KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS-Regulierung: Klare Strukturen für die KRITIS-Pflichten, Cyber Security Maßnahmen und KRITIS-Prüfungen.

Industry

KRITIS-Regulierung 2023

Power plant

Kritische Infrastrukturen

Entwurf des Gesetzes zur Umsetzung von EU NIS2

Von Hanna Lurz am 18. Mai 2023

NIS2-Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindest­standards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.

Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:

Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.

Grundsätzliche Anforderungen Prüfungen §8a (5) BSIG

Von Paul Weissmann am 17. Mai 2023

KRITIS-Prüfungen

Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.

Normativ geregelt werden:

Umsetzung ab 1.6.2023 (in zwei Wochen!), einige Anforderungen erst ab 2024.
Mehr zu den Anforderungen im Artikel zu GAiN §8a (5) BSIG

Systeme zur Angriffserkennung in 2023

Von Paul Weissmann am 3. Mai 2023

SIEM SzA

Seit dem 1. Mai müssen KRITIS-Betreiber den Einsatz von Systemen zur Angriffs­erkennung im KRITIS-Geltungsbereich nachweisen. Im BSI-Gesetz seit 2021 vorgegeben (§8a Abs. 1a), konkretisiert die Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) seit letztem Jahr die genauen Anforderungen an Betreiber.

Gefordert wird in der OH SZA eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion auf Cyberangriffe in der KRITIS-Anlage. Erste Erfahrungen aus der Praxis zeigen, dass sich intensive Vorbereitung in der Umsetzung und Prüfungen von SzA auszahlt.

Aus der OpenKRITIS-Keynote im Angriffserkennungs-Track vom CSK-Summit am 3. Mai.

SzA

DE Orientierungshilfe Angriffserkennung OH SzA

Austausch zu den neuen BSI-Anforderungen für Angriffserkennung
Webinar ∙ CSK-Summit <kes> Keynote ∙ 3. Mai 2023

KRITIS und Energiebetreiber nach EnWG

Von Hanna Lurz am 28. April 2023

KRITIS powerplant

Manche KRITIS-Betreiber im Energiesektor werden ausschließlich durch §8a BSIG reguliert, andere fallen neben der KRITIS-Regulierung auch unter §11 EnWG oder das ATG. Dies hängt von der betriebenen KRITIS-Anlage ab — mit unterschiedlichen Anforderungen bei Energie­anlagen, Energie­versorgungsnetzen (beide Sicherheitskatalog), Kernkraft und weiteren.

KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 EnWG unterliegen (§8d (2) Nr. 2. BSIG), müssen keine KRITIS-Maßnahmen nach §8a BSIG umsetzen oder prüfen lassen. Für diese KRITIS-Betreiber gilt das Energiewirtschaftsgesetz (EnWG).

up

KRITIS-Betreiber und nun? Webinar zu NIS2, RCE & co.

Von Paul Weissmann am 27. März 2023

EU size cap

Was bedeutet EU NIS2 für Unternehmen? Und was kommt ab 2023 noch auf Kritische Infrastrukturen zu? Im OpenKRITIS-Webinar am 30. März zu KRITIS 2023-24 besprechen wir EU NIS2, CER und KRITIS-Dachgesetz – und die Auswirkungen auf KRITIS-Betreiber.

Viele Unternehmen fallen ab 2024 unter mehrere Regulierungen – der Gesetzgeber wird viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben. All das im freien OpenKRITIS-Webinar am 30.3. und 13.4. Die aktualisierten Folien aus dem Webinar vom 13.4. sind nun online (PDF).

NIS2

DE KRITIS-Betreiber und nun? EU NIS2, CER und Dachgesetz

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ April 2023 ∙ OpenKRITIS-Briefing

KRITIS-Verordnung 1¾: LNG und Seekabel auch KRITIS

Von Paul Weissmann am 9. März 2023

KRITIS-Verordnung 1.75

Mit der 3. Verordnung zur Änderung der BSI-Kritis­verordnung von 1. März 2023 sind ab diesem Jahr LNG-Anlagen und Seekabelanlandestationen als Kritische Infrastruktur zwischen Land und See nun auch KRITIS. Die KRITIS-Verordnung 1.75 ändert genau diesen beiden Sektoren:

Entsprechende Anlagen könnten mit den Stichtagen 31.3. und 1.4. noch dieses Jahr KRITIS werden mit allen Pflichten von KRITIS-Betreibern.

Who is who in KRITIS, EU NIS2 und RCE

Von Paul Weissmann am 21. Februar 2023

EU size cap

Wer sich bei KRITIS, NIS2 und RCE fragt, welche Unternehmen zu welcher Gruppe von regulierten Kritischen Infrastrukturen gehörden – die Auflösung im Factsheet zu EU NIS2.

Viele Unternehmen könnten unter mehrere Regulierungen, Meldepflichten und Vorgaben fallen. Der Gesetzgeber wird bis spätestens Herbst 2024 viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben.

NIS2

EN EU NIS2 and RCE: Security and Resilience in Infrastructures

Fact Sheet: Pflichten, Sektoren, Betreiber in NIS2 und RCE (CER)
English ∙ PDF ∙ ⚡ Februar 2023 ∙ OpenKRITIS-Briefing

Size-Cap in EU NIS 2 für Betreiber

Von Paul Weissmann am 8. Februar 2023

EU size cap

EU NIS2 reguliert zwei Gruppen von Betreibern, die in achtzehn Sektoren in der EU Services erbringen und nach Größe reguliert werden. Die Betroffenheit der Essential und Important Entities wird in NIS 2 nach size-cap Regel über Umsatz und Größe festgestellt:

  1. Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
  2. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz

Essential Entities: Große Betreiber aus Essential Sektoren A und bestimmte Betreiber und Branchen unabhängig der Größe: Digitale Infrastruktur aus A, Öffentliche Verwaltung aus A, Sonderfälle aus A und B, Critical Entities, die unter EU RCE/CER fallen und Bisherige Entities, die bis Januar 2023 von voriger Regulierung betroffen waren.

Important Entities: Große Betreiber aus Important Sektoren B, mittlere Betreiber aus allen Sektoren B und A sowie Sonderfälle aus B und A.

NIS2 Sektoren sind A Essential Sektoren (Annex I) und B Important Sektoren (Annex II).

EU NIS 2 und RCE-Sektoren

Von Paul Weissmann am 23. Januar 2023

Die EU-Direktiven NIS2 und RCE für Kritische Infrastrukturen sind in Kraft und definieren beide Listen von Wirtschafts­sektoren, die bis 2024 von Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.

NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.

Kategorie Sektoren
Essential Energie, Transport, Banken, Finanzmärkte,
Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur,
ICT Service Management, Öffentliche Verwaltung, Raumfahrt
Important Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung,
Industrie, Digitale Dienste, Forschung

In allen Sektoren werden wahrscheinlich tausende Unternehmen (neu) betroffen sein, zusätzlich zu den bisherigen KRITIS und kommenden UBI.

up

OpenKRITIS auf LinkedIn | News-Archiv