OpenKRITIS

KRITIS in a Nutshell

OpenKRITIS Briefings and Webinars und der Podcast:

Cyber Security Standards für KRITIS

Von Paul Weissmann am 15. April 2022

Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infra­strukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.

• Management von Informations­sicherheit: Standards wie ISO 27001, BSI IT-Grundschutz und C5 definieren ein Management­system zum Umgang mit Risiken und Informations­sicherheit (ISMS) — in der Regel mit verbindlicher Methodik, Struktur und Kontrollen.
• Branchen und Spezifika: Standards wie B3S, ISO 2701X, IEC 62443, die sich auf bestimmte Branchen und Technologien beziehen und spezifische Vorgaben für Sicherheits­maßnahmen für branchen­spezifische Anlagen oder IT/OT-Systeme definieren.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

up

Webinar Notfall­management in Kritischen Infrastrukturen

Von Paul Weissmann am 28. März 2022, ⚡ aktualisiert am 2. Mai 2022

Notfälle in der IT, Cyber Angriffe und Krisen gefährden den Betrieb von KRITIS-Anlagen und die Versorgung der Allgemeinheit. Wie Betreiber mit BCM und IT-Notfallmanagement die Resilienz ihrer Kritischen Infrastrukturen erhöhen, besprechen wir im OpenKRITIS-Webinar:

• BCM im IT-Sicherheitsgesetz 2.0: Was müssen Betreiber beachten?
• Use Cases von BCM in KRITIS: Geltungsbereich, Angriffserkennung, Notfallpläne
• Diskussion und Austausch aus der Praxis

Update: Die Folien vom Webinar am 29. April sind nun als PDF online:

up

Neue Podcast-Folge 🎧 Aus der Praxis eines KRITIS-Prüfers

Von Paul Weissmann am 14. Februar 2022

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen. Was diese Prüfungen bedeuten und wie sich Unternehmen am besten vorbereiten, verrät uns Lutz Naake, ein erfahrener KRITIS-Prüfer.

Wir sprechen über die Rolle von KRITIS-Prüfungen im IT-Sicherheitsgesetz, den Sinn von Prüfungen im Einmaleins der Cyber Security und wie Unternehmen die häufigsten Irrtümer und Fallstricke in BSIG-Nachweis­prüfungen umgehen. Es lohnt sich!

up

KRITIS und das Telekommunikations­gesetz 2.0

Von Paul Weissmann am 31. Januar 2022

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikations­gesetz reguliert, wenn sie öffentliche Telekommunikations­netze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit im TKG, das 2021 umfangreich überarbeitet wurde.

Pflichten für IT-Sicherheit sind in §165-169 TKG reguliert — vormals im alten §109 TKG:

• Cyber Security Maßnahmen und Umsetzung Sicherheitskatalog 2.0
• Sicherheitskonzept und Sicherheitsbeauftragter
• Kritische Komponenten (5G-Netzwerke)
• Angriffserkennung und Meldepflichten BNetzA

Der Katalog von Sicherheits­anforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern:

Abschnitt	Sicherheitskatalog 2.0
Sicherheits­maßnahmen	Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen	Fernmelde­geheimnis, personen­bezogenen Daten, TK-Infrastruktur und Diensten
Umsetzung	Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur	Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial	Zusätzliche Sicherheits­anforderungen für Netze und Dienste erhöhter Kritikalität

up

Einsatz von 5G im KRITIS-Sektor Telekommunikation

Von Paul Weissmann am 20. Januar 2022

Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber im Sektor Telekommunikation dem Innenministerium den Einsatz bestimmter IT-Systeme in Kritischen Infrastrukturen anzeigen. Diese Kritischen Komponenten nach §9b BSIG müssen in einzelnen Sektoren nch durch weitere Gesetze geregelt werden — im TK-Sektor erstmalig 2021 durch die Novelle des TKG.

Die BNetzA hat dazu mit dem BSI kritische Funktionen in 5G-Mobilfunk­netzen festgelegt:

• Core network functions
• NFV management and network orchestration (MANO)
• Management systems and supporting services
• Radio Access Network (RAN)
• Transport and transmission
• Internetwork exchanges

Diese Systeme dürfen nur nach Zertifizierung und Freigabe eingesetzt werden.

up

Die aktuelle Lage der KRITIS-Regulierung in 2022

Von Paul Weissmann am 3. Januar 2022

Die Regulierung zu Kritischen Infrastrukturen befindet sich in Deutschland seit 2021 im Umbruch und wird 2022 weiter erneuert und ausgebaut. Was hat sich alles geändert?
— erweiterte Gesetze, neue Verordnungen und noch ausstehende Entwicklungen:

2021

• IT-Sicherheitsgesetz 2.0: Das neue IT-SiG 2.0 erweitert vor allem KRITIS-Pflichten und staatliche Befugnisse im BSI-Gesetz und ist seit Mai 2021 in Kraft.
• KRITIS-Verordnung 2021 (1.5): Die Rechtsverordnung von 2021 (KritisV 1.5) definiert neue KRITIS-Anlagen und Schwellenwerte und ist seit Januar 2022 in Kraft.

2022

• KRITIS-Verordnung 2.0: Eine weitere Rechtsverordnung konkretisiert die Änderungen des IT-SiG 2.0 wie den KRITIS-Sektor Entsorgung und ist 2022 als KritisV 2.0 in Arbeit.
• UBI-Verordnung (UBI-VO): Eine eigene Rechtsverordnung UBI-VO definiert in 2022 die Unternehmen im besonderen öffentlichen Interesse (UBI).
• EU NIS2: Die neue NIS-Verordnung 2.0 für Cyber Security erweitert die Pflichten in der EU. Der Entwurf wird seit 2021 verhandelt und dann (2022?) in nationales Recht überführt.
• EU RCE: Die neue RCE-Verordnung macht Resilienz für Betreiber in der EU verpflichtend, und muss 2022 verabschiedet und in nationales Recht überführt werden.

up