KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS-Regulierung: Klare Strukturen für die KRITIS-Pflichten, Cyber Security Maßnahmen und KRITIS-Prüfungen.

Industry

KRITIS-Regulierung 2023

Power plant

Kritische Infrastrukturen

KRITIS-Betreiber und nun? Webinar zu NIS2, RCE & co.

Von Paul Weissmann am 27. März 2023

EU size cap

Was bedeutet EU NIS2 für Unternehmen? Und was kommt ab 2023 noch auf Kritische Infrastrukturen zu? Im OpenKRITIS-Webinar am 30. März zu KRITIS 2023-24 besprechen wir EU NIS2, CER und KRITIS-Dachgesetz – und die Auswirkungen auf KRITIS-Betreiber.

Viele Unternehmen fallen ab 2024 unter mehrere Regulierungen – der Gesetzgeber wird viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben. All das im freien OpenKRITIS-Webinar am 30.3., ab 11:00 über Teams.

SzA

DE KRITIS-Betreiber und nun? EU NIS2, CER und Dachgesetz

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ März 2023 ∙ OpenKRITIS-Briefing

KRITIS-Verordnung 1¾: LNG und Seekabel auch KRITIS

Von Paul Weissmann am 9. März 2023

KRITIS-Verordnung 1.75

Mit der 3. Verordnung zur Änderung der BSI-Kritis­verordnung von 1. März 2023 sind ab diesem Jahr LNG-Anlagen und Seekabelanlandestationen als Kritische Infrastruktur zwischen Land und See nun auch KRITIS. Die KRITIS-Verordnung 1.75 ändert genau diesen beiden Sektoren:

Entsprechende Anlagen könnten mit den Stichtagen 31.3. und 1.4. noch dieses Jahr KRITIS werden mit allen Pflichten von KRITIS-Betreibern.

Who is who in KRITIS, EU NIS2 und RCE

Von Paul Weissmann am 21. Februar 2023

EU size cap

Wer sich bei KRITIS, NIS2 und RCE fragt, welche Unternehmen zu welcher Gruppe von regulierten Kritischen Infrastrukturen gehörden – die Auflösung im Factsheet zu EU NIS2.

Viele Unternehmen könnten unter mehrere Regulierungen, Meldepflichten und Vorgaben fallen. Der Gesetzgeber wird bis spätestens Herbst 2024 viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben.

EN EU NIS2 and RCE: Security and Resilience in Infrastructures

Fact Sheet: Pflichten, Sektoren, Betreiber in NIS2 und RCE (CER)
English ∙ PDF ∙ ⚡ Februar 2023 ∙ OpenKRITIS-Briefing

Size-Cap in EU NIS 2 für Betreiber

Von Paul Weissmann am 8. Februar 2023

EU size cap

EU NIS2 reguliert zwei Gruppen von Betreibern, die in achtzehn Sektoren in der EU Services erbringen und nach Größe reguliert werden. Die Betroffenheit der Essential und Important Entities wird in NIS 2 nach size-cap Regel über Umsatz und Größe festgestellt:

  1. Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
  2. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz

Essential Entities: Große Betreiber aus Essential Sektoren A und bestimmte Betreiber und Branchen unabhängig der Größe: Digitale Infrastruktur aus A, Öffentliche Verwaltung aus A, Sonderfälle aus A und B, Critical Entities, die unter EU RCE/CER fallen und Bisherige Entities, die bis Januar 2023 von voriger Regulierung betroffen waren.

Important Entities: Große Betreiber aus Important Sektoren B, mittlere Betreiber aus allen Sektoren B und A sowie Sonderfälle aus B und A.

NIS2 Sektoren sind A Essential Sektoren (Annex I) und B Important Sektoren (Annex II).

EU NIS 2 und RCE-Sektoren

Von Paul Weissmann am 23. Januar 2023

Die EU-Direktiven NIS2 und RCE für Kritische Infrastrukturen sind in Kraft und definieren beide Listen von Wirtschafts­sektoren, die bis 2024 von Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.

NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.

Kategorie Sektoren
Essential Energie, Transport, Banken, Finanzmärkte,
Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur,
ICT Service Management, Öffentliche Verwaltung, Raumfahrt
Important Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung,
Industrie, Digitale Dienste, Forschung

In allen Sektoren werden wahrscheinlich tausende Unternehmen (neu) betroffen sein, zusätzlich zu den bisherigen KRITIS und kommenden UBI.

KRITIS-Dachgesetz, RCE und NIS 2

Von Paul Weissmann am 26. November 2022, ⚡ aktualisiert am 7. Dezember 2022

KRITIS-Dachgesetz

Nach Vorfällen und der aktuellen politischen Lage in 2022 arbeitet das Innen­ministerium laut Eckpunkte-Papier an einem KRITIS-Dachgesetz, das physische Sicherheit und Resilienz in Kritischen Infrastrukturen konkretisiert und EU RCE vorgreift. Ab 2023 werden damit einige Änderungen in der deutschen KRITIS-Regulierung folgen, unter anderem:

Die KRITIS-Regulierung wird sich nochmal deutlich in betroffenen Betreibern und Schutz­maßnahmen erweitern – mit Auswirkungen auf Unternehmen ab perspektivisch 2024.
Update: Das BMI hat mittlerweile ein offizielles Papier mit Eckpunkten des geplanten Dachgesetzes publiziert, das den Regelungsrahmen umreisst.

Orientierungshilfe Angriffserkennung 2022

Von Paul Weissmann am 5. Oktober 2022

Die finale Version der Orientierungshilfe für Systeme zur Angriffserkennung wurde im September 2022 vom BSI veröffentlicht. Die quasi-normative Orientierungshilfe definiert Anforderungen an Betreiber zur Umsetzung von Angriffserkennung nach §8a (1a) BSIG, welche ab dem 1. Mai 2023 in KRITIS-Prüfungen nachgewiesen werden muss.

Die mehreren Dutzend Anforderungen beschreiben eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion. Die Anforderungen sind auf OpenKRITIS in logische Gruppen aufgeteilt, zusätzlich gibt es ein Mapping auf C5 und ISO 27001.

Am 21. Oktober findet ein freies OpenKRITIS-Webinar zur Diskussion der Änderungen und zum Austausch über die Konsequenzen für Betreiber und Prüfer statt:

SzA

DE Orientierungshilfe Angriffserkennung OH SzA

Austausch zu den neuen BSI-Anforderungen für Angriffserkennung
Webinar ∙ Registrierung über LinkedIn ∙ 21. Oktober 2022

up

OpenKRITIS auf LinkedIn | News-Archiv