KRITIS – auf den zweiten Blick
OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.
KRITIS-Regulierung 2023
- Neues KRITIS-Dachgesetz für Resilienz
- Die NIS2-Umsetzung in Deutschland
- EU-Richtlinien EU NIS2 und EU RCE (CER)
- Das aktuelle IT-Sicherheitsgesetz 2.0
- Mehr KRITIS-Anlagen & Schwellenwerte
Kritische Infrastrukturen
- KRITIS: Regulierte Anlagen & Sektoren
- Betreiber: Pflichten als Infrastruktur
- Cyber Security: Sicherheit im Betrieb
- Angriffserkennung: Stand der Technik SzA
- Prüfungen: Nachweis durch BSIG-Audit
Prüfungen in NIS2 und Dachgesetz
Von Paul Weissmann am 24. Juli 2023

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz kommen neue Nachweispflichten auf über 8.000 Unternehmen in den nächsten Jahren zu. In NIS2 muss Cybersecurity alle zwei Jahre nachgewiesen werden, im KRITIS-Dachgesetz Resilienz ebenfalls alle zwei Jahre.
Es wird komplex – mit Tausenden Prüfungen jährlich:
Nachweise | KRITIS-Betreiber | Betreiber kritischer Anlagen | Besonders wichtige Einrichtung |
Wichtige Einrichtung |
|
---|---|---|---|---|---|
Gesetz | BSIG | NISUmsuCG | DachG | NISUmsuCG | NISUmsuCG |
Zeitraum | aktuell | ab 2024-28 | ab 2026 | ab 2024-28 | - |
Pflicht | §8a (3) | §34 (1) §39 (2) | §11 (8) | §34 (1) | - |
Form | Nachweisprüfung | Audits & Co. | Audits | Audits & Co. | - |
Inhalt | IT-Sicherheit SzA |
IT-Sicherheit+ Meldepflicht SzA |
Resilienz Meldepflicht |
IT-Sicherheit+ Meldepflicht |
- |
Scope | KRITIS-Anlage | Kritische Anlage | Kritische Anlage | Unternehmen? | - |
Frequenz | alle zwei Jahre | alle zwei Jahre | alle zwei Jahre | alle zwei Jahre | - |
Empfänger | BSI | BSI | BBK | BSI | - |
Die Zeitleiste der Audits hängt vom Inkrafttreten der Gesetze ab. Die bisherigen KRITIS-Prüfungen bleiben vorerst bestehen, sicherlich mit Übergangsfristen und Synchronisation. Den Zeitpunkt der ersten Nachweise legen BSI (NIS2) und BBK (DachG) fest – zwischen 2024 und 2028 in NIS2 und ab 2026 für DachG.
Neuerungen im zweiten NIS2-Referentenentwurf
Von Hanna Lurz am 21. Juli 2023

Seit Mitte Juli ist der zweite Referentenentwurf vom NIS2-Umsetzungsgesetz publik, mit einigen Auffälligkeiten und Änderungen zum letzten Entwurf von April 2023.
- Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
- Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnismäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
- Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte und Bewertungen des BSI berücksichtigen.
- Die Frist für erstmalige Nachweise nun (spätestens) vier Jahre nach Inkrafttreten.
- Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
- Die angestrebte Vereinfachung und Zentralisierung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst.
In der NIS2-Umsetzung wird keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen, eine Evaluierung erübrige sich durch die NIS-2-Umsetzung.
Referentenentwurf vom KRITIS-Dachgesetz
Von Paul Weissmann am 19. Juli 2023

Das KRITIS-Dachgesetz erweitert die Regulierung Kritischer Infrastrukturen ab 2023 um Resilienz und physische Sicherheit bei kritischen Betreibern. Basierend auf EU RCE/CER betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die mehr Maßnahmen für BCM, Risiko- und Krisenmanagement und physische Sicherheit umsetzen müssen.
Im aktuellen Referentenentwurf von Juli 2023 gibt es dazu eher milde Vorgaben und Fristen:
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS).
- Sektoren: Die bisherigen KRITIS-Sektoren der kritischen Anlagen werden reguliert, mit einigen Erweiterungen und Ausschlüssen – u.a. IT, TK, Finanzen und Versicherungen.
- Resilienz: Konkrete Resilienz-Vorgaben für Betreiber wie Krisen- und Risikomanagement, BCM, Personalsicherheit, physische Sicherheit.
- Aufsicht: Die KRITIS-Aufsicht wird um das BBK erweitert, das Nachweise, Meldungen und Registrierungen erhalten soll. Gemeinsame Lösungen mit BSI sind geplant.
- Sanktionen: Es gibt eine Liste mit Verstößen, die Bußgelder sind noch nicht definiert.
- Risiken: Nationale und Betreiber-Risiken der
Wirtschaftsstabilität
spielen eine große Rolle für Betreiber, das BBK (und die EU).
Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 in Kraft. Trotz allem kommen auf einige Betreiber zusätzliche Maßnahmen zu.
Eine ausführliche Analyse dazu im Artikel zum KRITIS-Dachgesetz.
NIS2 und Auswirkungen auf den KRITIS-Energiesektor
Von Hanna Lurz am 23. Juni 2023

Die bisherige KRITIS-Regulierung im Energiesektor soll durch das NIS2-Umsetzungsgesetz vereinfacht werden. Bisher müssen manche Energiebetreiber Anforderungen aus §8a BSIG umsetzen – andere Betreiber von Energieanlagen und Energieversorgungsnetzen werden durch die BNetzA reguliert und müssen die IT-Sicherheitskataloge umsetzen.
Der Entwurf des NIS2-Umsetzungsgesetzes sieht vor, dass zukünftig die Verpflichtungen für Betreiber und Einrichtungen im Energiesektor einheitlich im BSIG geregelt werden und die Aufsicht für KRITIS im Energiesektor durch das BSI erfolgt. Konkret bedeutet der Entwurf:
- Das BSI wird zum ersten Ansprechpartner für alle Energie-KRITIS-Betreiber und gibt relevante Informationen an die BNetzA weiter.
- Die BNetzA legt im Einvernehmen mit dem BSI einen Katalog von Sicherheitsanforderungen für den Betrieb von Energieversorgungsnetzen und Energieanlagen fest, der kritische Komponenten und kritische Funktionen beim Anlagenbetrieb definiert.
- Die bestehenden IT-Sicherheitskataloge nach §11 (1a) & (1b) EnWG werden obsolet. Das BSI wird befugt, einen (neuen) Katalog von Sicherheitsanforderungen zu erstellen, der geeignete Risikomanagementmaßnahmen nach § 30 (1) und zu Nachweisen beschreibt.
Mehr dazu im Artikel zum NIS2-Umsetzungsgesetz.
Evaluierung des IT-Sicherheitsgesetzes 2.0
Von Hanna Lurz am 22. Juni 2023

Im Mai 2023 hat das Innenministerium den gesetzlich geforderten Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0 vorgelegt. Der Bericht ist mit fünfzehn Seiten eher kurz und enthält neben der eigentlichen Bewertung des IT-Sicherheitsgesetzes diverse Hintergrundinformationen zu Historie und Inhalt der Regulierung.
Input für die Evaluierung war eine Online-Befragung des BSI unter KRITIS-Betreibern mit knapp 400 Unternehmen und mögliche Stellungnahmen auf eine Anfrage von BMI und BSI durch UP KRITIS, Fachverbände, Universitäten, Forschungseinrichtungen, das IDW etc. Wer tatsächlich teilgenommen hat, ist nicht klar. Die Kernergebnisse laut Evaluierung sind:
- Grundsätzlich erfüllt das IT-Sicherheitsgesetz seinen Zweck. Aus der Betreiber-Umfrage lässt sich ein besonders hoher Einfluss der gesetzlichen Regulierung auf die Umsetzung organisatorischer Sicherheitsmaßnahmen erkennen: anders als technische Maßnahmen, die mancherorts schon vor dem ersten IT-SiG in Teilen umgesetzt waren, wurden insbesondere organisatorische Sicherheitsmaßnahmen mehrheitlich erst zwischen 2015 bis 2020 realisiert. Auch zwischen der Vertrautheit mit dem IT-SiG und dem Umsetzungsstand der gesetzlichen Vorgaben lässt sich ein Zusammenhang beobachten: In Unternehmen, die die Gesetzgebung und die Anforderungen „Absicherungen nach dem Stand der Technik“ und zur Nachweispflicht nicht gut kennen, ist der Umsetzungsstand auch überdurchschnittlich häufig niedriger.
- Betreiber wünschen sich in verschiedenen Bereichen Vereinfachungen, z. B. in der Nachweiserbringung, der Meldung von Sicherheitsvorfällen, der Zusammenarbeit zwischen BSI und Betreibern, der geteilten Regulatorik zwischen BSI und BNetzA etc. Auch ist eine Vereinheitlichung von Begrifflichkeiten insbesondere im Hinblick auf die kommende NIS2-Umsetzung in Deutschland gewünscht.
- Das BMI hebt hervor, dass im Zuge aktueller und künftiger Regulatorik wie DORA-, CER- und NIS2-Richtlinie besonders auf Übersichtlichkeit und pragmatische Umsetzung Wert gelegt werden sollte, um die betroffenen Unternehmen nicht zu frustrieren, sondern die Erhöhung der Sicherheitsniveaus weiter voranzutreiben.
Mehr zu den Ergebnissen der Evaluierung im Artikel zum IT-Sicherheitsgesetz 2.0.
Entwurf des Gesetzes zur Umsetzung von EU NIS2
Von Hanna Lurz am 18. Mai 2023

Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindeststandards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.
Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:
- Erweiterter Kreis betroffener Unternehmen durch besonders wichtige und wichtige Einrichtungen, neben den Betreibern kritischer Anlagen (ex-KRITIS)
- Erweiterte Sektoren in Deutschland analog zu NIS2
- Cybersecurity-Pflichten für Betreiber, z. B. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen, Governance
- Staatliche Aufsicht und Registrierungs-, Nachweis- und Meldepflichten
- Erweiterte Bußgeldtatbestände und -höhen
Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.
Grundsätzliche Anforderungen Prüfungen §8a (5) BSIG
Von Paul Weissmann am 17. Mai 2023

Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.
Normativ geregelt werden:
- Unabhängigkeit der prüfenden Stelle und Prüfer, Anforderungen an interne Revisionen
- 4-Augen-Prinzip in einzelnen Prüfschritten
- Prüfberichte - Form, verbindliche Inhalte und Umgang in der Prüfung
- Geltungsbereich (bestehende G/N-Anforderungen nun normativ)
- Prüfung der Mängelliste, Umgang Altmängel, Prüfung Umsetzungsplan
- Nutzung der BSI-Vorlagen für Nachweise
Umsetzung ab 1.6.2023 (in zwei Wochen!), einige Anforderungen erst ab 2024.
Mehr zu den Anforderungen im Artikel zu GAiN §8a (5) BSIG