KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.
KRITIS und NIS2
- Die NIS2-Umsetzung in Deutschland
- Neues KRITIS-Dachgesetz für Resilienz
- Europa: Richtlinien EU NIS2 und EU RCE
- Das 2021er IT-Sicherheitsgesetz 2.0
- Anlagen in KRITIS-Verordnungen
Kritische Infrastrukturen
- Gesetze: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cybersecurity: Sicherheit im Betrieb
- Angriffserkennung: Systeme OH SzA
- Schulungen: Aus Erfahrungen lernen
NIS2-Umsetzung im Kabinett beschlossen
Von Paul Weissmann am 24. Juli 2024
![Document reading](r/draft_2.jpg)
Das NIS2-Umsetzungsgesetz wurde Ende Juli 2024 im Bundeskabinett beschlossen. Grössere Änderungen zu den letzten Referentenentwürfen von Mai und Juni diesen Jahres gab es nicht.
Die Pflichten für Betreiber bleiben gleich, an Sektorausnehmen und Zuständigkeiten im Bund ändern sich wieder einige Konstellationen. Paragraphen und Definitionen wurden abermals angepasst und erwartete Aufwände für den Bund deutlich reduziert.
- Weitere Anpassungen vom Geltungsbereich in der Telekommunikation und Energie, damit verbunden weitere Erweiterung der NIS2-relevanten Pflichten in TKG und EnWG.
- Definitionen betroffener Bundeseinrichtungen wurden weiter präzisiert, Ausschlüss teils wieder gestrichen
- Die angenommenen Aufwände und Personal-/Budgetbedarf auf Bundesebene wurden drastisch reduziert (sicherlich auch im Hinblick der Haushaltslage).
- Paragraphen im Gesetz umstrukturiert, ebenso Artikel angepasst.
- Die separaten KRITIS-Sektoren sind nicht mehr im Gesetz definiert, Verweis auf die neue KRITIS-Verordnung.
Es folgt nun der weitere Weg der Gesetzgebung über Bundestag und Bundesrat. Ein Inkrafttreten Anfang 2025, drei Monate nach Frist, scheint damit realistisch.
Mehr und tiefere Prüfungen in NIS2 ab 2025
Von Paul Weissmann am 11. Juli 2024
![Illustrative audit picture](r/audit-nachweise.jpg)
Mit der NIS2-Umsetzung müssen Einrichtungen, neben der Dokumentation der Maßnahmen, die Umsetzung teilweise auch prüfen lassen. Betreiber kritischer Anlagen werden zu Prüfungen, wie in KRITIS, nun alle drei Jahre verpflichtet. Besonders wichtige Einrichtungen können durch das BSI nach Stichproben geprüft werden oder zu Nachweisen verpflichtet werden.
Betreiber kritischer Anlagen | Einrichtungen | |||
---|---|---|---|---|
Besonders wichtig | Wichtig | |||
Gesetz | NIS2UmsuCG | DachG | NIS2UmsuCG | NIS2UmsuCG |
Zeitraum | (ab 2025) | ab 2026 | (ab 2025) | (ab 2025) |
Pflicht | §39 (1) | §11 | §63 | §64 |
Form | Audits | Audits | Stichproben durch BSI | |
Inhalt | IT-Sicherheit Meldepflicht SzA |
Resilienz | IT-Sicherheit Meldepflicht |
IT-Sicherheit Meldepflicht |
Scope | Kritische Anlage | Kritische Anlage | Unternehmen | Unternehmen |
Frequenz | alle drei Jahre | Stichproben | Stichproben | bei Anlass |
Empfänger | BSI | BBK | BSI | BSI |
Die Nachweispflicht für Betreiber kritischer Anlagen ist in §39 definiert, Prüfungen im neuen Zyklus werden wohl 2025 beginnen. Nachweise für besonders wichtige Einrichtungen sind in §63 festgelegt – das BSI darf Nachweise anfragen, Einrichtungen zu Prüfungen verpflichten u.v.m., basierend auf Stichproben und Anhaltspunkten. Wichtige Einrichtungen in §64 analog.
Im KRITIS-Dachgesetz gibt es aktuell keine eigenen Prüfungen mehr, sondern eine Erweiterung der neuen Nachweisprüfungen von Betreibern unter NIS2 um Resilienzthemen.
Folien CSK-Keynote NIS2 und DORA-Webinar
Von Paul Weissmann am 4. Juli 2024
![Webinar](r/webinar-1.jpg)
Die Folien der Vorträge bei der Keynote des CSK-Summits im Juli von IT-SICHERHEIT und <kes> und vom OpenKRITIS-Webinar zu IT-Providern sind nun online. Beide Vorträge beleuchteten Betreiber in NIS2, die ab 2024/2025 mehrfacher Regulierung für Cybersecurity unterliegen.
IT-Dienstleister mit Finanzkunden könnten durch DORA zu kritischen IKT-Dienstleistern mit zusätzliche Cybersecurity-Pflichten und starker Aufsicht werden. Betreiber im Energiesektor und der Telekommunikation unterliegen neben NIS2 teilweise noch Sektorregulierung von EnWG und TKG – mit vielen Cybersecurity-Pflichten. Was gilt nun in welchem ISMS?
![Bank picture](r/financial_3.jpg)
DORA und EU NIS2 für IT-Provider
DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024
![EU NIS2 Keynote](r/security_1-small.jpg)
Keynote NIS2 Mehrfach-Regulierung
NIS2-Einrichtungen mit EnWG, TKG und DORA ab 2025
Keynote ∙ CSK-Summit 2024 IT-SICHERHEIT und <kes> ∙ Juli 2024
NIS2 Implementing Act Mapping ISO 27001 und KRITIS
Von Paul Weissmann am 1. Juli 2024
![Mapping](r/mapping_4.jpg)
Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben in Deutschland das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2 für bestimmte Betreiber.
Für Internet Provider gibt es zwei verpflichtende Implementing Acts für Vorfallsmeldungen und Sicherheitsmaßnahmen. Beide sind nun in einer Commission Implementing Regulation als Entwurf veröffentlicht worden – der Annex konkretisiert für Internet-Provider in 159 Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.
Das OpenKRITIS NIS2 Implementing Act Mapping ordnet die Controls den Standards ISO 27001 und KRITIS zu – und findet einige Abweichungen:
- Starker Fokus auf Krisenmanagement, Business Continuity (BCM) und Vorsorge
- Schwerpunkt auf Review- und Verbesserungen in allen Einzelthemen
- Regelmäßiger expliziter Einbezug von Drittparteien und Externen
- Einige sehr spezifische Anforderungen (Netzwerke, Accounts, Systeme)
- Existierende ISMS-Controlsets werden dafür erweitert werden müssen
- Manche Lücken könnten durch Management Systeme abgefangen werden
Für betroffene Betreiber bleibt einiger Arbeitsbedarf.
Letzter Referentenentwurf NIS2-Umsetzung Juni
Von Paul Weissmann am 28. Juni 2024
![Document reading](r/draft_2.jpg)
Der nächste und möglicherweise letzte Referentenentwurf der deutschen NIS2-Umsetzung wurde, nach Verbändeabstimmung, Ende Juni 2024 vom BMI veröffentlicht.
Im Entwurf ändert sich nicht mehr allzuviel, wie zu erwarten: Die Pflichten bleiben gleich, an der Betroffenheit und Zuständigkeiten ändern sich wieder einige Konstellationen. Daneben hat der Gesetzgeber abermals Struktur, Definitionen und Argumentationen angepasst.
- Konkretisierung und Einschränkung vom Geltungsbereich Telekommunikation und Energie, Aufheben der Doppelregulierung durch §30 NIS2-Maßnahmen
- Umbenennung Sektoren: IT und TK in Digitale Infrastruktur, Finanz- und Versicherungswesen in Finanzwesen
- Anpassungen Zuständigkeiten Bund
- Anpassungen und Ausblick (KRITIS-Verordnung) zu Zuständigkeiten KRITIS-Anlagen
- Umstrukturierung Paragraphen
- Haftungsregeln und Verantwortung Geschäftsleitung §38 präzisiert
- Bußgelder und Sanktionen wieder umgeschrieben und umsortiert (Effekt noch TBD)
Die Änderungen an Sektorgesetzen wie TKG und EnWG blieben größtenteils gleich – dafür wurden Teile der Doppelregulierung aufgehoben. Eine konkretes Datum zum Inkrafttreten fehlt diesmal, es scheint aber, dass das Bundeskabinett im Sommer den Gesetzesentwurf diskutiert. Vielleicht tritt das Gesetz dann doch (fast) fristgemäß in Kraft?
NIS2-Umsetzungsgesetz Referentenentwurf Mai
Von Paul Weissmann am 9. Mai 2024
![Document reading](r/draft_1.jpg)
Der aktuelle Referentenentwurf der deutschen NIS2-Umsetzung wurde im Mai 2024 vom BMI veröffentlicht. Der Entwurf vom NIS2UmsuCG dient der Verbändeabstimmung bis Anfang Juni und soll am 1. Oktober 2024 in Kraft treten – so der Entwurf in Artikel 29.
Es ändert sich nicht viel für Betreiber zu den letzten bekannten Entwürfen: Pflichten bleiben im Grunde gleich, an der Betroffenheit und Zuständigkeit im Bund ändern sich Randfälle. Sonst gibt es viele Änderungen an Struktur, Definitionen – ohne tiefe Folgen für Betreiber.
- Präzisierung der Betroffenheit im NIS2-Sektor Chemie auf NACE 20
- Anpassung weiterer Definitionen in NIS2-Sektoren und Betreibern (IXPs, CDNs, Weltraum)
- Definition der regulierten Einrichtungen: Reihenfolge angepasst, Finanzunternehmen sind nun (doch) Einrichtungen aber von Pflichten ausgenommen, Pflichten angepasst
- Betroffenheit der öffentlichen Hand: Mehr Ausschlüsse (Kammern, IHKn, Auswärtiges Amt, Nachrichtendienste) und umgeschriebene Ausschlüsse (öffentliche IT und Cloud Provider)
- Authentizität nun kein explizites Schutzziel mehr bei §30 Maßnahmen
- Konformitätsbewertung neu hinzugekommen
- Bußgeldvorschriften angepasst in Tatbeständen und Höhe (kompliziert)
- Pflicht zur Teilnahme am Informationsaustausch für Einrichtung fällt weg
Dafür enthält der Entwurf vom NIS2UmsuCG nun die meisten Änderungen am EnWG für Energiebetreiber und TKG für Telekommunikationsanbieter. Wenig überraschend – die parallele Regulierung mit BNetzA bleibt bestehen + neue EnWG-Sicherheitskataloge. Dafür erbt das TKG §30 NIS2-Maßnahmen in §165 TKG-E – und dafür vielleicht keinen neuen Sicherheitskatalog.
Weitere bemerkenswerte Annahmen im Entwurf, vor allem in der lesenswerten Begründung:
- Prognose der Einrichtungen steigt auf 8.250 (besonders wichtig) und 21.600 (wichtig)
- Das BSI geht von 24 BSI-Prüfungen nach §65 bei Einrichtungen pro Jahr aus
- Der Gesetzgeber geht von 2,1 Mrd. EUR einmaligem und 2,1 Mrd. jährlichem Aufwand für neue Einrichtungen aus, vor allem durch Anpassung digitaler Geschäftsprozesse
- Drei Millionen Geschäftsleiter und Mitarbeiter müssen pro Jahr für NIS2 geschult werden.
- Über 1.500 neue Stellen im Bund, davon 549 beim BSI für neue Aufgaben und Pflichten
Ob dieser Entwurf den Prozess der Gesetzgebung bis zum 1. Oktober 2024 schafft?
DORA-Mapping auf NIS2, ISO 27001 und C5
Von Hanna Lurz am 7. Mai 2024
![Mapping](r/mapping_2.jpg)
Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für Finanzunternehmen und kritische IKT-Drittdienstleister wie Cloud Provider vor. Für diese IT-Provider ordnet das OpenKRITIS DORA-Mapping die einzelnen Anforderungen aus DORA aufgeschlüsselt verschiedenen Cybersecurity-Standards zu:
- NIS2-Umsetzung: Vorgaben aus dem NIS2-Umsetzungsgesetz für Einrichtungen.
- C5:2020: Standard vom BSI für Informationsssicherheit in Cloud Computing.
- ISO/IEC 27001:2022: Informationssicherheit im ISMS und Annex A-Kontrollen.
Das OpenKRITIS DORA-Mapping auf NIS2 schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf, gruppiert thematisch und weist einzelne Pflichten NIS2, C5:2020 und ISO 27001:2022 Kontrollen zu – alles als Draft.
![Bank picture](r/financial_3.jpg)
DORA und EU NIS2 für IT-Provider
DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024
DORA und NIS2 im Finanzsektor
Von Hanna Lurz und John Bauer am 29. April 2024
![Business sector](r/business_1.jpg)
Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.
- Betroffen: Finanzunternehmen wie Kreditinstitute, Versicherungen + IKT-Drittdienstleister
- Finanzunternehmen: Risikomanagement, Cybersecurity, Resilienz, Providersteuerung, Tests
- Dienstleister: Governance, Risikomanagement, technische Sicherheit, Audits
- Sanktionen: Mitgliedsstaaten legen Sanktionen fest, Behörden verhängen
- Fristen: DORA gilt als EU-Vorgabe direkt und muss ab Januar 2025 angewendet werden
- Aufsicht: Finanzunternehmen unterliegen nationalen Behörden, IKT-Dienstleister der EU
DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.
Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.