Der europäische Kontext
Neben der nationalen KRITIS-Gesetzgebung regulieren die NIS2 und RCE-Direktiven auf EU-Ebene Kritische Infrastrukturen. Der Schwerpunkt von NIS ist Informationssicherheit, RCE konzentriert sich auf Resilienz — mit Abweichungen zur deutschen KRITIS-Regulierung in Zielen und Methodik.
Die bisherigen EU-Direktiven NIS und ECI (European Critical Infrastructures) sollen 2022 durch NIS2 und EU RCE abgelöst werden. Beide Direktiven müssen noch in der EU verabschiedet und dann in nationales Recht überführt werden. Dazu sind seit 2021 Verhandlungen in der EU zwischen Parlament und Kommission im Gange, für NIS2 konnte im Mai 2022 Einigkeit erreicht werden.
EN German and EU Critical Infrastructures 2021
Slides from a talk on new German CI and EU NIS developments
English ∙ PDF ∙ November 2021 ∙ OpenKRITIS-Briefing
English version of this page available at EU NIS2 and RCE.
KRITIS in der EU
EU-Regulierung Kritischer Infrastrukturen
NIS2 und RCE regeln die Sicherheit von Betreibern in der EU mit ähnlicher Struktur aber anderen Schwerpunkten und Zielen — jeweils ähnlich der deutschen KRITIS-Regulierung.
Schutzziele
RCE reguliert Resilienz, also Ausfallsicherheit von kritischen Betreibern in der EU, um die Auswirkungen disruptiver Störungen der Betreiber auf die Versorgung zu minimieren.
NIS2 reguliert die Informationssicherheit von kritischen Betreibern, um die Auswirkungen von Cyber Angriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren.
Maßnahmen
Beide Direktiven verlangen von Betreibern präventive Maßnahmen und Störungsmeldungen:
RCE fordert Resilienz bei Betreibern durch Vorsorge, physischer Sicherheit, Krisen-Management und BCM, personelle Sicherheit und Awareness.
NIS2 fordert Cyber Security bei Betreibern — Policies und Governance, Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests, Kryptographie.
Schwellenwerte
Beide Direktiven regulieren kritische Betreiber in teilweise deckungsgleichen EU-Sektoren:
NIS2 legt die betroffenen Betreiber über Unternehmensgröße nach 2003/361/EC fest
RCE fordert nationale Identifizierung der Betreiber durch die Staaten.
Aufsicht
RCE fordert in Mitgliedsstaaten eine Behörde für Resilienz und, die Betreiber identifiziert, Aufsicht ausübt und Vorgaben zur Umsetzung macht.
NIS2 fordert in Mitgliedsstaaten eine Behörde für Cyber Security, ein CSIRT und Cyber Krisen-Management. Es soll starke nationale Aufsicht, Vorgaben und Enforcement geben.
Zusammenarbeit in der EU
RCE bindet die Kommission stark in die EU-weite Aufsicht für Resilienz ein und richtet zur Kooperation die CERG ein. Informationen werden auf EU-Ebene gesammelt.
NIS2 hat eine bestehende EU-Landschaft mit der ENISA, der CG zur Kooperation, dem CSIRT-Netzwerk und EU-CyCLONe und der Kommission, mit viel Informationsaustausch.
Kritische Sektoren in der EU
Die betroffenen EU-Sektoren sind zwischen den Direktiven harmonisiert — NIS2 reguliert zwei Gruppen, RCE eine Gruppe, die deutschen KRITIS-Sektoren sind teils ähnlich.
| NIS2 Sektoren | RCE Sektoren | KRITIS Sektoren |
|---|---|---|
| Identifikation durch Unternehmensgröße |
Bestimmung Betreiber durch den Staat |
Identifikation durch Schwellenwerte |
| Essential Services | Critical Entities | KRITIS |
| Energie | Energie | Energie |
| Gesundheit | Gesundheit | Gesundheit |
| Transport |
Transport |
Transport und Verkehr |
| Banken | Banken | Finanzwesen |
| Finanzmärkte | Finanzmärkte | Finanzwesen |
| Trinkwasser | Trinkwasser | Wasser |
| Abwasser | Abwasser | Wasser |
| Digitale Infrastruktur | Digitale Infrastruktur | IT und TK (tw. TKG) |
| Raumfahrt | Raumfahrt | tw. Transport |
| Öffentliche Verwaltung | Öffentliche Verwaltung | - |
| Important Entities | KRITIS und UBI | |
| Post und Kurier | tw. Transport | |
| Abfallwirtschaft | Entsorgung | |
| Chemikalien | UBI (Gefahrstoffe) | |
| Ernährung | Ernährung (Herstellung) | |
| Industrie | tw. UBI (Gruppe 2) | |
| Digitale Dienste | tw. Telemedien (TMG) | |
| Bildung und Forschung | - |
Weitere Informationen
Literatur
- Neue Cybersicherheitsstrategie der EU und neue Vorschriften zur Erhöhung der Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
- Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021
Quellen
- Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
- Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
- Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016