KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen für die Anforderungen, Cybersecurity Maßnahmen und Prüfungen.

Industry

KRITIS und NIS2

Power plant

Kritische Infrastrukturen

Mehr und tiefere Prüfungen in NIS2 ab 2025

Von Paul Weissmann am 11. Juli 2024

Illustrative audit picture

Mit der NIS2-Umsetzung müssen Einrichtungen, neben der Dokumentation der Maßnahmen, die Umsetzung teilweise auch prüfen lassen. Betreiber kritischer Anlagen werden zu Prüfungen, wie in KRITIS, nun alle drei Jahre verpflichtet. Besonders wichtige Einrichtungen können durch das BSI nach Stichproben geprüft werden oder zu Nachweisen verpflichtet werden.

Betreiber kritischer Anlagen Einrichtungen
Besonders wichtig Wichtig
Gesetz NIS2UmsuCG DachG NIS2UmsuCG NIS2UmsuCG
Zeitraum (ab 2025) ab 2026 (ab 2025) (ab 2025)
Pflicht §39 (1) §11 §63 §64
Form Audits Audits Stichproben durch BSI
Inhalt IT-Sicherheit
Meldepflicht
SzA
Resilienz IT-Sicherheit
Meldepflicht
IT-Sicherheit
Meldepflicht
Scope Kritische Anlage Kritische Anlage Unternehmen Unternehmen
Frequenz alle drei Jahre Stichproben Stichproben bei Anlass
Empfänger BSI BBK BSI BSI

Die Nachweispflicht für Betreiber kritischer Anlagen ist in §39 definiert, Prüfungen im neuen Zyklus werden wohl 2025 beginnen. Nachweise für besonders wichtige Einrichtungen sind in §63 festgelegt – das BSI darf Nachweise anfragen, Einrichtungen zu Prüfungen verpflichten u.v.m., basierend auf Stichproben und Anhaltspunkten. Wichtige Einrichtungen in §64 analog.

Im KRITIS-Dachgesetz gibt es aktuell keine eigenen Prüfungen mehr, sondern eine Erweiterung der neuen Nachweisprüfungen von Betreibern unter NIS2 um Resilienzthemen.

Folien CSK-Keynote NIS2 und DORA-Webinar

Von Paul Weissmann am 4. Juli 2024

Webinar

Die Folien der Vorträge bei der Keynote des CSK-Summits im Juli von IT-SICHERHEIT und <kes> und vom OpenKRITIS-Webinar zu IT-Providern sind nun online. Beide Vorträge beleuchteten Betreiber in NIS2, die ab 2024/2025 mehrfacher Regulierung für Cybersecurity unterliegen.

IT-Dienstleister mit Finanzkunden könnten durch DORA zu kritischen IKT-Dienstleistern mit zusätzliche Cybersecurity-Pflichten und starker Aufsicht werden. Betreiber im Energiesektor und der Telekommunikation unterliegen neben NIS2 teilweise noch Sektorregulierung von EnWG und TKG – mit vielen Cybersecurity-Pflichten. Was gilt nun in welchem ISMS?

Bank picture

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

EU NIS2 Keynote

Keynote NIS2 Mehrfach-Regulierung

NIS2-Einrichtungen mit EnWG, TKG und DORA ab 2025
Keynote ∙ CSK-Summit 2024 IT-SICHERHEIT und <kes> ∙ Juli 2024

NIS2 Implementing Act Mapping ISO 27001 und KRITIS

Von Paul Weissmann am 1. Juli 2024

Mapping

Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben in Deutschland das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2 für bestimmte Betreiber.

Für Internet Provider gibt es zwei verpflichtende Implementing Acts für Vorfallsmeldungen und Sicherheitsmaßnahmen. Beide sind nun in einer Commission Implementing Regulation als Entwurf veröffentlicht worden – der Annex konkretisiert für Internet-Provider in 159 Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das OpenKRITIS NIS2 Implementing Act Mapping ordnet die Controls den Standards ISO 27001 und KRITIS zu – und findet einige Abweichungen:

Für betroffene Betreiber bleibt einiger Arbeitsbedarf.

Letzter Referentenentwurf NIS2-Umsetzung Juni

Von Paul Weissmann am 28. Juni 2024

Document reading

Der nächste und möglicherweise letzte Referentenentwurf der deutschen NIS2-Umsetzung wurde, nach Verbändeabstimmung, Ende Juni 2024 vom BMI veröffentlicht.

Im Entwurf ändert sich nicht mehr allzuviel, wie zu erwarten: Die Pflichten bleiben gleich, an der Betroffenheit und Zuständigkeiten ändern sich wieder einige Konstellationen. Daneben hat der Gesetzgeber abermals Struktur, Definitionen und Argumentationen angepasst.

Die Änderungen an Sektorgesetzen wie TKG und EnWG blieben größtenteils gleich – dafür wurden Teile der Doppelregulierung aufgehoben. Eine konkretes Datum zum Inkrafttreten fehlt diesmal, es scheint aber, dass das Bundeskabinett im Sommer den Gesetzesentwurf diskutiert. Vielleicht tritt das Gesetz dann doch (fast) fristgemäß in Kraft?

NIS2-Umsetzungsgesetz Referentenentwurf Mai

Von Paul Weissmann am 9. Mai 2024

Document reading

Der aktuelle Referentenentwurf der deutschen NIS2-Umsetzung wurde im Mai 2024 vom BMI veröffentlicht. Der Entwurf vom NIS2UmsuCG dient der Verbändeabstimmung bis Anfang Juni und soll am 1. Oktober 2024 in Kraft treten – so der Entwurf in Artikel 29.

Es ändert sich nicht viel für Betreiber zu den letzten bekannten Entwürfen: Pflichten bleiben im Grunde gleich, an der Betroffenheit und Zuständigkeit im Bund ändern sich Randfälle. Sonst gibt es viele Änderungen an Struktur, Definitionen – ohne tiefe Folgen für Betreiber.

Dafür enthält der Entwurf vom NIS2UmsuCG nun die meisten Änderungen am EnWG für Energie­betreiber und TKG für Telekommunikationsanbieter. Wenig überraschend – die parallele Regulierung mit BNetzA bleibt bestehen + neue EnWG-Sicherheitskataloge. Dafür erbt das TKG §30 NIS2-Maßnahmen in §165 TKG-E – und dafür vielleicht keinen neuen Sicherheitskatalog.

Weitere bemerkenswerte Annahmen im Entwurf, vor allem in der lesenswerten Begründung:

Ob dieser Entwurf den Prozess der Gesetzgebung bis zum 1. Oktober 2024 schafft?

DORA-Mapping auf NIS2, ISO 27001 und C5

Von Hanna Lurz am 7. Mai 2024

Mapping

Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für Finanzunternehmen und kritische IKT-Drittdienstleister wie Cloud Provider vor. Für diese IT-Provider ordnet das OpenKRITIS DORA-Mapping die einzelnen Anforderungen aus DORA aufgeschlüsselt verschiedenen Cybersecurity-Standards zu:

Das OpenKRITIS DORA-Mapping auf NIS2 schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf, gruppiert thematisch und weist einzelne Pflichten NIS2, C5:2020 und ISO 27001:2022 Kontrollen zu – alles als Draft.

Bank picture

DORA und EU NIS2 für IT-Provider

DORA und NIS2 für IT-Dienstleister mit Mehrfach-Regulierung
Webinar ∙ Registrierung über LinkedIn ∙ 3. Juli 2024

DORA und NIS2 im Finanzsektor

Von Hanna Lurz und John Bauer am 29. April 2024

Business sector

Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.

DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.

Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.

Betreiber mit Mehrfach-Regulierung in NIS2

Von Hanna Lurz am 16. April 2024

Mapping

In NIS2 bleibt Mehrfach-Regulierung für einige Sektoren erhalten, auch wenn es in NIS2 für einige Sektoren Ausnahmen und zusätzliche Sektor-Regulierung gibt. Bestimmte Unternehmen sind in NIS2 ausgeschlossen, weil sie separat durch Spezialgesetze reguliert sind. Das betrifft:

Sektor Ausnahmeregel für Reguliert durch NIS2-Anpassung
TK TK-Netze und Dienste TKG (neu)
Sicherheitskatalog 2.0
TKG und Katalog unbekannt
Energie Energieversorgungsnetze Energieanlagen §5c EnWG (neu) IT‑Sicherheitskatalog §5c (1)
IT‑Sicherheitskatalog §5c (2)
äquivalent im EnWG
Kataloge noch unbekannt
Finanzen Finanzunternehmen DORA äquivalent

Diese spezialgesetzlichen Regelungen sollen äquivalente Anforderungen aus NIS2 enthalten, sowie vertiefende Anforderungen. Vier Beispiele beleuchten die Mehrfach-Regulierung:

NIS2-Mapping auf Standards

Von Paul Weissmann am 9. April 2024

Mapping

Das OpenKRITIS-Mapping von NIS2 zu Security-Standards erleichtert die Zuordnung der Sicherheits­maßnahmen bei betroffenen Einrichtungen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) fordern Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS und werden im Mapping folgenden Standards zugeordnet:

Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts noch konkretisiert und detailliert werden. Bis dahin bleibt diese Zuordnung die einzige Orientierung.

Das OpenKRITIS-Mapping auf KRITIS und ISO 27001 schlüsselt die Absätze und Listen aus §30 BSIG-E in einzelne Anforderungen auf und passt den Text mit Ergänzungen leicht an.

up

OpenKRITIS auf LinkedIn | RSS Feed | News-Archiv