KRITIS-Dachgesetz
Die deutsche KRITIS-Regulierung ist nach dem IT-Sicherheitsgesetz 2.0 weiter in Entwicklung. Nach aktuellen Vorfällen und der politischen Lage in 2022 arbeitet das Innenministerium an einem KRITIS-Dachgesetz, das ab 2023 Anforderungen zu Resilienz und physischer Sicherheit an Kritische Infrastrukturen konkretisieren soll und Teile kommender EU-Regulierungen wie EU RCE/CER vorwegnimmt.
- Dachgesetz KRITIS: Resilienz-Anforderungen für Kritische Infrastrukturen
- IT-Sicherheitsgesetz 3.0 und NIS 2: Umsetzung von EU NIS 2 in Deutschland
- Neue Rechtsverordnungen: Änderungen zu KRITIS Entsorgung und NIS2
- Roadmap: Der Weg der kommende Gesetzgebung in Deutschland ab 2022/23
Die neue EU NIS 2 Richtlinie muss wie EU CER bis Oktober 2024 in nationales Recht überführt werden.
Die Ausführungen auf dieser Seite beruhen auf Presseberichten, Eckpunkte-Papieren
, einem ersten Entwurf des NIS2-Umsetzungsgesetzes, eigenen Einschätzungen und teils auch Annahmen.
DE KRITIS Betreiber und nun? EU NIS2, CER und KRITIS-Dachgesetz
Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ März 2023 ∙ OpenKRITIS-Briefing
Dachgesetz Kritische Infrastrukturen
Aktueller Stand
Das KRITIS-Dachgesetz wird seit Ende 2022 öffentlich diskutiert, und soll die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und will einen Gesetzesentwurf bis zur Sommerpause 2023 vorlegen. Das Dachgesetz bezieht sich auf die 2022 verabschiedete EU CER-Richtlinie (EU 2022/2557) und greift dieser teilweise vor.
Scope
Die vom Dachgesetz abgedeckten Unternehmen umfassen kritische Einrichtungen (Critical Entities) in mindestens
folgenden Sektoren, die über die bisherigen KRITIS-Sektoren etwas hinausgehen und sich an EU RCE (CER) orientieren – und bisherige KRITIS-Betreiber sicherlich auch umfassen, plus weitere.
| Kategorie | Sektoren |
|---|---|
| KRITIS-Dach | Energie, Verkehr, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Ernährung Digitale Infrastruktur*, Öffentliche Verwaltung*, Raumfahrt* Medien und Kultur*✝ Bildung und Betreuung** |
Bei der Identifikation sollen quantitative als auch qualitative Kriterien
genutzt werden, wie Zahl der Nutzer aber auch die Bedeutung der Kritischen Infrastruktur
für den Betrieb von Dienstleistungen.
Betreiber mit spezieller europäischer Relevanz, die in sechs oder mehr Mitgliedstaaten der Europäischen Union dieselben oder ähnliche kritische Dienstleistungen erbringen
sollen identifiziert und einer stärkeren Aufsicht unterliegen.
Resilienz bei Betreibern
Schwerpunkte der neuen KRITIS-Schutzmaßnahmen sollen physische Sicherheit und Resilienz sein, folgende Anforderungen für Betreiber sind im Gespräch und sollen die bisherigen Cyber Security Vorgaben ergänzen
:
- Einheitliche Mindestvorgaben für alle Sektoren Kritischer Infrastrukturen
- Verpflichtende Schutzstandards für physische Sicherheit
- "Technische, personelle und organisatorische Maßnahmen" für Sicherheit und Resilienz
- Krisen-Management und Risiko-Management zum Schutz des Betriebs
- Risiko-Analyse und -Bewertung der kritischen Dienstleistungen (essential services)
- Resilienzpläne zur Krisenvorsorge und Prävention
- Meldewesen für Störungen an das BBK, parallel zu Cyber Security Meldungen ans BSI
Neben diskutierten Zäunen und Sperren, Zugangskontrollen, Sicherheitsüberprüfungen, aber auch die Diversifizierung von Lieferketten und das Vorhalten von Redundanzen
ist die konkrete Ausgestaltung der Anforderungen an Betreiber noch abzuwarten – EU RCE/CER selbst fordert viel BCM, Risiko-Management und Krisenvorsorge von Unternehmen.
Das Eckpunkte-Papier spricht von einer Abwägung von Wirtschaftlichkeit und Eintrittswahrscheinlichkeit bei der Auswahl von Maßnahmen (Sicherung von Kritischen Infrastrukturen
).
Staatliche Regelungen
Die gesamtstaatliche Steuerung Kritischer Infrastrukturen soll mit dem Gesetz verbessert werden, um die Resilienz des Gesamtsystems der Kritischen Infrastrukturen
zu stärken:
- Staatlicher Rahmen für Meldewesen und Kontrollen zu Resilienz ans BBK, was das bestehden Meldewesen zu Cyber Security ergänzt und um einen Gesamtüberblick als Zentrales Störungs-Monitoring erweitert.
- EU-Berichtswesen und Koordination innerhalb der EU zu Betreibern, dem Stand der Resilienz, Vorfällen und Maßnahmen
- "Staatliche Risikobewertungen für die kritischen Dienstleistungen": als Grundlage für Bewertungen und Maßnahmen bei Betreibern
- All-Gefahren-Ansatz, der auch sektor- und grenzüberschreitenden Risiken berücksichtigt [etwas unklar, ob sich das an Betreiber und/oder Staat richtet — Ed.]
Es soll mit dem KRITIS-Dachgesetz Möglichkeiten staatlicher Hilfen für Betreiber Kritischer Infrastrukturen geben — zur Umsetzung der neuerlichen Maßnahmen.
Behörden
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) soll die Competent Authority, die nationale Behörde für den physischen Schutz kritischer Infrastrukturen
werden.
Dadurch wird das Aufgabenspektrum erweitert – das BBK soll Meldungen über Sicherheitsvorfälle annehmen, mit dem BSI zusammenarbeiten und als übergreifende Behörde
das Gesamtsystem
Kritischer Infrastrukturen betrachten, auch durch sektorenübergreifende Auswertungen.
Angelehnt an EU RCE/CER soll die Regulierung von Resilienz neben der nationalen Behörde in einen europäischen Rahmen in der EU eingebettet werden, zum Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen.
Die genaue Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA bleibt in der Gesetzgebung noch genauer auszugestalten – um u.a. parallele Zuständigkeiten bei Maßnahmen, Meldewegen zu vermeiden.
Das BBK soll hier die Behörden vernetzen und eine schnelle Informationsweitergabe
ermöglichen.
IT-Sicherheitsgesetz 3.0 und NIS 2
Ausblick und Scope
Das aktuelle IT-Sicherheitsgesetz 2.0 wurde mit langem Vorlauf nach den Erfahrungen seit 2015 entwickelt und trat Mai 2021 in Kraft. Auf EU-Ebene gibt es seit Jahren Bestrebungen, die Vorgaben für Kritische Infrastrukturen tiefer und verbindlicher zu machen – was unter anderem zu den NIS 2 (Cyber Security) und RCE (Resilienz) Direktiven geführt hat.
Während RCE anscheinend in Teilen im kommenden KRITIS-Dachgesetz behandelt wird, muss NIS 2 (EU 2022/2555) bis Oktober 2024 in nationale Gesetzgebung überführt werden und zu Änderungen am BSI-Gesetz führen, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.
Die NIS2-Anforderungen werden im Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit behandelt werden, kurz NIS2UmsuCG. (Also leider kein IT-Sicherheitsgesetz 3.0 — wäre deutlich besser sprechbar gewesen...) Das Gesetz liegt aktuell in einer ersten Entwurfsversion vor.
Betreiber und Staat
Obwohl die Anforderungen, Pflichten und Befugnisse in der deutschen KRITIS-Regulierung eher umfangreich sind, geht die kommende EU-Regulierung teilweise darüberhinaus bzw. noch mehr ins Detail – was im NIS2-Umsetzungsgesetz aufgegriffen werden wird.
Schutzmaßnahmen
Die konkreten Schutzmaßnahmen für Cyber Security und Resilienz sind in EU NIS 2 und der CER-Richtlinie deutlich konkreter und umfangreicher beschrieben als §8a BSIG der KRITIS-Regulierung. NIS 2 und RCE fordern viele konkrete Vorgaben, Prozesse und Kontrollen für z.B. BCM, Krisenvorsorge, Sicherheit in der Lieferkette und im Einkauf, und auch technische Maßnahmen wie Zugangskontrolle, Asset Management, Authentication und Kommunikation.
Betreiberpflichten
Die Meldepflichten und insbesondere EU-Verkettungen nehmen durch NIS 2 und RCE im Vergleich zu jetzigen Pflichten zu. Betreiber werden wahrscheinlich mehr Informationen an mehr Empfänger melden müssen. Die Möglichkeiten staatlicher Überprüfungen nehmen zu – durch Audits, Tests aber auch Scans durch staatliche oder unabhängige Stellen.
Staatliche Governance
Die Ausführungen zu staatlicher Aufsicht und Governance nehmen in NIS 2 und RCE zu — behördliche Befugnisse und Informationsbedarfe gegenüber Betreibern sollen erweitert, Strafen und Bußgelder angepasst werden. Teilweise sollen auch staatliche Register über kritische Betreiber erstellt und ebenso wie besonders kritische Betreiber gemeldet werden.
Zusammenarbeit in der EU
Die Kooperation und der Informationsaustausch innerhalb der EU und zwischen Behörden soll stark zunehmen, wozu auch nationale Informationen zu grenzüberschreitenden Betreibern, Risiken und Infrastrukturen ausgetausch werden sollen.
Rechtsverordnungen
Ausstehende Änderungen
Seit dem IT-Sicherheitsgesetz 2.0 gibt es noch ausstehende Änderungen an der KRITIS-Verordnung, die Sektoren und Anlagen in Deutschland konkretisiert.
Entsorgung
Der KRITIS-Sektor Siedlungsabfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit geplantem Referentenentwurf im ersten Halbjahr 2023 und Inkrafttreten danach in 2023. Dort sollten Anlagen und Schwellenwerte aus dem Sektor definiert werden, um die konkrete Betroffenheit an Entsorgern zu definieren.
UBI
Die Unternehmen im besonderen öffentlichen Interesse (UBI) sollten in einer separation UBI-Verordnung, der UBI-VO, noch konkretisiert werden, ursprünglich geplant für 2022. Aufgrund der veränderten Regulatorik mit dem NIS2-Umsetzungsgesetz wird die UBI-VO wohl nicht mehr weiterverfolgt werden, da UBI künftig entfallen und in die wichtigen und teils auch besonders wichtigen Einrichtungen aus NIS2 integriert werden.
Roadmap
Entwicklungen
Das bestehende IT-Sicherheitsgesetz 2.0 ist seit Mai 2021 in Kraft; die EU-Richtlinien wurden auf EU-Ebene verabschiedet, die Umsetzung in nationales Recht mit KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz sind in Arbeit. Das Dachgesetz sollte 2023 verabschiedet werden; das NIS2-Umsetzungsgesetz liegt seit Frühjahr 2023 in einem ersten Entwurf vor.
Zeitleiste
| Version | Status | Datum | Akteur |
|---|---|---|---|
| NIS 2 | Entwurfsversion | Dez 2020 | Kommission |
| RCE (CER) | Entwurfsversion | Dez 2020 | Kommission |
| IT-Sicherheitsgesetz 2.0 | Inkrafttreten | Mai 2021 | Bundesrat |
| NIS 2 | Zustimmung NIS 2 | Nov 2022 | EU Parlament |
| RCE (CER) | Zustimmung CER | Nov 2022 | EU Parlament |
| KRITIS-Dachgesetz | Diskussion | Nov 2022 | Presse |
| NIS 2 | Annahme NIS 2 | Nov 2022 | Rat der EU |
| KRITIS-Dachgesetz | Eckpunkte-Papier | Dez 2022 | Innenministerium |
| NIS 2 | EU 2022/2555 | Dez 2022 | Amtsblatt |
| RCR/CER | EU 2022/2557 | Dez 2022 | Amtsblatt |
| NIS2-Umsetzungsgesetz | Entwurf | 2023 | Deutschland |
| KRITIS-Dachgesetz | Gesetzgebung | Sommer 2023 | Deutschland |
| Verordnung Entsorgung | Gesetzgebung | 2023? | Deutschland |
| NIS 2 | Umsetzung national | bis Okt 2024 | Mitgliedstaaten |
| CER | Umsetzung national | bis Okt 2024 | Mitgliedstaaten |
Weitere Informationen
Literatur
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
- KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
- Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Quellen
- Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
- Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
- Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
- Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022