KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen zur Umsetzung von Cybersecurity, Governance und Prüfungen.

Industry

KRITIS und NIS2

Power plant

Kritische Infrastrukturen

OpenKRITIS Winter School im März 2025

Von Paul Weissmann am 20. Januar 2025

OpenKRITIS Winter School 2025

Die OpenKRITIS Winter School 2025 richtet sich mit Kurzworkshops an Verantwortliche für einen Einstieg in die NIS2- und KRITIS-Regulierung. In halbtägigen Seminaren führen wir durch die Regulierung – mit Schwerpunkt auf Interaktion und vielen Fragen aus dem Plenum. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt.

ID Thema Plätze Termin
W25.1 NIS2 und KRITIS-Betroffenheit – und nun?
Roadmap zu NIS2 für regulierte Einrichtungen mit Erfahrung.
In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.
6 25. Februar 2025
9:30-12:30
online
W25.2 Erste Schritte für Einsteiger in NIS2 und KRITISBasic
Einführung in NIS2 und KRITIS für Einsteiger ohne Vorkenntnisse.
Spezieller Kurs für Unternehmen, die noch keine Vorkenntnisse in NIS2 und KRITIS besitzen. Wir erarbeiten auf der grünen Wiese Grundlagen der Regulierung, Betroffenheit und Pflichten.
6 4. März 2025
9:30-12:30
online
W25.3 NIS2 im Energiesektor: BSI, BNetzA & EnWG
Mit NIS2 bleibt mehrfache Regulierung im Energiesektor erhalten.
Betreiber von Netzen und Anlagen fallen neben KRITIS und NIS2 unter EnWG und viele neue BNetzA-Sicherheits­kataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor.
6 14. März 2025
9:30-12:30
online
W25.4 Cloud und IT-Provider in NIS2 und EU Implementing Act
Viele IT-Firmen werden mit NIS2 in der EU besonders reguliert.
Spezielle Vorgaben und spezielle Betroffenheit für Cloud, Internet und Systemhäuser: EU-Territorialität und EU Implementing Act. Wir beleuchten den Umgang mit Betroffenheit und EU-Vorgaben.
6 25. März 2025
9:30-12:30
online
W25.5 German Critical Infrastructure: KRITIS and NIS2
Introduction to German KRITIS and NIS2 regulation.
Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps.
6 1. April 2025
9:30-12:30
online

RUN-Anforderungen für KRITIS-Prüfungen ab 2025

Von Paul Weissmann am 14. Januar 2025

Audit tools picture

Das BSI hat neue Prüfvorgaben für KRITIS-Prüfungen ab dem 1. April 2025 veröffentlicht. Mit den »RUN«-Vorgaben müssen Reife- und Umsetzungsgrade bei Betreibern erhoben werden. RUN, die Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung, bringt viele neue und zusätzliche Anforderungen für KRITIS-Prüfer ab 2025.

RUN definiert jeweils fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen durch Prüfer bewerten zu lassen:

Die Reifegrade von ISMS und BCMS sind detailliert ausdefiniert und dienen zur Orientierung für Prüfer in der Bewertung. Die Umsetzungsgrade von OrgM bis TecM sind allgemeiner formuliert und orientieren sich an der Angrifferkennung (SzA). Zusätzlich ist ein Mapping der Maßnahmen der Konkretisierung der Anforderungen (100-Punkte) auf die Umsetzungsgrade vorhanden.

Die neuen RUN-Vorgaben sind für Prüfungen mit Einreichung ab 1. April 2025 anzuwenden, und bedeuten zusätzliche Schritte in der Vorbereitung und Durchführung von KRITIS-Prüfungen.

NIS2-Umsetzungsgesetz: Letzter Entwurf 2024

Von Hanna Lurz am 19. Dezember 2024

Draft group

Es gibt einen neuen Referentenentwurf vom NIS2-Umsetzungsgesetz, vom 29. November 2024. Das Gesetz sollte 2024 in Kraft treten, verzögert sich aber sicherlich bis Mitte 2025.

Der November-Entwurf 2024 enhält noch folgende Änderungen:

KRITIS-Dachgesetz: Neuer Entwurf November 2024

Von Paul Weissmann am 7. November 2024

Draft group

Vom KRITIS-Dachgesetz, das von Betreiber kritischer Anlagen Maßnahmen zur Resilienz fordern wird, gibt es einen Regierungsentwurf. Seit dem letzten April-Entwurf haben sich im KRITIS-Dachgesetz viele Kleinigkeiten geändert. Das Gesetz sollte 2024 in Kraft treten, verzögert sich sicherlich bis Mitte 2025.

Das KRITIS-Dachgesetz enthält viele sinnvolle Forderung nach Resilienzmaßnahmen, BCM und Krisenmanagement bei Betreibern. Der verabschiedete November-Entwurf mit folgenden Änderungen:

Vieles bleibt nach wie vor offen – und muss in Rechtsverordnungen (KRITIS-Verordnung) und Katalogen angepasst werden.

Orientierungshilfe Angriffserkennung 2024

Von Paul Weissmann am 30. Oktober 2024

Attack detection on PC picture

Die Anforderungen der Orientierungshilfe für Angriffserkennung des BSI wurden im Sommer 2024 in die KRITIS-Anforderungen Konkretisierung der Maßnahmen integriert. Im lange überfälligen Schritt wurden die SzA-Anforderungen für Protokollierung, Detektion und Reaktion an die bestehenden 100 KRITIS-Anforderungen angefügt.

Die 35 Maßnahmen von BSI-101 bis BSI-135 fassen die Anforderungen für Angriffserkennung thematisch in der Konkretisierung für Betreiber und Prüfer zusammen. MUSS und SOLL-Anforderungen sind teilweise getrennt, teilweise zusammen.

ID Kapitel Thema Anforderungen
SZA-A Kap 1.2 Allgemeine Rahmenbedingungen 5 MUSS
SZA-P BSI-101 bis BSI-103 Protokollierung und Logging 3
2
MUSS
SOLL
SZA-D BSI-104 bis BSI-116 Detektion und Vorfälle 13
3
MUSS
SOLL
SZA-R BSI-117 bis BSI-135 Reaktion auf Vorfälle 8
15
MUSS
SOLL

Inhaltlich hat sich in der Angriffserkennung zwischen Orientierungshilfe von 2022 und der Konkretisierung der Maßnahmen von 2024 nicht viel geändert:

Das OpenKRITIS-Mapping der Orientierungshilfe SzA zu C5 und ISO 27001 ordnet den einzelnen Anforderungen relevante Kontrollen für Angriffsserkennung der C5 und ISO-Standards zu.

Finaler Implementing Act Internet und IT

Von Hanna Lurz am 24. Oktober 2024

Mapping

Für Internet und IT-Provider gibt es zwei verpflichtende Implementing Acts der EU, die Vorfallsmeldungen und Sicherheitsmaßnahmen aus EU NIS2 konkretisieren. Beide wurden im Oktober final veröffentlicht – der Annex konkretisiert für Internet-Provider in vielen Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das NIS2 Implementing Act Mapping ordnet die einzelnen Kontrollen ISO 27001 und C5 zu. Im Abgleich zum Entwurf von Juli 2024 haben sich im Oktober einige Änderungen ergeben:

Der Implementing Act ist weiterhin eine hilfreiche Schablone zur Konkretisierung von NIS2-Maßnahmen, auch wenn die Anforderungen normativ nur für bestimmte Provider verbindlich ist.

Schulung Prüfverfahrenskompetenz Community Draft

Von Paul Weissmann am 22. Oktober 2024

Audit picture

Das BSI hat die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft vorgestellt. Die Schulung für KRITIS-Prüfer wurde nach den Erfahrungen der letzten Jahre neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung umfasst im aktuellen Draft für KRITIS-Anlagen und Betreiber Kritischer Anlagen:

Das BSI sammelt zum Community Draft der Schulungsunterlagen (PDF, 301 Folien) und Schulungsleitfaden (PDF, 126 Seiten) Feedback. Weitere Entscheidungen zum weiteren Vorgehen müssen noch getroffen werden, wie Übergangsfristen, Anpassung weiterer Dokumente, Personenzertifizierung, neue NIS2-Aspekte).

Webseite des BSI mit Informationen und Unterlagen:
Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG

KRITIS-Dachgesetz: Neuer Entwurf April 2024

Von Paul Weissmann am 30. September 2024

Draft group

Das KRITIS-Dachgesetz zur Steigerung der Resilienz von Betreibern kritischer Anlagen sollte eigentlich auch im Herbst diesen Jahres in Kraft treten. Der letzte öffentliche Entwurf lag schon einige Zeit zurück – der vor einigen Wochen publik gewordene April-Entwurf des Gesetzes aktualisiert nun einige Vorgaben, lässt aber vieles noch offen.

Das KRITIS-Dachgesetz fordert von Betreibern kritischer Anlagen, die auch in NIS2 reguliert werden, Resilienzmaßnahmen wie Krisen-Management, Risikoanalysen, Notfallvorsorge und mehr. Das Gesetz sollte 2024 in Kraft treten, viele Pflichten dazu erst 2026. Neuerungen im April:

Vieles im April-Entwurf bleibt aber noch offen – was in neueren Entwürfen noch überarbeitet werden muss oder schon wurde. Der Entwurf wirkt wie eine Zwischenversion – bis zur letzten Version wird sich noch einiges ändern. Ob das Gesetz noch 2024 veröffentlich wird, ist fraglich.

OpenKRITIS auf LinkedIn | RSS Feed | News-Archiv