Der europäische Kontext

Neben der nationalen KRITIS-Gesetzgebung regulieren die NIS2 und RCE-Direktiven auf EU-Ebene Kritische Infrastrukturen. Der Schwerpunkt von NIS ist Informations­sicherheit, RCE konzentriert sich auf Resilienz — mit Abweichungen zur deutschen KRITIS-Regulierung in Zielen und Methodik.

Die bisherigen EU-Direktiven NIS und ECI (European Critical Infrastructures) sollen 2022 durch NIS2 und EU RCE abgelöst werden. Beide Direktiven müssen noch in der EU verabschiedet und dann in nationales Recht überführt werden. Dazu sind seit 2021 Verhandlungen in der EU zwischen Parlament und Kommission im Gange, für NIS2 konnte im Mai 2022 Einigkeit erreicht werden.

Talk cover

EN German and EU Critical Infrastructures 2021

Slides from a talk on new German CI and EU NIS developments
English ∙ PDF ∙ November 2021 ∙ OpenKRITIS-Briefing

English version of this page available at EU NIS2 and RCE.

KRITIS in der EU

EU-Regulierung Kritischer Infrastrukturen

NIS2 und RCE regeln die Sicherheit von Betreibern in der EU mit ähnlicher Struktur aber anderen Schwerpunkten und Zielen — jeweils ähnlich der deutschen KRITIS-Regulierung.

Schutzziele

RCE reguliert Resilienz, also Ausfallsicherheit von kritischen Betreibern in der EU, um die Auswirkungen disruptiver Störungen der Betreiber auf die Versorgung zu minimieren.

NIS2 reguliert die Informationssicherheit von kritischen Betreibern, um die Auswirkungen von Cyber Angriffen und Störungen auf IT-Systeme und Netzwerke zu minimieren.

Maßnahmen

Beide Direktiven verlangen von Betreibern präventive Maßnahmen und Störungs­meldungen:

RCE fordert Resilienz bei Betreibern durch Vorsorge, physischer Sicherheit, Krisen-Management und BCM, personelle Sicherheit und Awareness.

NIS2 fordert Cyber Security bei Betreibern — Policies und Governance, Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests, Kryptographie.

Schwellenwerte

Beide Direktiven regulieren kritische Betreiber in teilweise deckungsgleichen EU-Sektoren:

NIS2 legt die betroffenen Betreiber über Unternehmensgröße nach 2003/361/EC fest

RCE fordert nationale Identifizierung der Betreiber durch die Staaten.

Aufsicht

RCE fordert in Mitgliedsstaaten eine Behörde für Resilienz und, die Betreiber identifiziert, Aufsicht ausübt und Vorgaben zur Umsetzung macht.

NIS2 fordert in Mitgliedsstaaten eine Behörde für Cyber Security, ein CSIRT und Cyber Krisen-Management. Es soll starke nationale Aufsicht, Vorgaben und Enforcement geben.

Zusammenarbeit in der EU

RCE bindet die Kommission stark in die EU-weite Aufsicht für Resilienz ein und richtet zur Kooperation die CERG ein. Informationen werden auf EU-Ebene gesammelt.

NIS2 hat eine bestehende EU-Landschaft mit der ENISA, der CG zur Kooperation, dem CSIRT-Netzwerk und EU-CyCLONe und der Kommission, mit viel Informations­austausch.

up

Kritische Sektoren in der EU

Die betroffenen EU-Sektoren sind zwischen den Direktiven harmonisiert — NIS2 reguliert zwei Gruppen, RCE eine Gruppe, die deutschen KRITIS-Sektoren sind teils ähnlich.

eigene Zusammenstellung EU NIS2 und RCE Sektoren
NIS2 Sektoren RCE Sektoren KRITIS Sektoren
Identifikation durch
Unternehmens­größe
Bestimmung Betreiber
durch den Staat
Identifikation durch
Schwellenwerte
Essential Services Critical Entities KRITIS
Energie Energie Energie
Gesundheit Gesundheit Gesundheit
Transport
Transport
Transport und Verkehr
Banken Banken Finanzwesen
Finanzmärkte Finanzmärkte Finanzwesen
Trinkwasser Trinkwasser Wasser
Abwasser Abwasser Wasser
Digitale Infrastruktur Digitale Infrastruktur IT
Raumfahrt Raumfahrt tw. Transport (Bodenstationen)
Öffentliche Verwaltung Öffentliche Verwaltung -
Important Entities - KRITIS/UNBÖFI
Post und Kurier tw. Transport (Logistik)
Abfallwirtschaft Entsorgung
Chemikalien UNBÖFI (Gefahrstoffe)
Ernährung Ernährung (Herstellung)
Industrie tw. UNBÖFI
Digitale Dienste tw. Telemediendienste (TMG)

up

Weitere Informationen

Literatur

  1. Neue Cybersicherheits­strategie der EU und neue Vorschriften zur Erhöhung der Widerstands­fähigkeit kritischer physischer und digitaler Einrichtungen, Website der Europäischen Kommission, 16.12.2020
  2. Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission website, 8.3.2021

Quellen

  1. Proposed directive on measures for a high common level of cybersecurity across the Union, 2020/0359 (COD), 16.12.2020
  2. Annex to the Proposed directive on measures for a high common level of cybersecurity across the Union, COM(2020) 823 final, 16.12.2020
  3. Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (EU NIS directive), 19.7.2016