News
Vorträge zu KRITIS Loops und IT-SiG 2.0 vs. EU
Von Paul Weissmann am 18. November 2021
Zwei neue OpenKRITIS-Vorträge zu Kritischen Infrastrukturen sind nun Online: Einmal beim EY-Risikomanagement Stammtisch am 17. November zu aktuellen KRITIS-Entwicklungen im Jahr 2021 zum Thema IT-Sicherheitsgesetz 2.0 und EU-Regulierung NIS2 und RCE.
Daneben ein akademischer Vortrag zusammen mit Jan Hoff bei der Transformations of Infrastructure Systems Konferenz der TU-Darmstadt am 4.11.2021 zum Thema Infinite Loop: Transformation and Fragilities in Infrastructures — immer wiederkehrenden Verwundbarkeiten durch technologische und gesellschaftliche Transformation von Kritischen Infrastrukturen.
EN German and EU Critical Infrastructures 2021
Talk at IT-Sicherheitsgesetz 2.0 - Anforderungen und Umsetzung
Online ∙ Risikomanagement-Stammtisch EY ∙ 17. November 2021
EN Infinite Loop: Transformation and Fragilities in Infrastructures
Talk at the Transformations of Infrastructure Systems conference
With Jan Hoff ∙ FG KRITIS ∙ TU Darmstadt ∙ 4. November 2021
OpenKRITIS-Podcast – jetzt online 🎧
Von Paul Weissmann am 9. November 2021
Was sind eigentlich Kritische Infrastrukturen? Und macht das IT-Sicherheitsgesetz den Alltag wirklich sicherer? Mit unseren Gästen gehen wir dem nach — im neuen OpenKRITIS-Podcast sprechen wir über die Hintergründe Kritischer Infrastrukturen und die Effekte staatlicher KRITIS-Regulierung auf Betreiber, Unternehmen und Gesellschaft.
Die Premieren-Folge widmet sich der Geschichte des IT-Sicherheitsgesetzes und ist ab sofort auf den gängigen Plattformen und bei uns zu finden.

DE Geschichte und Zukunft vom IT-Sicherheitsgesetz
Die Entwicklung Kritischer Infrastrukturen in Deutschland seit den 2000ern bis zum IT-Sicherheitsgesetz 3.0. Ein Austausch über MINT-Nerds, Lieblingsparagraphen und Tipps für Betreiber.
Mit Wilhelm Dolle
🎧 Podcast ∙ Auf Spotify und Apple Podcasts ∙ 44 Min ∙ 8.11.2021
Neue KRITIS-Anlagen in den KRITIS-Sektoren
Von Paul Weissmann am 28. Oktober 2021
Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue Verordnung die KRITIS-Anlagen. Die Änderungen sind nun auch in den einzelnen KRITIS-Sektoren eingetragen:
- Energie: In Stromerzeugung und Handel sinken Schwellenwerte und Anlagen ändern sich, zentrale Steuerung und diverse Gas/Strom-Anlagen kommen hinzu, Flugkraftstoff ebenfalls
- IT: Die Schwellenwerte von Rechenzentren, Cloud (Serverfarmen) und IXP sinken deutlich, Domain-Registries (TLD) kommen als Anlage dazu.
- Finanzen und Versicherung: Die bisher mehrfach vorhandenen Anlagen pro Versicherungsträger werden vereinfacht, neue kommen im Wertpapierhandel hinzu.
- Transport: Sendungen sind nun auch Schwellenwert in der Logistik, bei Häfen, Flughäfen und Fluggesellschaften kommen neue Leitungs-Anlagen hinzu, im Straßenverkehr das Intelligente Verkehrssystem. Im ÖPNV nur Zusammenfassungen und Präzisierungen.
- Gesundheit: Bei Laboren wurden die Anlagen Transportsystem und Kommunikationssystem für Aufträge/Befunde im Laborinformationsverbund zusammengefasst.
- Wasser: Nur geringe Änderungen — Stauanlagen gehören nun auch zur Gewinnung.
- Ernährung: Leichte Änderungen und Konkretisierung der Steuerungs-Anlagen, Getränke bis 1.2 ‰ gehören nun zum Schwellenwert.
- Entsorgung und UBI/UNBÖFI: Anlagen im neuen KRITIS-Sektor Entsorgung fehlen noch, ebenso die Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI).
Offizielle Informationen vom BSI zu UBI (UNBÖFI)
Von Paul Weissmann am 11. Oktober 2021
Das BSI hat nun die Unternehmen im besonderen öffentlichen Interesse, UBI oder UNBÖFI, etwas genauer beschrieben. Auf der offiziellen BSI-Webseite gibt es in einer FAQ-Liste mehr Informationen zu den Pflichten und Fristen der drei UBI-Gruppen 1 bis 3.
- UBI 1 Rüstung: Hersteller von Rüstung und Produkten für Verschlusssachen (VS-IT)
- UBI 2 Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung
- UBI 3 Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen
Die UBI Cyber Security Pflichten sind in der BSI-FAQ detailliert — von der Registrierung, über die Meldepflicht bis zur Sicherheitserklärung. Das Prozedere zur Anmeldung über das UBI-Büro ist ebenfalls beschrieben, via Mail.
Konferenz Transformations of Infrastructure Systems
Von Paul Weissmann am 6. September 2021
Internationale Konferenz der TU Darmstadt und GRK KRITIS zu Kritischen Infrastrukturen und der Transformation von Infrastruktursystemen am 4.-5.11.2021. Aus dem Call of Papers:
Ziel der Konferenz ist es, diese Transformationen von Infrastruktursystemen aus verschiedenen Perspektiven zu analysieren und zu erklären. Diese unterschiedlichen Perspektiven werden durch die vier Unterthemen „Cultures of Transformation“, „Governance of Transformationa“, „Temporality and Spatiality of Transformation“ und „Safe Transformation“ repräsentiert.
Wir sind mit einem Talk vertreten zu An Infinite Loop – How Transformation and Digitalization Create New Fragilities in Critical Infrastructures und freuen uns auf die Konferenz.
Webinar zu BCM in Kritischen Infrastrukturen
Von Paul Weissmann am 2. September 2021
Brauchen Betreiber ein Business Continuity Management (BCM) in ihren KRITIS-Anlagen? Und ist das nicht alles Aufgabe vom Security Management im ISMS? — Im OpenKRITIS-Webinar zu BCM wollen wir diesen und weiteren Fragen zur Umsetzung von BCM und Kontinuität bei KRITIS-Betreibern nachgehen. Agenda:
- BCM im IT-Sicherheitsgesetz 2.0: Was fordert das Gesetz?
- Best Practices für die Umsetzung, Schnittstellen zum Geltungsbereich, ISMS, ...
- Diskussion zu Erfahrungen aus der Praxis
Freie Teilnahme und Anmeldung über LinkedIn.

DE BCM in Kritischen Infrastrukturen und KRITIS-Anlagen
Ist BCM notwendig bei KRITIS-Betreibern? Ein Austausch.
Online ∙ Registrierung über LinkedIn ∙ 24.9.2021 13:00
KRITIS-Verordnung 2021 (1.5) beschlossen
Von Paul Weissmann am 23. August 2021
Das Bundeskabinett hat am 18. August 2021 die KRITIS-Verordnung 2.0 (Zweite Verordnung zur Änderung der BSI-Kritisverordnung) beschlossen.
Ohne Aussprache beschlossen
wurde laut Heise die bekannte Version des Entwurfs vom Frühling und soll ab 2022 in Kraft treten.
Die neuen Definitionen umfassen anscheinend die bereits bekannten Änderungen der KRITIS-Anlagen und Schwellenwerte; dagegen bleiben die Anlagen und Schwellenwerte des Sektors Siedlungsabfallentsorgung und die Methodik der UNBÖFI Gruppe 2 volkswirtschaftliche Bedeutung noch offen.
IT-Sicherheitsgesetz 2.0 heute in Kraft getreten
Von Paul Weissmann am 28. Mai 2021
Das neue IT-Sicherheitsgesetz 2.0 ist am 28. Mai 2021 in Kraft getreten, nachdem es im April und Mai 2021 von Bundesrat und Bundestag beschlossen und am 27. Mai im Bundesgesetzblatt veröffentlicht wurde. Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.
DE Briefing – Das neue IT-Sicherheitsgesetz 2.0
Die wichtigsten Änderungen im neuen KRITIS-Gesetz 2.0
Deutsch ∙ 12 Folien PDF ∙ Mai 2021
DE IT-Sicherheitsgesetz 2.0 und KRITIS-Neuerungen
Virtueller Erfahrungsaustausch zu den Auswirkungen vom IT-SiG 2.0
Online ∙ Registrierung über LinkedIn ∙ 17. Juni 2021 11:00-11:45
Webinar zum IT-Sicherheitsgesetz 2.0
Von Paul Weissmann am 25. Mai 2021
Ziel des Webinars ist ein virtueller, offener Austausch zur neuen KRITIS-Regulierung in 2021: Was bedeutet das für Betreiber? Und was kommt nach dem IT-Sicherheitsgesetz 2.0 noch?
- Neuerungen im IT-Sicherheitsgesetz 2.0: von Angriffserkennung bis zur Entsorgung
- KRITIS-Verordnung 2.0: mehr Anlagen, niedrige Schwellenwerte und +270 Betreiber
- Ausblick und Diskussion zu den Auswirkungen in der Praxis
DE IT-Sicherheitsgesetz 2.0 und KRITIS-Neuerungen
Virtueller Erfahrungsaustausch zu den Auswirkungen vom IT-SiG 2.0
Online ∙ Registrierung über LinkedIn ∙ 17. Juni 2021 11:00-11:45
EU RCE und Resilienz in Kritischen Infrastrukturen
Von Paul Weissmann am 18. Mai 2021
Die EU RCE Directive on the resilience of critical entities reguliert die Resilienz von EU Kritischen Infrastrukturen. RCE fordert Ausfallsicherheit der kritischen Dienstleistungen bei Betreibern, während EU NIS2 deren Cyber Security reguliert — beide schreiben Maßnahmen bei Unternehmen und staatliche Aufsicht vor.
EU RCE löst die bisherige ECI (European Critical Infrastructures) Direktive von 2008 ab und liegt seit Ende 2020 als Entwurf vor. Die Direktive muss wie NIS2 noch verabschiedet und in nationales Recht überführt werden.
EN Briefing – EU RCE Directive Resilience
New resilience requirements for EU operators with EU RCE
English ∙ 12 slides PDF ∙ May 2021
EU NIS2 – Der europäische Kontext
Von Paul Weissmann am 14. Mai 2021
Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems ist das erste EU-weite Gesetz über Cyber Security bei Betreibern von Essential Services. Die neue EU NIS2 erweitert die Sektoren und Cyber Security Pflichten deutlich:
Die NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt, ein Entwurf von NIS2 liegt seit 2020 vor und muss noch verabschiedet und in nationales Recht überführt werden.
EN Briefing – EU NIS2 Directive Cyber Security
Changes in cyber security for EU operators with updated EU NIS2
English ∙ 12 slides PDF ∙ May 2021
Critical Infrastructures in Germany and IT-SiG 2.0
Von Paul Weissmann on May 11, 2021
German critical infrastructure law is regulated by the IT security act, recently updated by the second version IT-Sicherheitsgesetz 2.0. IT-SiG 2.0 updates the German legislation with more cyber security requirements and extends the scope by at least 270 more operators.
New rules include cyber attack detection and more reporting to the government. More companies will be affected too — by lower thresholds and more asset types, the new waste management sector and companies called special public interest entities (UNBÖFI).
EN Briefing – German IT Security Act IT-SiG 2.0
Major changes in German IT security legislation with the IT-SiG 2.0
English ∙ 12 slides PDF ∙ May 2021
Unternehmen im besonderen öffentlichen Interesse – what?
Von Paul Weissmann am 6. Mai 2021
Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern nun auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) zur KRITIS-Regulierung. Viele dieser besonders schützenswerten Unternehmen haben als UNBÖFI neue KRITIS-light Security Pflichten:
- Rüstung: Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
- Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und
Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal für diese. - Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.
Diese Unternehmen im besonderen öffentlichen Interesse fallen mit den letzten Entwürfen vom IT-Sicherheitsgesetz 2.0 ab 2021 neu unter die Regulierung — mit neuen Rechtsfolgen und UNBÖFI-Pflichten für IT-Sicherheit.
KRITIS-Verordnung 2.0 – mehr Anlagen und Schwellenwerte
Von Paul Weissmann am 4. Mai 2021
Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-Verordnung auch die KRITIS-Anlagen und Schwellenwerte. Mehr Betroffenheit — für etwa 270 neue Betreiber.
Der Entwurf der neuen KRITIS-Verordnung senkt sechs Schwellenwerte bestehender KRITIS-Anlagen, fügt siebzehn neue Anlagen hinzu — weitere wurden umbenannt — und streicht fünf. Die wichtigsten Änderungen zum jetzigen Stand:
- Energie: 6 neue und 2 wegfallende Anlagen, 3 sinkende Schwellenwerte.
- Gesundheit: 1 neue und 2 wegfallende Anlagen.
- Transport: 6 neue und 1 wegfallende Anlage, 1 neuer Schwellenwert.
- IT und TK: 1 neue Anlage, 3 sinkende Schwellenwerte.
- Finanz- und Versicherungen: 3 neue Anlagen, Konsolidierung bei Versicherungen.
Eine Analyse der Auswirkungen und alle Anlagen im Artikel zu KRITIS-Anlagen 2.0.
IT-Sicherheitsgesetz 2.0 vom Bundestag beschlossen
Von Paul Weissmann am 29. April 2021 aktualisiert ⚡
Das neue IT-Sicherheitsgesetz 2.0 wurde am 23. April vom Bundestag in der Version vom Innenausschuss (19/28844) beschlossen. Zu den Entwürfen von Anfang 2021 hat sich nur wenig Wesentliches geändert — das IT-SiG 2.0 erweitert die Pflichten von Betreibern und Befugnisse vom Staat deutlich:
- Neue Pflichten für KRITIS-Betreiber
- Mehr betroffene Unternehmen und Sektoren
- Mehr Befugnisse für das BSI
- Höhere Sanktionen
- Verbraucherschutz
Update ⚡: Analyse der neuen KRITIS-Verordnung mit neuen Anlagen und Schwellenwerten im Abschnitt Schwellenwerte. Alle Anlagen auf der separaten KRITIS-Anlagen 2.0 Seite.
Für Betreiber neu — mehr KRITIS-Pflichten in der Angriffserkennung (SIEM/SOC) und mehr Informationen ans BSI, erstmalig kritische Komponenten im TK-Sektor. Neu betroffen sind der KRITIS-Sektor Entsorgung und die KRITIS-light Unternehmen im besonderen öffentlichen Interesse — nun neben Rüstung, Chemie und Konzernen auch deren Zulieferer.
Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.
OpenKRITIS – das unabhängige KRITIS-Nachschlagewerk
Von Paul Weissmann am 28. April 2021
OpenKRITIS ist ein unabhängiges Projekt für Cyber Security in Kritischen Infrastrukturen und wird seit April 2021 als Work in Progress veröffentlicht. Das Ziel ist, die vielen Informationen zu KRITIS und dem IT-Sicherheitsgesetz für Betreiber und Prüfer an einem Ort übersichtlich zusammenzuführen — für weniger STRG+F in Gesetzen und mehr Cyber Security.
Bis jetzt mit über 30 Artikeln zu: die KRITIS-Grundlagen und das ⚖ IT-Sicherheitsgesetz, die Pflichten von ♨ KRITIS-Betreibern und notwendige Cyber Security ☂ Maßnahmen. Mehr als fünf neue Artikel sind in Arbeit, der ganze Abschnitt zu ⚔ KRITIS-Prüfungen folgt bis zur nächsten Prüfsaison — alle Ausführungen werden fortlaufend aktualisiert.
OpenKRITIS basiert auf öffentlichen Quellen, den Gesetzestexten und Entwürfen sowie eigenen langfährigen KRITIS-Erfahrungen.