu Definitionen, Überschneidungen und Vorrangsregelungen zu klären haben.
EN EU NIS2 and RCE: Security and Resilience in Infrastructures
Fact Sheet: Pflichten, Sektoren, Betreiber in NIS2 und RCE (CER)
English ∙ PDF ∙ ⚡ Februar 2023 ∙ OpenKRITIS-Briefing
Size-Cap in EU NIS 2 für Betreiber
Von Paul Weissmann am 8. Februar 2023
EU NIS2 reguliert zwei Gruppen von Betreibern, die in achtzehn Sektoren in der EU Services erbringen und nach Größe reguliert werden. Die Betroffenheit der Essential und Important Entities wird in NIS 2 nach size-cap Regel über Umsatz und Größe festgestellt:
- Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
- Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz
Essential Entities: Große Betreiber aus Essential Sektoren A und bestimmte Betreiber und Branchen unabhängig der Größe: Digitale Infrastruktur aus A, Öffentliche Verwaltung aus A, Sonderfälle aus A und B, Critical Entities, die unter EU RCE/CER fallen und Bisherige Entities, die bis Januar 2023 von voriger Regulierung betroffen waren.
Important Entities: Große Betreiber aus Important Sektoren B, mittlere Betreiber aus allen Sektoren B und A sowie Sonderfälle aus B und A.
NIS2 Sektoren sind A Essential Sektoren (Annex I) und B Important Sektoren (Annex II).
EU NIS 2 und RCE-Sektoren
Von Paul Weissmann am 23. Januar 2023
Die EU-Direktiven NIS2 und RCE für Kritische Infrastrukturen sind in Kraft und definieren beide Listen von Wirtschaftssektoren, die bis 2024 von Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.
NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.
| Kategorie | Sektoren |
|---|---|
| Essential | Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management, Öffentliche Verwaltung, Raumfahrt |
| Important | Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie, Digitale Dienste, Forschung |
In allen Sektoren werden wahrscheinlich tausende Unternehmen (neu) betroffen sein, zusätzlich zu den bisherigen KRITIS und kommenden UBI.
KRITIS-Dachgesetz, RCE und NIS 2
Von Paul Weissmann am 26. November 2022, ⚡ aktualisiert am 7. Dezember 2022
Nach Vorfällen und der aktuellen politischen Lage in 2022 arbeitet das Innenministerium laut Eckpunkte-Papier an einem KRITIS-Dachgesetz, das physische Sicherheit und Resilienz in Kritischen Infrastrukturen konkretisiert und EU RCE vorgreift. Ab 2023 werden damit einige Änderungen in der deutschen KRITIS-Regulierung folgen, unter anderem:
- Dachgesetz KRITIS: Zusätzliche Anforderungen an Kritische Infrastrukturen und weitere Unternehmen, angelehnt an die verabschiedete CER-Richtlinie.
- IT-Sicherheitsgesetz 3.0: Die EU NIS 2 Richtlinie muss in nationales Recht überführt werden, und könnte mit weiteren Neuerungen im IT-Sicherheitsgesetz 3.0 münden.
- Neue Rechtsverordnungen: Änderungen zu KRITIS Entsorgung und UBI Gruppe 2 (Volkswirtschaft) sind noch ausstehend in weiteren Rechtsverordnungen.
Die KRITIS-Regulierung wird sich nochmal deutlich in betroffenen Betreibern und Schutzmaßnahmen erweitern – mit Auswirkungen auf Unternehmen ab perspektivisch 2024.
⚡ Update: Das BMI hat mittlerweile ein offizielles Papier mit Eckpunkten des geplanten Dachgesetzes publiziert, das den Regelungsrahmen umreisst.
Orientierungshilfe Angriffserkennung 2022
Von Paul Weissmann am 5. Oktober 2022
Die finale Version der Orientierungshilfe für Systeme zur Angriffserkennung wurde im September 2022 vom BSI veröffentlicht. Die quasi-normative Orientierungshilfe definiert Anforderungen an Betreiber zur Umsetzung von Angriffserkennung nach §8a (1a) BSIG, welche ab dem 1. Mai 2023 in KRITIS-Prüfungen nachgewiesen werden muss.
Die mehreren Dutzend Anforderungen beschreiben eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion. Die Anforderungen sind auf OpenKRITIS in logische Gruppen aufgeteilt, zusätzlich gibt es ein Mapping auf C5 und ISO 27001.
Am 21. Oktober findet ein freies OpenKRITIS-Webinar zur Diskussion der Änderungen und zum Austausch über die Konsequenzen für Betreiber und Prüfer statt:
DE Orientierungshilfe Angriffserkennung OH SzA
Austausch zu den neuen BSI-Anforderungen für Angriffserkennung
Webinar ∙ Registrierung über LinkedIn ∙ 21. Oktober 2022