NIS2-Umsetzungsgesetz: Letzter Entwurf 2024

Von Hanna Lurz am 19. Dezember 2024

Es gibt einen neuen Referentenentwurf vom NIS2-Umsetzungsgesetz, vom 29. November 2024. Das Gesetz sollte 2024 in Kraft treten, verzögert sich aber sicherlich bis Mitte 2025.

Der November-Entwurf 2024 enhält noch folgende Änderungen:

• Definition kritischer Komponenten wurde von §2 Nr. 23 BSIG-E in die Rechtsverordnung nach §56 (7) verlagert, Angaben zum Einsatz kritischer Komponenten müssen bei der Registrierung gemacht werden §33 (2)
• Die Untersagung des Einsatzes kritischer Komponenten nach §41 wurde inhaltlich stark verändert mit analogen Änderungen in TKG und EnWG
• Die noch offenen KRITIS-Rechtsverordnungen sollen mit Anhörung der betroffenen Wirtschaftsverbände sowie Vertretern der Wissenschaft ausgestaltet werden §56
• Energiesektor: Neue Kategorie von Betreibern digitaler Energiediensten, die analog zu Netz- und Anlagenbetreibern mit IT-Sicherheitskatalog reguliert werden §5c (3)
• Unabhängigeres BSI: Stärkung der fachlichen Unabhängigkeit des BSI §1, jährliche Zielvereinbarung zwischen BMI und BSI, § 58 (3) jährlicher Bericht des BSI an den zuständigen Ausschuss über fachliche Unabhängigkeit und Einzelweisungen.
• Bundes-CISO: Die BSI-Leitung wird Bundes-CISO, operativ unabhängig und weisungsfrei, mit umfassenden Befugnissen zur Umsetzung von Verbesserungsvorschlägen oder zur Abwendung oder Behebung von Sicherheitsvorfällen in der Bundesverwaltung §48
• Neuer Artikel 8 zur Änderung der BSI-Kritisverordnung
• KRITIS-Verordnung: Bisherige Schwellenwerte werden nicht angepasst, kleinere sprachliche Anpassungen in den bestehenden Sektoren
• KRITIS-Verordnung: Aufnahme der digitalen Energiedienste analog zum EnWG
• KRITIS-Verordnung: Versicherungsleistungen aus dem Sektor Finanzwesen zu einem neuer Sektor herausgelöst: Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende mit Anlagenkategorien und Schwellenwerten in Anhang 9 (mit den bisherigen Versicherungsleistungen)

KRITIS-Dachgesetz: Neuer Entwurf November 2024

Von Paul Weissmann am 7. November 2024

Vom KRITIS-Dachgesetz, das von Betreiber kritischer Anlagen Maßnahmen zur Resilienz fordern wird, gibt es einen Regierungsentwurf. Seit dem letzten April-Entwurf haben sich im KRITIS-Dachgesetz viele Kleinigkeiten geändert. Das Gesetz sollte 2024 in Kraft treten, verzögert sich sicherlich bis Mitte 2025.

Das KRITIS-Dachgesetz enthält viele sinnvolle Forderung nach Resilienzmaßnahmen, BCM und Krisenmanagement bei Betreibern. Der verabschiedete November-Entwurf mit folgenden Änderungen:

• Die KRITIS-Sektoren wurden ein weiteres Mail umbenannt und umstrukturiert; weitestgehend aber nicht ganz deckungsgleich mit NIS2
• Der Sektor Versicherungen wurde entfernt, nur Sozialversicherungen bleiben übrig
• Die Zuständigkeit von Bundesbehörden wurden (wieder) angepasst
• Teilweise Kürzung der Resilienz-Maßnahmen, u.a. Personalsicherheit
• Änderungen bei Nachweisen und Verfahren: Das BBK prüft nicht nur bei Zweifeln
• Anpassung der Haftungsregeln für Geschäftsleitungen
• Anpassung der Bußgelder (Reduktion auf 500 Tsd.) und weniger Tatbestände
• Eine Menge Formalien und Textanpassungen

Vieles bleibt nach wie vor offen – und muss in Rechtsverordnungen (KRITIS-Verordnung) und Katalogen angepasst werden.

Orientierungshilfe Angriffserkennung 2024

Von Paul Weissmann am 30. Oktober 2024

Die Anforderungen der Orientierungshilfe für Angriffserkennung des BSI wurden im Sommer 2024 in die KRITIS-Anforderungen Konkretisierung der Maßnahmen integriert. Im lange überfälligen Schritt wurden die SzA-Anforderungen für Protokollierung, Detektion und Reaktion an die bestehenden 100 KRITIS-Anforderungen angefügt.

Die 35 Maßnahmen von BSI-101 bis BSI-135 fassen die Anforderungen für Angriffserkennung thematisch in der Konkretisierung für Betreiber und Prüfer zusammen. MUSS und SOLL-Anforderungen sind teilweise getrennt, teilweise zusammen.

ID	Kapitel	Thema	Anforderungen
SZA-A	Kap 1.2	Allgemeine Rahmenbedingungen	5	MUSS
SZA-P	BSI-101 bis BSI-103	Protokollierung und Logging	3 2	MUSS SOLL
SZA-D	BSI-104 bis BSI-116	Detektion und Vorfälle	13 3	MUSS SOLL
SZA-R	BSI-117 bis BSI-135	Reaktion auf Vorfälle	8 15	MUSS SOLL

Inhaltlich hat sich in der Angriffserkennung zwischen Orientierungshilfe von 2022 und der Konkretisierung der Maßnahmen von 2024 nicht viel geändert:

• Struktur angepasst, Nummerierung mit eigenen IDs (101 bis 135)
• Grundschutz-Referenzen einzeln zugeordnet, teilweise C5 (2016) Referenzen
• Themen sind leider teilweise sehr umfassend gebündelt (vor allem Protokollierung)
• MUSS/SOLL-Anforderungen teils sehr vermischt, SOLL-Anforderungen teils auch einzeln
• Kein Hinweis auf Reifegrad-Einstufung

Das OpenKRITIS-Mapping der Orientierungshilfe SzA zu C5 und ISO 27001 ordnet den einzelnen Anforderungen relevante Kontrollen für Angriffsserkennung der C5 und ISO-Standards zu.

Finaler Implementing Act Internet und IT

Von Hanna Lurz am 24. Oktober 2024

Für Internet und IT-Provider gibt es zwei verpflichtende Implementing Acts der EU, die Vorfallsmeldungen und Sicherheitsmaßnahmen aus EU NIS2 konkretisieren. Beide wurden im Oktober final veröffentlicht – der Annex konkretisiert für Internet-Provider in vielen Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das NIS2 Implementing Act Mapping ordnet die einzelnen Kontrollen ISO 27001 und C5 zu. Im Abgleich zum Entwurf von Juli 2024 haben sich im Oktober einige Änderungen ergeben:

• Sehr wenig materielle und inhaltliche Änderungen: Die Sicherheitsanforderungen sind größtenteils erhalten geblieben, die Zuordnungen zu C5 und ISO 27001 ebenfalls
• Leichte Kürzungen einzelner Unterpunkte: Risk Owner wurden entfernt, Detail-Zuständigkeiten vom Management etwas geschärft
• Mehr Ermessensspielraum in der Umsetzung durch Einfügen von where appropriate bei vielen Einzelkontrollen und bestimmten Technologien
• Einige Querverweise zwischen den Anforderungen wurden aufgenommen
• Konkretisierungen von Begriffen wie Data und Information und von Review-Zyklen
• Formelle Anpassungen und leichte Änderung der Struktur und Nummerierung

Der Implementing Act ist weiterhin eine hilfreiche Schablone zur Konkretisierung von NIS2-Maßnahmen, auch wenn die Anforderungen normativ nur für bestimmte Provider verbindlich ist.

Schulung Prüfverfahrenskompetenz Community Draft

Von Paul Weissmann am 22. Oktober 2024

Das BSI hat die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft vorgestellt. Die Schulung für KRITIS-Prüfer wurde nach den Erfahrungen der letzten Jahre neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung umfasst im aktuellen Draft für KRITIS-Anlagen und Betreiber Kritischer Anlagen:

• Grundlagen Kritischer Infrastrukturen
• Prüfvorgehen und Planung
• Grundlagenprüfung, Angemessenheits- und Wirksamkeitsprüfung
• Berichtswesen, Mängel

Das BSI sammelt zum Community Draft der Schulungsunterlagen (PDF, 301 Folien) und Schulungsleitfaden (PDF, 126 Seiten) Feedback. Weitere Entscheidungen zum weiteren Vorgehen müssen noch getroffen werden, wie Übergangsfristen, Anpassung weiterer Dokumente, Personenzertifizierung, neue NIS2-Aspekte).

Webseite des BSI mit Informationen und Unterlagen:
Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG

KRITIS-Dachgesetz: Neuer Entwurf April 2024

Von Paul Weissmann am 30. September 2024

Das KRITIS-Dachgesetz zur Steigerung der Resilienz von Betreibern kritischer Anlagen sollte eigentlich auch im Herbst diesen Jahres in Kraft treten. Der letzte öffentliche Entwurf lag schon einige Zeit zurück – der vor einigen Wochen publik gewordene April-Entwurf des Gesetzes aktualisiert nun einige Vorgaben, lässt aber vieles noch offen.

Das KRITIS-Dachgesetz fordert von Betreibern kritischer Anlagen, die auch in NIS2 reguliert werden, Resilienzmaßnahmen wie Krisen-Management, Risikoanalysen, Notfallvorsorge und mehr. Das Gesetz sollte 2024 in Kraft treten, viele Pflichten dazu erst 2026. Neuerungen im April:

• Die Pflichten für Resilienz bleiben bestehen und sind weiter unverbindlich(er) als NIS2.
• Sektoren und Dienstleistungen werden durch unterschiedliche zuständige Behörden reguliert: Viele Behörden vom BBK über BMI bis zu Landesbehörden.
• Große Menge textueller Änderungen und Präzisierungen, aber auch diverse Fehler.
• Änderungen am EnWG für Energiebetreiber sind enthalten.
• Generell deutlich aufgeweichte Zuständigkeiten im Bund und Ländern.
• Viele Pflichten treten erst zwei Jahre nach dem Gesetz in Kraft

Vieles im April-Entwurf bleibt aber noch offen – was in neueren Entwürfen noch überarbeitet werden muss oder schon wurde. Der Entwurf wirkt wie eine Zwischenversion – bis zur letzten Version wird sich noch einiges ändern. Ob das Gesetz noch 2024 veröffentlich wird, ist fraglich.

• Definition aller kritischer Dienstleistungen und deren Verantwortung
• Neue KRITIS-Rechtsverordnung(en) mit Definitionen zu Anlagen
• Konkretisierung der Resilienzmaßnahmen durch das BBK
• Neuer, weiterer (?) IT-Sicherheitskatalog der BNetzA für Resilienz
• Harmonisierung vom Dachgesetz mit den letzten NIS2-Entwürfen
• Auflösen der diversen Fehler

NIS2-Umsetzungsgesetz in Deutschland ab März 2025

Von Paul Weissmann am 19. September 2024

Das deutsche NIS2-Umsetzungsgesetz soll ab März 2025 in Kraft treten und noch Ende 2024 den Gesetzgebungsprozess durchlaufen. Eigentlich mit Frist im Oktober 2024 wird sich das NIS2-Gesetz nun scheinbar sechs Monate verzögern – so die aktuelle Planung der Regierung:

Version	Status	Datum	Akteur
NIS2-Umsetzungsgesetz	Referentenentwurf	Jun 2024	Innenministerium
NIS2-Umsetzungsgesetz	Beschluss	Jul 2024	Bundeskabinett
NIS2-Umsetzungsgesetz	1. Durchgang plan	Sep 2024	Bundesrat
NIS2-Umsetzungsgesetz	1. Lesung plan	Okt 2024	Bundestag
EU NIS2	Frist nationale Umsetzung EU	Okt 2024	Mitglied­staaten
NIS2-Umsetzungsgesetz	2./3. Lesung plan	Dez 2024	Bundestag
NIS2-Umsetzungsgesetz	2. Durchgang plan	Feb 2025	Bundesrat
NIS2-Umsetzungsgesetz	Inkrafttreten plan	Mar 2025	Bundesgesetzblatt

Die Pflichten in NIS2 beginnen in Deutschland damit spätestens ab 2025. Die bisherigen KRITIS-Gesetze und Vorgaben bleiben bis dahin in Kraft. Etwas unklar verbleibt weiterhin die Planung neuer, notwendiger KRITIS-Rechtsverordnungen und der Umgang mit 2025 terminierten KRITIS-Prüfungen. Hier sind noch Klärungen notwendig – aber der Zeitplan für Betroffene ist klar(er).

Neue GAiN-Anforderungen an KRITIS-Prüfungen 2024

Von Paul Weissmann am 23. August 2024

Das BSI hat 2024 aktualisierte Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) nach §8a (5) BSIG definieren normative BSI-Vorgaben für KRITIS-Prüfungen. Erwartungen für Prüfungen sind gesetzlich verbindlich geregelt und sind größtenteils durch die KRITIS-Prüfer umzusetzen.

Die Aktualisierung der GAiN-Anforderungen im August 2024 enthielt folgende Neuerungen:

• Umgang mit Zertifizierungen: Ein ganzer Block an Anforderungen regelt den Umgang mit bestehenden Zertifizierungen und Prüfugen genauer: Geltungsbereich, SoA, Mängel
• Geltungsbereich und Netzstrukturplan: Anforderungen an GBD und NSP wurden angepasst und erweitert, und sind nun verbindlich vom Prüfer zu bewerten
• Mängel und Mängelliste: Der Umgang mit Mängeln, Reifegraden unter 3 und alten Mängel voriger Prüfungen wurde konkretisiert und detailliert
• Vorlagen: Die Formulare des BSI wurden auch aktualisiert und sind verbindlich zu nutzen

Schwerpunkt der Aktualisierung ist der Umgang mit Mängeln und Zertifizierungen, wo Prüfer nun vieles genauer und formeller durchführen und dokumentieren müssen. Sonst noch einige Formalien und parallel Anpassung der BSI-Formulare.

Mehrfachregulierung und Ausnahmen in NIS2

Von Hanna Lurz am 8. August 2024

Mit NIS2 können Unternehmen als KRITIS-Betreiber und NIS2-Einrichtung mehrfach reguliert werden. In den letzten Entwürfen der NIS2-Umsetzung wurden die Ausnahmen für die Sektoren Energie und Telekommunikation präzisiert. Einrichtungen, die unter EnWG und TKG fallen, unterliegen nun meist keiner NIS2-Doppelregulierung mehr – aber es gibt Ausnahmen.

Beispiel	Geltungsbereich	Anforderungen
Stadtwerk Sektor Wasser	Unternehmen Einrichtung	NIS2
	Klärwerk Anlage	NIS2 KRITIS KRITIS-DachG
TK-Anbieter Sektor TK	Unternehmen Einrichtung	NIS2 (Ausnahmen)
	Telefonnetz TK-Anbieter	TKGKatalog BNetzA NIS2 (Ausnahmen)
Energieanbieter Sektor Energie	Unternehmen Einrichtung	NIS2 (Ausnahmen) IT-SiKat unklar
	Stromverteilnetz Anlage	§5c EnWG IT-SiKat BNetzA KRITIS-DachG NIS2 (Ausnahmen)

NIS2 Generell sind von NIS2 betroffene Unternehmen vollständig von allen NIS2-Pflichten betroffen. Für mehrfach regulierte Unternehmen wie TK und Energie sind aber Teile vom Unternehmen und Teile der NIS2-Pflichten ausgenommen.

KRITIS Die bisherigen KRITIS-Betreiber werden in NIS2 zu Betreibern kritischer Anlagen, wenn sie eine Anlage über Schwellenwerten betreiben, und automatisch auch zu einer besonders wichtigen Einrichtung. Als Einrichtung müssen sie NIS2-Security Vorgaben und im Bereich der KRITIS-Anlage zusätzliche erhöhte Anforderungen sowie das KRITIS-Dachgesetz umsetzen.

TK Anbieter von Telekommunikation unterliegen mehrfacher Regulierung. Neben TKG und BNetzA werden einige Unternehmen auch als Einrichtung durch NIS2 reguliert. Im Bereich des TK-Betriebs gelten Anforderungen aus TKG und BNetzA-Sicherheitskatalog gelten, in der ganzen Einrichtung (verminderte) NIS2-Anforderungen.

Energie Unternehmen im Energie-Sektor können Einrichtungen in NIS2 (nach Größe) oder zusätzlich Betreiber kritischer Anlagen sein, wenn sie kritische Anlagen über Schwellenwerten betreiben. Mindestens in den Anlagen gelten dann EnWG und BNetzA IT-Sicherheitskatalog sowie KRITIS-Dachgesetz, im restlichen Unternehmen (verminderte) NIS2-Anforderungen.

up

NIS2-Umsetzung im Kabinett beschlossen

Von Paul Weissmann am 24. Juli 2024

Das NIS2-Umsetzungsgesetz wurde Ende Juli 2024 im Bundeskabinett beschlossen. Grössere Änderungen zu den letzten Referentenentwürfen von Mai und Juni diesen Jahres gab es nicht.

Die Pflichten für Betreiber bleiben gleich, an Sektorausnehmen und Zuständigkeiten im Bund ändern sich wieder einige Konstellationen. Paragraphen und Definitionen wurden abermals angepasst und erwartete Aufwände für den Bund deutlich reduziert.

• Weitere Anpassungen vom Geltungsbereich in der Telekommunikation und Energie, damit verbunden weitere Erweiterung der NIS2-relevanten Pflichten in TKG und EnWG.
• Definitionen betroffener Bundeseinrichtungen wurden weiter präzisiert, Ausschlüsse teils wieder gestrichen
• Die angenommenen Aufwände und Personal-/Budgetbedarf auf Bundesebene wurden drastisch reduziert (sicherlich auch im Hinblick der Haushaltslage).
• Paragraphen im Gesetz umstrukturiert, ebenso Artikel angepasst.
• Die separaten KRITIS-Sektoren sind nicht mehr im Gesetz definiert, Verweis auf die neue KRITIS-Verordnung.

Es folgt nun der weitere Weg der Gesetzgebung über Bundestag und Bundesrat. Ein Inkrafttreten Anfang 2025, drei Monate nach Frist, scheint damit realistisch.

Mehr und tiefere Prüfungen in NIS2 ab 2025

Von Paul Weissmann am 11. Juli 2024

Mit der NIS2-Umsetzung müssen Einrichtungen, neben der Dokumentation der Maßnahmen, die Umsetzung teilweise auch prüfen lassen. Betreiber kritischer Anlagen werden zu Prüfungen, wie in KRITIS, nun alle drei Jahre verpflichtet. Besonders wichtige Einrichtungen können durch das BSI nach Stichproben geprüft werden oder zu Nachweisen verpflichtet werden.

	Betreiber kritischer Anlagen		Einrichtungen
			Besonders wichtig	Wichtig
Gesetz	NIS2UmsuCG	DachG	NIS2UmsuCG	NIS2UmsuCG
Zeitraum	(ab 2025)	ab 2026	(ab 2025)	(ab 2025)
Pflicht	§39 (1)	§11	§63	§64
Form	Audits	Audits	Stichproben durch BSI
Inhalt	IT-Sicherheit Meldepflicht SzA	Resilienz	IT-Sicherheit Meldepflicht	IT-Sicherheit Meldepflicht
Scope	Kritische Anlage	Kritische Anlage	Unternehmen	Unternehmen
Frequenz	alle drei Jahre	Stichproben	Stichproben	bei Anlass
Empfänger	BSI	BBK	BSI	BSI

Die Nachweispflicht für Betreiber kritischer Anlagen ist in §39 definiert, Prüfungen im neuen Zyklus werden wohl 2025 beginnen. Nachweise für besonders wichtige Einrichtungen sind in §63 festgelegt – das BSI darf Nachweise anfragen, Einrichtungen zu Prüfungen verpflichten u.v.m., basierend auf Stichproben und Anhaltspunkten. Wichtige Einrichtungen in §64 analog.

Im KRITIS-Dachgesetz gibt es aktuell keine eigenen Prüfungen mehr, sondern eine Erweiterung der neuen Nachweisprüfungen von Betreibern unter NIS2 um Resilienzthemen.

Folien CSK-Keynote NIS2 und DORA-Webinar

Von Paul Weissmann am 4. Juli 2024

Die Folien der Vorträge bei der Keynote des CSK-Summits im Juli von IT-SICHERHEIT und <kes> und vom OpenKRITIS-Webinar zu IT-Providern sind nun online. Beide Vorträge beleuchteten Betreiber in NIS2, die ab 2024/2025 mehrfacher Regulierung für Cybersecurity unterliegen.

IT-Dienstleister mit Finanzkunden könnten durch DORA zu kritischen IKT-Dienstleistern mit zusätzliche Cybersecurity-Pflichten und starker Aufsicht werden. Betreiber im Energiesektor und der Telekommunikation unterliegen neben NIS2 teilweise noch Sektorregulierung von EnWG und TKG – mit vielen Cybersecurity-Pflichten. Was gilt nun in welchem ISMS?

NIS2 Implementing Act Mapping ISO 27001 und KRITIS

Von Paul Weissmann am 1. Juli 2024

Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben in Deutschland das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2 für bestimmte Betreiber.

Für Internet Provider gibt es zwei verpflichtende Implementing Acts für Vorfallsmeldungen und Sicherheitsmaßnahmen. Beide sind nun in einer Commission Implementing Regulation als Entwurf veröffentlicht worden – der Annex konkretisiert für Internet-Provider in 159 Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das OpenKRITIS NIS2 Implementing Act Mapping ordnet die Controls den Standards ISO 27001 und KRITIS zu – und findet einige Abweichungen:

• Starker Fokus auf Krisenmanagement, Business Continuity (BCM) und Vorsorge
• Schwerpunkt auf Review- und Verbesserungen in allen Einzelthemen
• Regelmäßiger expliziter Einbezug von Drittparteien und Externen
• Einige sehr spezifische Anforderungen (Netzwerke, Accounts, Systeme)
• Existierende ISMS-Controlsets werden dafür erweitert werden müssen
• Manche Lücken könnten durch Management Systeme abgefangen werden

Für betroffene Betreiber bleibt einiger Arbeitsbedarf.

Letzter Referentenentwurf NIS2-Umsetzung Juni

Von Paul Weissmann am 28. Juni 2024

Der nächste und möglicherweise letzte Referentenentwurf der deutschen NIS2-Umsetzung wurde, nach Verbändeabstimmung, Ende Juni 2024 vom BMI veröffentlicht.

Im Entwurf ändert sich nicht mehr allzuviel, wie zu erwarten: Die Pflichten bleiben gleich, an der Betroffenheit und Zuständigkeiten ändern sich wieder einige Konstellationen. Daneben hat der Gesetzgeber abermals Struktur, Definitionen und Argumentationen angepasst.

• Konkretisierung und Einschränkung vom Geltungsbereich Telekommunikation und Energie, Aufheben der Doppelregulierung durch §30 NIS2-Maßnahmen
• Umbenennung Sektoren: IT und TK in Digitale Infrastruktur, Finanz- und Versicherungswesen in Finanzwesen
• Anpassungen Zuständigkeiten Bund
• Anpassungen und Ausblick (KRITIS-Verordnung) zu Zuständigkeiten KRITIS-Anlagen
• Umstrukturierung Paragraphen
• Haftungsregeln und Verantwortung Geschäftsleitung §38 präzisiert
• Bußgelder und Sanktionen wieder umgeschrieben und umsortiert (Effekt noch TBD)

Die Änderungen an Sektorgesetzen wie TKG und EnWG blieben größtenteils gleich – dafür wurden Teile der Doppelregulierung aufgehoben. Eine konkretes Datum zum Inkrafttreten fehlt diesmal, es scheint aber, dass das Bundeskabinett im Sommer den Gesetzesentwurf diskutiert. Vielleicht tritt das Gesetz dann doch (fast) fristgemäß in Kraft?

DORA-Mapping auf NIS2, ISO 27001 und C5

Von Hanna Lurz am 7. Mai 2024

Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für Finanzunternehmen und kritische IKT-Drittdienstleister wie Cloud Provider vor. Für diese IT-Provider ordnet das OpenKRITIS DORA-Mapping die einzelnen Anforderungen aus DORA aufgeschlüsselt verschiedenen Cybersecurity-Standards zu:

• NIS2-Umsetzung: Vorgaben aus dem NIS2-Umsetzungsgesetz für Einrichtungen.
• C5:2020: Standard vom BSI für Informationsssicherheit in Cloud Computing.
• ISO/IEC 27001:2022: Informations­sicherheit im ISMS und Annex A-Kontrollen.

Das OpenKRITIS DORA-Mapping auf NIS2 schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf, gruppiert thematisch und weist einzelne Pflichten NIS2, C5:2020 und ISO 27001:2022 Kontrollen zu – alles als Draft.

NIS2-Umsetzungsgesetz Referentenentwurf Mai

Von Paul Weissmann am 9. Mai 2024

Der aktuelle Referentenentwurf der deutschen NIS2-Umsetzung wurde im Mai 2024 vom BMI veröffentlicht. Der Entwurf vom NIS2UmsuCG dient der Verbändeabstimmung bis Anfang Juni und soll am 1. Oktober 2024 in Kraft treten – so der Entwurf in Artikel 29.

Es ändert sich nicht viel für Betreiber zu den letzten bekannten Entwürfen: Pflichten bleiben im Grunde gleich, an der Betroffenheit und Zuständigkeit im Bund ändern sich Randfälle. Sonst gibt es viele Änderungen an Struktur, Definitionen – ohne tiefe Folgen für Betreiber.

• Präzisierung der Betroffenheit im NIS2-Sektor Chemie auf NACE 20
• Anpassung weiterer Definitionen in NIS2-Sektoren und Betreibern (IXPs, CDNs, Weltraum)
• Definition der regulierten Einrichtungen: Reihenfolge angepasst, Finanz­unternehmen sind nun (doch) Einrichtungen aber von Pflichten ausgenommen, Pflichten angepasst
• Betroffenheit der öffentlichen Hand: Mehr Ausschlüsse (Kammern, IHKn, Auswärtiges Amt, Nachrichtendienste) und umgeschriebene Ausschlüsse (öffentliche IT und Cloud Provider)
• Authentizität nun kein explizites Schutzziel mehr bei §30 Maßnahmen
• Konformitätsbewertung neu hinzugekommen
• Bußgeldvorschriften angepasst in Tatbeständen und Höhe (kompliziert)
• Pflicht zur Teilnahme am Informationsaustausch für Einrichtung fällt weg

Dafür enthält der Entwurf vom NIS2UmsuCG nun die meisten Änderungen am EnWG für Energie­betreiber und TKG für Telekommunikationsanbieter. Wenig überraschend – die parallele Regulierung mit BNetzA bleibt bestehen + neue EnWG-Sicherheitskataloge. Dafür erbt das TKG §30 NIS2-Maßnahmen in §165 TKG-E – und dafür vielleicht keinen neuen Sicherheitskatalog.

Weitere bemerkenswerte Annahmen im Entwurf, vor allem in der lesenswerten Begründung:

• Prognose der Einrichtungen steigt auf 8.250 (besonders wichtig) und 21.600 (wichtig)
• Das BSI geht von 24 BSI-Prüfungen nach §65 bei Einrichtungen pro Jahr aus
• Der Gesetzgeber geht von 2,1 Mrd. EUR einmaligem und 2,1 Mrd. jährlichem Aufwand für neue Einrichtungen aus, vor allem durch Anpassung digitaler Geschäfts­prozesse
• Drei Millionen Geschäftsleiter und Mitarbeiter müssen pro Jahr für NIS2 geschult werden.
• Über 1.500 neue Stellen im Bund, davon 549 beim BSI für neue Aufgaben und Pflichten

Ob dieser Entwurf den Prozess der Gesetzgebung bis zum 1. Oktober 2024 schafft?

DORA und NIS2 im Finanzsektor

Von Hanna Lurz und John Bauer am 29. April 2024

Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.

• Betroffen: Finanzunternehmen wie Kreditinstitute, Versicherungen + IKT-Drittdienstleister
• Finanzunternehmen: Risikomanagement, Cybersecurity, Resilienz, Providersteuerung, Tests
• Dienstleister: Governance, Risikomanagement, technische Sicherheit, Audits
• Sanktionen: Mitgliedsstaaten legen Sanktionen fest, Behörden verhängen
• Fristen: DORA gilt als EU-Vorgabe direkt und muss ab Januar 2025 angewendet werden
• Aufsicht: Finanzunternehmen unterliegen nationalen Behörden, IKT-Dienstleister der EU

DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.

Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.

NIS2-Mapping auf Standards

Von Paul Weissmann am 9. April 2024

Das OpenKRITIS-Mapping von NIS2 zu Security-Standards erleichtert die Zuordnung der Sicherheits­maßnahmen bei betroffenen Einrichtungen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) fordern Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS und werden im Mapping folgenden Standards zugeordnet:

• BSI Konkretisierung: Anforderungen vom BSI als Nachweis für Betreiber.
• ISO 27001:2022: Informations­sicherheit der Annex A Kontrollen.

Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts noch konkretisiert und detailliert werden. Bis dahin bleibt diese Zuordnung die einzige Orientierung.

Das OpenKRITIS-Mapping auf KRITIS und ISO 27001 schlüsselt die Absätze und Listen aus §30 BSIG-E in einzelne Anforderungen auf und passt den Text mit Ergänzungen leicht an.

Unternehmen im besonderen öffentlichen Interesse

Von Paul Weissmann am 26. März 2024

In NIS2 gibt es die Unternehmen im besonderen öffentlichen Interesse (UBI) nicht mehr als eigene Gruppe. Eingeführt mit dem IT-Sicherheitsgesetz 2.0, wurden die UBI parallel zu KRITIS-Betreibern mit eigenen, abgestuften UBI Cybersecurity-Pflichten reguliert.

Viele Definitionen und Klarstellungen fehlten seitdem – und mit NIS2 verschwinden die UBI fast. Die UBI fallen als explizite Kategorie weg und gehen größtenteils in NIS2-Einrichtungen auf:

UBI 1 Rüstung könnten als Produzenten der folgenden Güter von NIS2 betroffen sein, u. a.:

• NACE C 26: Optik, Kommunikation, Elektronik, Radar, GPS, Antennen
• NACE C 27: Elektrik, Schaltungen und weiteres
• NACE C 30.3: Luft- und Raumfahrt, Hubschrauber, Flugzeuge, Teile, Raketen, Bodengeräte
• NACE C 30.4: Militärische Kampffahrzeuge, Panzer, Amphibien- und sonstige Fahrzeuge

UBI 2 Volkswirtschaft sind von NIS2 betroffen, wenn sie als Einrichtung Größen überschreiten und in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft, auch UBI.

UBI 3 Gefahrstoffe sind in NIS2 im Sektor Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:

• Hersteller und Händler von chemischen Stoffen Art. 3 Nr. 9, 14 (EG) 1907/2006
• Produzenten von chemischen Erzeugnissen im Sinne Art. 3 Nr. 3 (EG) 1907/2006

Die eigenen UBI-Pflichten (§8f BSIG 2021) fallen ebenfalls weg und werden von den regulären NIS2-Pflichten für Einrichtungen abgelöst. Viel zu tun – und die Liste der NACE-Güter ist lang.

Energiesektor, NIS2 und EnWG

Von Hanna Lurz am 8. März 2024

Auch mit der NIS2-Umsetzung bleibt im Energiesektor ab 2024 Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen fallen in einigen Betriebsteilen weiterhin unter separate Regulierung im Energiesektor mit dem EnWG, parallel zu NIS2 und KRITIS. Der Dezember-Entwurf der NIS2-Umsetzung passt das EnWG in vielen Teilen an.

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) wahrscheinlich keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen. Es gelten dann die Anforderungen §5c EnWG (neuer Paragraph im Entwurf, der die bisherigen §11-Anforderungen ersetzt):

• Energie­versorgungsnetze und Energieanlagen müssen ihre IT im Anlagen- und Netz­betrieb schützen mit neuen BNetzA IT-Sicherheitskatalogen. Diese Kataloge müssen mindestens §30-Maßnahmen aus BSIG-E (NIS2UmsuCG) und Angriffserkennung umfassen
• Maßnahmen müssen dokumentiert, Mängel beseitigt werden, das BNetzA darf die Umsetzung überprüfen und Maßnahmen vornehmen.
• Sicherheitsvorfälle müssen ans BSI gemeldet werden, weiterhin diverser Austausch mit der BNetzA und weitere Informationspflichten. Betreiber müssen sich beim BSI registrieren, das dann an die BNetzA übermittelt.

Weiterhin wird es für Energiebetreiber verschiedene Sicherheitskataloge der BNetzA geben.

Katalog	gültig	Betreiber und Anlagen
IT‑Sicherheitskatalog §11 Abs. 1a EnWG	2015	Betreiber von Energieversorgungsnetzen Stromübertragungs- und -verteilnetze Gasübertragungs- und -verteilnetze
IT‑Sicherheitskatalog §11 Abs. 1b EnWG	2018	Betreiber von Energieanlagen nach KRITIS-Verordnung Erzeugungsanlagen Steuerung/Bündelung elektrischer Leistung Zentrale standortübergreifende Steuerung Gas
IT-Sicherheitskatalog neu EnWG	2024?	Betreiber von Energieversorgungsnetzen ersetzt Katalog §11 Abs. 1a für NIS2UmsuCG
IT-Sicherheitskatalog neu EnWG	2024?	Betreiber von Energieanlagen ersetzt Katalog §11 Abs. 1b für NIS2UmsuCG

Die OpenKRITIS Summer School

Von Paul Weissmann am 6. März 2024

Die OpenKRITIS-Workshops Sommer 2024 richten sich an Unternehmen, die einen fokussierten Einstieg in die NIS2 und KRITIS-Regulierung ab 2024 suchen. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt. Neben Wissensvermittlung liegt der Schwerpunkt auf Interaktion im Plenum zu Fallbeispielen – eigene Fragen sind erwünscht!

Programm OpenKRITIS-Workshops 2024, Stand März 2024, Agenda kann sich ändern

ID	Thema	Teilnehmer	Termin
S24.1	NIS2 und KRITIS-Betroffenheit – und nun? Grundlagen und erste Schritte für (neu) betroffene Firmen. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.	Max. 6	4. Juni 2024 9:30-12:30 online
S24.2	German Critical Infrastructure requirements: KRITIS and NIS2 Introduction to German KRITIS and NIS2 regulation. Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps.	Max. 6	11. Juni 2024 9:30-12:30 online
S24.3	Betreiber mit Mehrfach-Regulierung: BSI, BNetzA, TKG & EnWG Mit NIS2 bleibt mehrfache Regulierung (leider) erhalten. In Energie und Telekommunikation fallen Anbieter neben KRITIS und NIS2 auch unter TKG, EnWG und BNetzA-Sicherheits­kataloge. Was gilt nun wo? Wir besprechen Wege, damit umzugehen.	Max. 6	13. Juni 2024 9:30-12:30 online
S24.4	Konzerne und Auslandsgesellschaften mit EU NIS2 Die Auswirkungen von NIS2 auf Konzernverbünde in EU-Staaten. Konzerne fallen mit Legaleinheiten und Landesgesellschaften unter NIS2 – in EU-Jurisdiktionen mit unterschiedlichen Regeln. Wir beleuchten den Umgang mit Betroffenheit und Registrierung.	Max. 6	18. Juni 2024 9:30-12:30 online

Die OpenKRITIS-Konferenz am 12. März 2024

Von Paul Weissmann am 5. März 2024

Nur noch eine Woche bis zur OpenKRITIS-Konferenz 2024 – mit Talks von Betreibern und BSI!
Unternehmen können von den Erfahrungen anderer Betreiber aus vielen Jahren KRITIS lernen. In vier Blöcken beleuchten Verantwortliche aus der Industrie aktuelle Themen aus der gelebten Praxis Kritischer Infrastrukturen, (fast) ohne Berater.

1. Strategie: Erfahrungen aus dem Aufbau von KRITIS bei Betreibern
2. Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
3. Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
4. Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
5. Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)

Die OpenKRITIS-Konferenz 2024 findet am 12. März 2024 ganztägig virtuell statt.

Der Staat als Kritische Infrastruktur

Von Paul Weissmann am 4. März 2024

Der Sektor Staat und öffentliche Verwaltung gehören seit langem zu Kritischen Infrastrukturen. Trotzdem waren staatliche Organe und die öffentliche Verwaltung von vielen KRITIS-Pflichten ausgenommen. Mit NIS2 und KRITIS-Dachgesetz wird die Bundesverwaltung ab 2024 nun etwas mehr reguliert – es bleiben aber immer noch Lücken.

Während die EU-Direktive NIS2 große Teile der Regierung in mehreren Ebenen reguliert, gibt es im Bundesgesetz dafür viele Ausnahmen. Länder und Kommunen sind nicht explizit vom deutschen NIS2-Umsetzungsgesetz benannt, es soll aber NIS2-Landesgesetze geben.

eigene Zusammenstellung Stand März 2024

Ebene	Einrichtungen	Out of scope (wahrscheinlich)
Bund	Stellen des Bundes Körperschaften, Anstalten des öffentlichen Rechts Öffentliche IT-Dienstleistunger Bund Bundesministerien Bundeskanzleramt	Sicherheitsbehörden des Bundes Strafverfolgungsbehörden Nationale Sicherheit Institutionen soziale Sicherung Geschäftsbereich Verteidigung
Länder	wartet auf Landesgesetze	Landesregierungen, Landesministerien Öffentliche Verwaltung Landesebene Landesbehörden IT-Dienstleister und Rechenzentren Strafverfolgung und Polizeien der Länder Hochschulen und Bildungswesen
Kommunen	Kommunale Eigenbetriebe (AöR, GmbH, ...) Stadtwerke, Heizkraftwerke Krankenhäuser und Gruppen Entsorger Wasser- und Abwasserwerke IT-Dienstleister und Rechenzentren	Kommunale Verwaltung und Regierung Ämter, Stadthäuser, Zentren Kommunale Behörden Feuerwehr Kommunale Polizei, Stadtpolizei Schulen, Volkshochschulen Betreuuung Unklar: Kommunale Zweckverbänden

Einreichung von Nachweisen in KRITIS-Prüfungen

Von Hanna Lurz am 1. März 2024

KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cyber­security Maßnahmen in ihren KRITIS-Anlagen alle zwei, bald alle drei Jahre durch KRITIS-Prüfungen nachweisen. In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel, die als Teil der Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen.

Im Abschluss der Prüfung kommt es dabei häufig zu Nachfragen und Nachforderungen durch das BSI, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte:

• Die verbindlichen GAiN-Anforderungen müssen berücksichtigt werden.
• Nachweise müssen die Prüfung von Systemen zur Angriffserkennung enthalten.
• Alle Nachweisunterlagen müssen pünktlich eingereicht werden und vollständig sein: Formular KI und P, Anlagen PD.A, PD.B, PE.A, PS.A, PD.C und ggf. optionale
• Nachweisdokumente müssen in Deutsch eingereicht werden; Bericht kann Englisch sein.
• Die Unabhängigkeit der Prüfer wird durch die prüfenden Stellen geprüft.
• Einreichung per Melde- und Informationsportal (MIP) oder Mail (S/MIME).

Zur erfolgreichen Einreichung veranstaltet das BSI auch eine Videokonferenz am 5. März 2024 unter dem Titel Nachweise gemäß § 8a Abs. 3 BSIG “ We have a dream …” (mit Anmeldung).

Meldepflichten in der NIS2-Umsetzung

Von Hanna Lurz am 22. Februar 2024

Mit der deutschen NIS2-Umsetzung kommen ab Ende 2024 auf betroffene Einrichtungen viele neue Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen – in Umfang, Fristen und Pflichten.

Besonders wichtige Einrichtungen, Betreiber kritischer Anlagen und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Meldepflichten durch das KRITIS-Dachgesetz an das BBK kommen noch dazu.

• Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, innerhalb von 24h
• Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung) innerhalb 72h
• Zwischenmeldungen auf Nachfrage des BSI
• Abschlussmeldung innerhalb eines Monats mit Ursachen, Maßnahmen, Auswirkungen
• Alternativ eine Statusmeldung, falls der Vorfall noch andauert
• Betreiber kritischer Anlagen mit Zusatzpflichten
• Sektor Finanzen, Versicherung, IT und TK, Digitale Dienste mit Zusatzpflichten

Die verschiedenen Arten von Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: Es gibt erhebliche Sicherheitsvorfälle, Sicherheitsvorfälle, Beinahevorfälle und erhebliche Cyberbedrohungen, die in den Meldepflichten eine Rolle spielen. Diese Vorgaben können durch Rechtsverordnung (BMI) oder einen Implementing Act (EU) angepasst werden.

Je nach Sektor und Vorfallsart, müssen manche Einrichtungen zusätzlich zum BSI auch die Kunden ihrer Dienste über erhebliche Sicherheits­vorfälle und erhebliche Cyberbedrohungen informieren – teils inklusive Gegenmaßnahmen.

Umsetzung von NIS2 in EU-Mitgliedsstaaten

Von Henri Jäger am 2. Februar 2024

EU-Mitglieds­staaten müssen EU NIS2 bis Oktober 2024 in nationales Recht umsetzen. Fast alle EU-Länder arbeiten an der Umsetzung — der Umsetzungsstand variiert jedoch stark zwischen den EU-Staaten. Die Gesetzgebung in einigen Ländern ist bereits weiter fortgeschritten und befindet sich im öffentlichen Diskurs, so u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien.

Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.

Status	Länder
Informationen zu EU NIS2 vorhanden	Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien
Wenig zu NIS2 auffindbar	Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn, Zypern

Der Artikel zu NIS2 in EU-Mitgliedsstaaten fasst unsere Erkenntnisse im Januar 2024 zusammen. Die Informationslage ist eher uneinheitlich — bei vielen Ländern haben wir keine und nur sehr wenige öffentlichen Informationen gefunden. Ergänzungen und Aktualisierungen folgen.

Webinar EU NIS2 Implementation in EU Countries

Von Paul Weissmann am 16. Januar 2024

Wie wird EU NIS2 in der EU umgesetzt? Und wie gehen Mitgliedsstaaten die nationalen Gesetze zur Umsetzung von NIS2 an? Im OpenKRITIS-Webinar am 27. Februar 2024 besprechen wir EU NIS2 und die Umsetzung in ausgewählten EU Member States – Belgien, Deutschland, Finnland, Kroatian, Tschechien.

• Unterschiede in den NIS2-Pflichten: Registrierung, Meldewesen, Sicherheits­maßnahmen
• Aktueller Status der Umsetzung und Zeitleiste für 2024
• Behörden und Zuständigkeiten für NIS2
• Nationale Gesetzgebung in: BE, DE, CZ, FI, HR

Es gibt so viele nationale Unterschiede in der Umsetzung der Registrierung, Audit-Pflichten, Befugnisse von Behörden — und viel Unklarheit, welche Pflichten wo und wann verbindlich werden. All das im freien OpenKRITIS-Webinar am 27. Februar 2024, auf Englisch. Registrierung über LinkedIn, Durchführung per Teams.

KRITIS-Dachgesetz – der zweite Entwurf

Von Paul Weissmann am 2. Januar 2024

Ende Dezember 2023 wurde der zweite Entwurf vom KRITIS-Dachgesetz veröffentlicht. Das KRITIS-DachG wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken und setzt die EU CER-Richtlinie (EU 2022/2557) um. Unter das Gesetz fallen ab 2024 die Betreiber kritischer Anlagen, ex-KRITIS, mit zusätzlichen Resilienz-Pflichten.

Auch im zweiten Entwurf vom DachG sind die Vorgaben und Fristen für Betreiber eher milde. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen treten erst 2026 in Kraft. Im Entwurf von Dezember wurden einige Vorgaben angepasst, reduziert und mit NIS2 harmonisiert:

• Betreiber: Die parallele Definition der Einrichtungen (NIS2) wurde entfernt
• Sektoren: Definitionen wurden mit der NIS2-Umsetzung harmonisiert
• Nachweise: Keine reguläre Nachweispflicht mehr für Betreiber
• Registrierung: Frist zur eigenen Registrierung beim BBK erst nach drei Monaten
• BBK und BSI: Mehr Harmonisierung gemeinsamer Abläufe mit dem BSI
• Staat: Deutliche Einbindung von Landesbehörden
• Kritische Komponenten wurden gestrichen
• Verantwortung für Geschäftsleiter wurde aufgenommen (à la NIS2)

Die Bundesregierung schätzt für die Wirtschaft einen jährlichen Erfüllungs­aufwand im hohen dreistelligen Millionen­bereich. Der Entwurf nimmt an, dass 1.300 Betreiber kritischer Anlagen über keine ausreichende physische Resilienz verfügen. Die Kosten für Resilienz-Vorgaben seien zehn Mal so hoch wie für Vorgaben zu IT-Sicherheit.

Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder und Einmalaufwand von 6 Mio EUR. Neue Planstellen sind noch unklar.

NIS2-Umsetzung und Werkstatt­gespräch

Von Paul Weissmann am 15. November 2023

Im Oktober fand ein Werkstatt-Gespräch zwischen Innenministerium und Wirtschafts­verbänden zur NIS2-Umsetzung statt. Besprochen wurde das Diskussionspapier zum NIS2-Umsetzungsgesetz und diverse Änderungs­wünsche.

Entschärfte der Gesetzesentwurf aus September 2023 im Diskussionspapier die NIS2-Anforderungen in Deutschland schon deutlich, gab es nun viele weitere Kommentare. In den öffentlichen Folien vom BMI zum Gespräch in der Werkstatt sind nun die Reaktionen des Bundes zu diesen Wünschen enthalten.

1. Bemerkenswerte Aspekte aus den Folien: Prüfungen sollen nur noch alle drei Jahre für Betreiber kritischer Anlagen stattfinden – für Einrichtungen soll es keine Nachweis­pflicht, dafür eine mögliche Dokumentations­pflicht geben. Generell soll der Scope der §30 NIS2-Sicherheits­maßnahmen das ganze Unternehmen umfassen.
2. Diverse Vorschläge hat das Innenministerium laut Folien abgelehnt. So ist es gegen den generellen Ausschluss kleiner und mittlerer Unternehmen sowie konzern­eigener IT-Dienstleister. Es ist aber auch gegen die Aufnahme von Kommunen und Ländern in die NIS2-Regulierung. Weiterhin sollen die Meldefristen nicht verlängert werden und die Size-cap-Regeln zur Größen­bestimmung nicht weiter angepasst (beschnitten) werden.
3. Sonst noch relevante Änderungen und Anpassungen: Definitionen sollen harmonisiert werden (zu Gesetzen, Branchen) und einige Formalien und Vorgaben am Rande des Gesetzes klargestellt werden. Die besonderen Anforderungen an kritische Anlagen sollen auf den Unternehmensteil beschränkt bleiben (die Prüfungen aber nicht?).
4. Es sind weiterhin keine Übergangsfristen in der NIS2-Umsetzung erkennbar!
5. – und vieles mehr

Aber, viele Aspekte der NIS2-Umsetzung blieben zumindest in den Folien unbesprochen:

• Unterschiedliche Sektor­definitionen bei Einrichtungen und Betreibern kritischer Anlagen
• Aufnahme der §30-Maßnahmen in TKG und EnWG und konkrete Ausgestaltung mit weiterführenden Sicherheitskatalogen
• Konkretisierung der §30 Maßnahmen für Cloud-Provider & Co. im EU Implementing Act
• Klärung, wann die (neuen) Nachweispflichten beginnen – wirklich erst 2027?
• Ändern sich die bisherigen Anlagen und Schwellenwerte für KRITIS noch in NIS2?
• Was ist mit Versicherungen (und dem Finanzsektor) in NIS2?

Die Änderungen sollen in einem weiteren Referentenentwurf für die NIS2-Umsetzung an verarbeitet werden; zusätzlich stehen auch noch weitere KRITIS-Verordnung(en) aus.

Verarbeitendes Gewerbe in NIS2

Von Paul Weissmann am 27. Oktober 2023

Der Sektor verarbeitendes Gewerbe gehört ab 2024 zur deutschen NIS2-Regulierung. Mit EU NIS2 werden die schützens­würdigen Wirtschafts­sektoren sehr viel weiter als klassische Kritische Infra­strukturen gefasst. Ein großer Teil der EU-Wirtschaft muss bald Cybersecurity und Risiko-Management umsetzen – darunter auch Industrie und Produktion.

Breit gefasst, umfasst der Sektor verarbeitendes Gewerbe viele Güterklassen nach NACE:

• Herstellung Medizinprodukte und In-vitro-Diagnostika
• Herstellung von DV-Geräten, Elektronik und Optik (NACE C 26 und 27)
• Maschinenbau (NACE C 28)
• Herstellung von Kraftwagen und Teilen (NACE C 29)
• Sonstiger Fahrzeugbau (NACE C 30)

Darin verbirgt sich eine Vielzahl an Produzenten in Deutschland, die als wichtige Einrichtung ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz reguliert werden; ein paar Beispiele:

• Uhren (in 26.52), Ferngläser und Beamer (in 26.70)
• Glühlampen, Leuchtrohre (in 27.40), Geschirrspül­maschinen und Dosenöffner (in 27.51)
• Sanitärarmaturen (in 28.14), Kugel- und Rollenlager (in 28.15), Rasenmäher (in 28.30)
• PKW, Betonmischwagen, Gokarts (in 29.10), Wohnanhänger (in 29.20), Zündkerzen und Fensterheber (in 29.31), Auspuffrohre und Stoßdämpfer (in 29.32)
• Frachtschiffe (in 30.11), Jet Ski, Ruderboote und Kanus (in 30.12), Lokomotiven, Personenwagen, Zughaken (30.20), Flugzeuge und Raumfahrzeuge (30.30)

Neben dem verarbeitenden Gewerbe gibt es in NIS2 weitere neue Sektoren: Chemie, Digitale Dienste, Forschung (Institute) und Weltraum (Boden­infrastruktur).

Das NIS2-Diskussionspapier des BMI

Von Paul Weissmann am 1. Oktober 2023

Ende September veröffentlichte das Innenministerium ein Diskussionspapier der NIS2-Umsetzung. Dieser dritte nun bekannte Gesetzesentwurf schreibt einige Anforderungen teils deutlich um. Der Entwurf zum Dialog mit der Wirtschaft enthält grundlegende Änderungen und Erleichterungen der NIS2-Vorgaben.

• Nachweise: Nachweisprüfungen werden auf Betreiber kritischer Anlagen (KRITIS) beschränkt, nun in einem 3-Jahres-Zyklus. Besonders wichtige und wichtige Einrichtungen sollen regulär nun doch keine Nachweise mehr erbringen.
• Unternehmen: Die Definitionen der Gruppen und Unternehmensgrößen wurden vereinfacht, bleiben im Kern aber bestehen. Es gibt einige widersprüchliche Ausnahmen der Betroffenheit bei Kreditinstituten.
• Sektoren: Für Einrichtungen wurden die Sektoren nun definiert. Die Industrie bleibt weitflächig betroffen mit Maschinenbau, Chemie, Kfz, es gibt aber einige Änderungen zu NIS2 und KRITIS. Versicherungen fehlen, die ex-UBI auch.
• Fristen: Das Gesetz soll im März 2024 verkündet und wie geplant Oktober 2024 in Kraft treten. Es sind keine Übergangsfristen zur Umsetzung ersichtlich.
• Formelles: Der Entwurf enthält nur einen Teil der Paragraphen vom Gesetz, dafür einige Lücken. Es wird weniger auf neue Rechtsverordnungen verwiesen bzw. ausgelagert.

Die vereinfachten Definitionen erleichtern das Gesetz und entschärfen die Sicherheits­vorgaben teils deutlich. Vor dem Hinblick der Tausenden neuen Einrichtungen wird so sicherlich Last von Betreibern, Einrichtungen, Prüfern und auch Behörden genommen.

Unbenommen der Nachweise bleibt aber die Pflicht zur Umsetzung der Maßnahmen für nach wie vor einen Großteil der Wirtschaft in vielen Wirtschaftssektoren. Ob die Änderungen so Bestand haben, wird sich in den nächsten Monaten zeigen.

Mehr im Artikel zum NIS2-Umsetzungsgesetz.

Ergebnisbericht Wirksamkeit der IT-Sicherheitsgesetze

Von Henri Jäger am 5. Oktober 2023

Das BSI hat gerade die Ergebnisse einer Befragung von KRITS-Betreibern veröffentlicht. Die Studie hat die IT-Sicherheitsgesetze der vergangenen Jahre in ihrer Wirksamkeit untersucht. Befragt wurden regulierte Großunternehmen und KMUs. Von diesen KRITIS-Unternehmen betrieb jedes fünfte Anlagen, die (auch) vom EnWG oder das TKG reguliert werden.

Trotz aller Schwierigkeiten wie geringem Budget, Personalmangel und komplexer Gesetze scheinen es Betreiber zu schaffen, die Regulierung und KRITIS-Prüfungen zu bestehen. Einige der Einzelerkenntnisse aus der Befragung:

• Hindernisse: Personalmangel und fehlende finanzielle Mittel bremsen die Umsetzung von gesetzlichen Anforderungen nach Angaben der Befragten am stärksten aus. Im Durchschnitt werden 14 Prozent vom gesamten IT-Budget für IT-Sicherheit aufgewendet. Nur jedes dritte Unternehmen bezeichnet diesen Anteil als ausreichend.
• Cybersecurity: Die Mehrheit der Befragten hat bereits erste Maßnahmen umgesetzt, die auch in der kommenden NIS2-Umsetzung und KRITIS-DachG gefordert werden. Besonders hoch sei der Umsetzungsgrad bei auffällig spezifischen Themen wie Zugangskontrollen, Identitätsmanagement, MFA, und Notstromversorgung.
• Roadmaps: Etwa 50 Prozent der Nicht-EnWG/TKG-Unternehmen will die IT-SiG 2.0-Maßnahmen bis Ende 2024 (!) umgesetzt haben. 45 Prozent gehen davon aus, dass sie noch länger brauchen.
• Kosten: Die tatsächliche Umsetzung der Anforderungen scheitert am häufigsten an den Kosten für die Anpassung der IT-Systeme und Prozesse.
• Prioritäten: 8 von 10 Nicht-EnWG/TKG-Betreibern haben Projekte für IT-Sicherheit zeitlich vorgezogen aufgrund der geänderten IT-Sicherheits­gesetzgebung. Steigt die Regulierung, steigt die Relevanz von IT-Sicherheit.
• BCM und Lieferketten: Die Umsetzung für BCM-Maßnahmen und Kontrollen von Lieferanten, Dienstleistern und Dritten ist bei Nicht-EnWG/TKG-Betreibern am geringsten — unabhängig vom allgemeinen Umsetzungsgrad des Unternehmens.

Insgesamt bewertet der Ergebnisbericht die Wirksamkeit der IT-Sicherheitsgesetze zwar als gut, die Umsetzung der KRITIS-Anforderungen leide aber an fehlendem Personal und finanziellen Ressourcen und begründet sich häufig in unzureichender Kenntnis der Gesetze.

Letzteres läßt mit Blick auf die bevorstehende NIS2-Umsetzung von über 20.000 weiteren Unternehmen, die bisher keine Erfahrungen mit dem IT-Sicherheitsgesetz gemacht haben, nicht nur Gutes erahnen. Viele der jetzt defizitären Themen gewinnen mit NIS2 deutlich an Relevanz.

Abfallentsorgung endlich in KRITIS

Von Paul Weissmann am 27. September 2023

Der KRITIS-Sektor Siedlungsabfallentsorgung ist nun in der KRITIS-Regulierung definiert. Mit dem IT-Sicherheitsgesetz 2.0 wurden Entsorger, Recycling-Unternehmen und kommunale Betriebe potenziell zu KRITIS-Betreibern. Die Definitionen der Anlagen wurden nun, zwei Jahre später, in der KRITIS-Verordnung als Entwurf konkretisiert.

Die Verordnung definiert im Sektor die kritische Dienstleistung (kDL) Entsorgung von Siedlungsabfällen mit zwei Bereichen Sammlung und Beförderung und Verwertung und Beseitigung. Ab 2024 werden Unternehmen im Sektor zu KRITIS-Betreibern, wenn sie auf ihren Anlagen KRITIS-Schwellenwerte überschreiten:

Nr.	Anlage	Beispiele
1.	Sammlung und Beförderung
1.1	Disposition Sammlung oder Beförderung	Disposition, Flotten­management oder ERP-Systeme
1.2	Lagerung, Zwischen­lagerung, Umladung	Zwischenlager oder Umlade­stationen
2.	Verwertung und Beseitigung
2.1	Thermische Behandlung	Müll­verbrennungsanlagen (MVA) oder Ersatz­brennstoff­kraftwerke (EBS-Kraftwerke)
2.2	Mechanisch-biologische oder mechanisch-physikalische Behandlung	Mechanisch-biologische Abfall­behandlungs­anlagen (MBA), mechanisch-biologische Stabilisierungs­anlagen (MBS) oder mechanisch-physikalische Abfall­behandlungs­anlagen (MPS)
2.3	Biologische Behandlung	Kompostierungs- und Vergärungsanlagen
2.4	Mechanische Behandlung	Zerkleinerung, Klassierung, Sortierung, Pressung und Palettierung
2.5	Sortierung	Sortieranlagen

Die Schwellenwerte sind etwas kompliziert gestaltet und orientieren an 500 Tsd. Personen:

Abfall	Schwellenwert	pro Kopf
Rest/gemischter Gewerbeabfall	79,5 Tsd. t pro Jahr	159 kg Rest- oder Hausmüll
Bioabfall	33,5 Tsd. t pro Jahr	67 kg Abfall aus der Biotonne
LVP-/Kunststoffabfall	18,5 Tsd. t pro Jahr	35 kg Leichtverpackungen + 2 kg Kunststoff
PPK-Abfall	32,5 Tsd. t pro Jahr	65 kg Papier, Pappe, Karton
Glasabfall	12 Tsd. t pro Jahr	24 kg Glas

Der Gesetzgeber geht von 300 zusätzlichen KRITIS-Betreiber im Sektor Entsorgung aus. Die Verordnung soll zum 1. Januar 2024 in Kraft treten, die Betroffenheit muss für die Vorjahre jeweils zum 31. März ermittelt werden und Betreiber sich zum 1. April beim BSI registrieren.

Referentenentwurf KRITIS-Verordnung

Von Henri Jäger am 26. September 2023

Das Innenministerium hat gerade den Referentenentwurf zur vierten Änderungsverordnung der KRITIS-Verordnung veröffentlicht. Die Verordnung definiert in der KRITIS-Regulierung die betroffenen KRITIS-Sektoren, Anlagen und Schwellenwerte – die jüngste Änderung, die vierte seit 2016, schließt im aktuellen Entwurf einige Lücken:

• Siedlungsabfallentsorgung kommt als KRITIS-Sektor, wie im IT-Sicherheitsgesetz 2.0 in 2021 definiert, hinzu. Betreiber müssen nun das Überschreiten von Schwellenwerten in diesem Jahr bis zum 31. März 2024 ermitteln. Sind sie betroffen, müssen sie ihre Anlage zum/ab dem 1. April 2024 als Kritische Infrastruktur registrieren.
• Im Sektor Energie umfasst Gashandel nun auch Kapazitätshandel und Stromhandel wird zum Elektrizitätsmarkt, dessen Schwellenwert auf 46,3 TWh steigt.
• Verwaltungs- und Zahlungssysteme der gesetzlichen Kranken- und Pflegeversicherung sind nun schon ab 500 Tsd. Versicherten betroffen — zuvor bei 3 Mio. Versicherten.
• Der Gesetzgeber geht von 320 zusätzlichen Betreibern aus, davon 300 in der Entsorgung und 20 im Versicherungswesen.

In den kommenden Tagen sind Verbände aufgefordert, zur Änderungsverordnung Stellung zu nehmen. Die Verordnung soll zum 1. Januar 2024 in Kraft treten.

Prüfungen in NIS2 und Dachgesetz

Von Paul Weissmann am 24. Juli 2023

Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz kommen neue Nachweispflichten auf über 8.000 Unternehmen in den nächsten Jahren zu. In NIS2 muss Cybersecurity alle zwei Jahre nachgewiesen werden, im KRITIS-Dachgesetz Resilienz ebenfalls alle zwei Jahre.

Es wird komplex – mit Tausenden Prüfungen jährlich:

Nachweise	KRITIS-Betreiber	Betreiber kritischer Anlagen (KRITIS)		Besonders wichtige Einrichtung	Wichtige Einrichtung
Gesetz	BSIG	NISUmsuCG	DachG	NISUmsuCG	NISUmsuCG
Zeitraum	aktuell	ab 2024-28	ab 2026	ab 2024-28	-
Pflicht	§8a (3)	§34 (1) §39 (2)	§11 (8)	§34 (1)	-
Form	Nachweisprüfung	Audits & Co.	Audits	Audits & Co.	-
Inhalt	IT-Sicherheit SzA	IT-Sicherheit+ Meldepflicht SzA	Resilienz Meldepflicht	IT-Sicherheit+ Meldepflicht	-
Scope	KRITIS-Anlage	Kritische Anlage	Kritische Anlage	Unternehmen?	-
Frequenz	alle zwei Jahre	alle zwei Jahre	alle zwei Jahre	alle zwei Jahre	-
Empfänger	BSI	BSI	BBK	BSI	-

Die Zeitleiste der Audits hängt vom Inkrafttreten der Gesetze ab. Die bisherigen KRITIS-Prüfungen bleiben vorerst bestehen, sicherlich mit Übergangsfristen und Synchronisation. Den Zeitpunkt der ersten Nachweise legen BSI (NIS2) und BBK (DachG) fest – zwischen 2024 und 2028 in NIS2 und ab 2026 für DachG.

Neuerungen im zweiten NIS2-Referentenentwurf

Von Hanna Lurz am 21. Juli 2023

Seit Mitte Juli ist der zweite Referentenentwurf vom NIS2-Umsetzungsgesetz publik, mit einigen Auffälligkeiten und Änderungen zum letzten Entwurf von April 2023.

• Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
• Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnis­mäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
• Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte und Bewertungen des BSI berücksichtigen.
• Die Frist für erstmalige Nachweise nun (spätestens) vier Jahre nach Inkrafttreten.
• Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
• Die angestrebte Vereinfachung und Zentralisierung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst.

In der NIS2-Umsetzung wird keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen, eine Evaluierung erübrige sich durch die NIS-2-Umsetzung.

Referentenentwurf vom KRITIS-Dachgesetz

Von Paul Weissmann am 19. Juli 2023

Das KRITIS-Dachgesetz erweitert die Regulierung Kritischer Infrastrukturen ab 2023 um Resilienz und physische Sicherheit bei kritischen Betreibern. Basierend auf EU RCE/CER betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die mehr Maßnahmen für BCM, Risiko- und Krisenmanagement und physische Sicherheit umsetzen müssen.

Im aktuellen Referentenentwurf von Juli 2023 gibt es dazu eher milde Vorgaben und Fristen:

• Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS).
• Sektoren: Die bisherigen KRITIS-Sektoren der kritischen Anlagen werden reguliert, mit einigen Erweiterungen und Ausschlüssen – u.a. IT, TK, Finanzen und Versicherungen.
• Resilienz: Konkrete Resilienz-Vorgaben für Betreiber wie Krisen- und Risikomanagement, BCM, Personalsicherheit, physische Sicherheit.
• Aufsicht: Die KRITIS-Aufsicht wird um das BBK erweitert, das Nachweise, Meldungen und Registrierungen erhalten soll. Gemeinsame Lösungen mit BSI sind geplant.
• Sanktionen: Es gibt eine Liste mit Verstößen, die Bußgelder sind noch nicht definiert.
• Risiken: Nationale und Betreiber-Risiken der Wirtschaftsstabilität spielen eine große Rolle für Betreiber, das BBK (und die EU).

Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 in Kraft. Trotz allem kommen auf einige Betreiber zusätzliche Maßnahmen zu.

Eine ausführliche Analyse dazu im Artikel zum KRITIS-Dachgesetz.

Evaluierung des IT-Sicherheitsgesetzes 2.0

Von Hanna Lurz am 22. Juni 2023

Im Mai 2023 hat das Innenministerium den gesetzlich geforderten Bericht zur Evaluierung des IT-Sicherheitsgesetzes 2.0 vorgelegt. Der Bericht ist mit fünfzehn Seiten eher kurz und enthält neben der eigentlichen Bewertung des IT-Sicherheits­gesetzes diverse Hintergrund­informationen zu Historie und Inhalt der Regulierung.

Input für die Evaluierung war eine Online-Befragung des BSI unter KRITIS-Betreibern mit knapp 400 Unternehmen und mögliche Stellungnahmen auf eine Anfrage von BMI und BSI durch UP KRITIS, Fachverbände, Universitäten, Forschungseinrichtungen, das IDW etc. Wer tatsächlich teilgenommen hat, ist nicht klar. Die Kernergebnisse laut Evaluierung sind:

• Grundsätzlich erfüllt das IT-Sicherheitsgesetz seinen Zweck. Aus der Betreiber-Umfrage lässt sich ein besonders hoher Einfluss der gesetzlichen Regulierung auf die Umsetzung organisatorischer Sicherheitsmaßnahmen erkennen: anders als technische Maßnahmen, die mancherorts schon vor dem ersten IT-SiG in Teilen umgesetzt waren, wurden insbesondere organisatorische Sicherheitsmaßnahmen mehrheitlich erst zwischen 2015 bis 2020 realisiert. Auch zwischen der Vertrautheit mit dem IT-SiG und dem Umsetzungsstand der gesetzlichen Vorgaben lässt sich ein Zusammenhang beobachten: In Unternehmen, die die Gesetzgebung und die Anforderungen „Absicherungen nach dem Stand der Technik“ und zur Nachweispflicht nicht gut kennen, ist der Umsetzungsstand auch überdurchschnittlich häufig niedriger.
• Betreiber wünschen sich in verschiedenen Bereichen Vereinfachungen, z. B. in der Nachweiserbringung, der Meldung von Sicherheitsvorfällen, der Zusammenarbeit zwischen BSI und Betreibern, der geteilten Regulatorik zwischen BSI und BNetzA etc. Auch ist eine Vereinheitlichung von Begrifflichkeiten insbesondere im Hinblick auf die kommende NIS2-Umsetzung in Deutschland gewünscht.
• Das BMI hebt hervor, dass im Zuge aktueller und künftiger Regulatorik wie DORA-, CER- und NIS2-Richtlinie besonders auf Übersichtlichkeit und pragmatische Umsetzung Wert gelegt werden sollte, um die betroffenen Unternehmen nicht zu frustrieren, sondern die Erhöhung der Sicherheitsniveaus weiter voranzutreiben.

Mehr zu den Ergebnissen der Evaluierung im Artikel zum IT-Sicherheitsgesetz 2.0.

Entwurf des Gesetzes zur Umsetzung von EU NIS2

Von Hanna Lurz am 18. Mai 2023

Das Gesetz zur Umsetzung von EU NIS2 liegt in einem ersten Entwurf vor, als NIS2UmsuCG. Es überführt die Mindest­standards für Cybersecurity aus EU NIS2 in die deutsche KRITIS-Regulierung. Der Entwurf befindet sich aktuell in Abstimmung durch die Bundesverwaltung und muss anschließend noch die Gesetzgebung auf Bundesebene durchlaufen.

Schon jetzt ist ersichtlich, dass die Betroffenheit der deutschen Wirtschaft deutlich steigt – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI. Das Gesetz regelt u.a.:

• Erweiterter Kreis betroffener Unternehmen durch besonders wichtige und wichtige Einrichtungen, neben den Betreibern kritischer Anlagen (ex-KRITIS)
• Erweiterte Sektoren in Deutschland analog zu NIS2
• Cybersecurity-Pflichten für Betreiber, z. B. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen, Governance
• Staatliche Aufsicht und Registrierungs-, Nachweis- und Meldepflichten
• Erweiterte Bußgeldtatbestände und -höhen

Eine ausführliche Analyse dazu im Artikel zum NIS2 Umsetzungsgesetz.

Grundsätzliche Anforderungen Prüfungen §8a (5) BSIG

Von Paul Weissmann am 17. Mai 2023

Das BSI hat im Mai 2023 verbindliche Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) basieren auf §8a (5) BSIG und definieren einige der wichtigsten BSI-Vorgaben für KRITIS-Prüfungen nun normativ.

Normativ geregelt werden:

• Unabhängigkeit der prüfenden Stelle und Prüfer, Anforderungen an interne Revisionen
• 4-Augen-Prinzip in einzelnen Prüfschritten
• Prüfberichte - Form, verbindliche Inhalte und Umgang in der Prüfung
• Geltungsbereich (bestehende G/N-Anforderungen nun normativ)
• Prüfung der Mängelliste, Umgang Altmängel, Prüfung Umsetzungsplan
• Nutzung der BSI-Vorlagen für Nachweise

Umsetzung ab 1.6.2023 (in zwei Wochen!), einige Anforderungen erst ab 2024.
Mehr zu den Anforderungen im Artikel zu GAiN §8a (5) BSIG

Systeme zur Angriffserkennung in 2023

Von Paul Weissmann am 3. Mai 2023

Seit dem 1. Mai müssen KRITIS-Betreiber den Einsatz von Systemen zur Angriffs­erkennung im KRITIS-Geltungsbereich nachweisen. Im BSI-Gesetz seit 2021 vorgegeben (§8a Abs. 1a), konkretisiert die Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) seit letztem Jahr die genauen Anforderungen an Betreiber.

Gefordert wird in der OH SZA eine umfangreiche Struktur von Systemen und Prozessen zur Angriffserkennung in der Protokollierung, Erkennung und Reaktion auf Cyberangriffe in der KRITIS-Anlage. Erste Erfahrungen aus der Praxis zeigen, dass sich intensive Vorbereitung in der Umsetzung und Prüfungen von SzA auszahlt.

Aus der OpenKRITIS-Keynote im Angriffserkennungs-Track vom CSK-Summit am 3. Mai.

KRITIS und Energiebetreiber nach EnWG

Von Hanna Lurz am 28. April 2023

Manche KRITIS-Betreiber im Energiesektor werden ausschließlich durch §8a BSIG reguliert, andere fallen neben der KRITIS-Regulierung auch unter §11 EnWG oder das ATG. Dies hängt von der betriebenen KRITIS-Anlage ab — mit unterschiedlichen Anforderungen bei Energie­anlagen, Energie­versorgungsnetzen (beide Sicherheitskatalog), Kernkraft und weiteren.

KRITIS-Betreiber, die Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG sind und den Regelungen von §11 EnWG unterliegen (§8d (2) Nr. 2. BSIG), müssen keine KRITIS-Maßnahmen nach §8a BSIG umsetzen oder prüfen lassen. Für diese KRITIS-Betreiber gilt das Energiewirtschaftsgesetz (EnWG).

• Betreiber von Energie­versorgungsnetzen (Strom- und Gasnetze) müssen ihre IT/OT/TK für den Netzbetrieb schützen: IT-Sicherheitskatalog gemäß §11 Abs. 1a EnWG.
• Betreiber von Energieanlagen (Erzeugung, Speicherung, Förderung) müssen IT/OT/TK für den Anlagenbetrieb schützen: IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG.
• Sicherheits­vorfälle mit Auswirkungen sowie Vorfälle mit potentiellen Auswirkungen müssen gemeldet werden.
• Betreiber müssen die von ihnen betriebene Anlage beim BSI registrieren und einen Sicherheits­beauftragen als Kontaktstelle benennen.
• Spätestens zum 1. Mai 2023 müssen Betreiber Systeme zur Angriffserkennung einsetzen und gegenüber dem BSI nachweisen.
• Es sollen noch kritische Komponenten sowie kritisch bestimmte Funktionen nach BSIG definiert werden (Mai 2023), die dann besonderen Auflagen unterliegen.

KRITIS-Betreiber und nun? Webinar zu NIS2, RCE & co.

Von Paul Weissmann am 27. März 2023

Was bedeutet EU NIS2 für Unternehmen? Und was kommt ab 2023 noch auf Kritische Infrastrukturen zu? Im OpenKRITIS-Webinar am 30. März zu KRITIS 2023-24 besprechen wir EU NIS2, CER und KRITIS-Dachgesetz – und die Auswirkungen auf KRITIS-Betreiber.

• Wer gehört ab 2024 zu den (Tausenden) neuen Betroffenen durch NIS2 und CER?
• Was passiert bis dahin in der deutschen KRITIS-Regulierung?
• Security, Resilienz, Supply Chain Sicherheit – was noch?
• Und was bedeutet das für mich als Unternehmen und Dienstleister?

Viele Unternehmen fallen ab 2024 unter mehrere Regulierungen – der Gesetzgeber wird viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben. All das im freien OpenKRITIS-Webinar am 30.3. und 13.4. Die aktualisierten Folien aus dem Webinar vom 13.4. sind nun online (PDF).

KRITIS-Verordnung 1¾: LNG und Seekabel auch KRITIS

Von Paul Weissmann am 9. März 2023

Mit der 3. Verordnung zur Änderung der BSI-Kritis­verordnung von 1. März 2023 sind ab diesem Jahr LNG-Anlagen und Seekabelanlandestationen als Kritische Infrastruktur zwischen Land und See nun auch KRITIS. Die KRITIS-Verordnung 1.75 ändert genau diesen beiden Sektoren:

• KRITIS-Sektor Energie: LNG-Anlagen (2.2.4) zur Verflüssigung oder Einfuhr, Entladung und Wiederverdampfung
• KRITIS-Sektor IKT: Seekabelanlandestation (1.2.2) zur Anbindung von Seekabeln (Sprache/Daten) an landgestützte TK-Netze

Entsprechende Anlagen könnten mit den Stichtagen 31.3. und 1.4. noch dieses Jahr KRITIS werden mit allen Pflichten von KRITIS-Betreibern.

Who is who in KRITIS, EU NIS2 und RCE

Von Paul Weissmann am 21. Februar 2023

Wer sich bei KRITIS, NIS2 und RCE fragt, welche Unternehmen zu welcher Gruppe von regulierten Kritischen Infrastrukturen gehörden – die Auflösung im Factsheet zu EU NIS2.

• KRITIS reguliert in 8 Sektoren nach Anlagenlogik kritische Teile von Betreibern mit Security, Nachweisen, Audits und Sanktionen.
• KRITIS-Dachgesetz wird in 10 bis 12 Sektoren physische Sicherheit und Resilienz vorschreiben, mit Meldepflichten ans BBK.
• EU NIS2 reguliert in 18 Sektoren bei mittleren und großen Betreibern die Security mit hohen Sanktionen (GDPR-like) und weiteren Meldepflichten.
• EU RCE reguliert in 11 Sektoren bei Betreibern nach nationaler Kritikalität physische Sicherheit und Resilienz, und betrachtet auch EU-Betroffenheit.

Viele Unternehmen könnten unter mehrere Regulierungen, Meldepflichten und Vorgaben fallen. Der Gesetzgeber wird bis spätestens Herbst 2024 viele Fragen zu Definitionen, Überschneidungen und Vorrangs­regelungen zu klären haben.

Size-Cap in EU NIS 2 für Betreiber

Von Paul Weissmann am 8. Februar 2023

EU NIS2 reguliert zwei Gruppen von Betreibern, die in achtzehn Sektoren in der EU Services erbringen und nach Größe reguliert werden. Die Betroffenheit der Essential und Important Entities wird in NIS 2 nach size-cap Regel über Umsatz und Größe festgestellt:

1. Groß (large): › 250 Beschäftigte, › 50 Mio. EUR Umsatz, › 43 Mio. EUR Bilanz
2. Mittel (medium): 50-250 Beschäftigte, 10-50 Mio. EUR Umsatz, ‹ 43 Mio. EUR Bilanz

Essential Entities: Große Betreiber aus Essential Sektoren A und bestimmte Betreiber und Branchen unabhängig der Größe: Digitale Infrastruktur aus A, Öffentliche Verwaltung aus A, Sonderfälle aus A und B, Critical Entities, die unter EU RCE/CER fallen und Bisherige Entities, die bis Januar 2023 von voriger Regulierung betroffen waren.

Important Entities: Große Betreiber aus Important Sektoren B, mittlere Betreiber aus allen Sektoren B und A sowie Sonderfälle aus B und A.

NIS2 Sektoren sind A Essential Sektoren (Annex I) und B Important Sektoren (Annex II).

EU NIS 2 und RCE-Sektoren

Von Paul Weissmann am 23. Januar 2023

Die EU-Direktiven NIS2 und RCE für Kritische Infrastrukturen sind in Kraft und definieren beide Listen von Wirtschafts­sektoren, die bis 2024 von Regulierung in EU-Mitgliedsstaaten betroffen sein werden – und gehen über die deutschen KRITIS-Sektoren hinaus.

NIS 2 reguliert Essential und Important Entities, Unternehmen und Organisationen in 18 Sektoren und macht Cyber Security für diese verpflichtend. RCE definiert Resilienz für Critical Entities in elf Sektoren, einer Untermenge der NIS2-Sektoren. Zwischen NIS2, RCE und KRITIS-Sektoren gibt es leichte Differenzen.

Kategorie	Sektoren
Essential	Energie, Transport, Banken, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, ICT Service Management, Öffentliche Verwaltung, Raumfahrt
Important	Post und Kurier, Abfallwirtschaft, Chemikalien, Ernährung, Industrie, Digitale Dienste, Forschung

In allen Sektoren werden wahrscheinlich tausende Unternehmen (neu) betroffen sein, zusätzlich zu den bisherigen KRITIS und kommenden UBI.

up

KRITIS-Dachgesetz, RCE und NIS 2

Von Paul Weissmann am 26. November 2022, ⚡ aktualisiert am 7. Dezember 2022

Nach Vorfällen und der aktuellen politischen Lage in 2022 arbeitet das Innen­ministerium laut Eckpunkte-Papier an einem KRITIS-Dachgesetz, das physische Sicherheit und Resilienz in Kritischen Infrastrukturen konkretisiert und EU RCE vorgreift. Ab 2023 werden damit einige Änderungen in der deutschen KRITIS-Regulierung folgen, unter anderem:

• Dachgesetz KRITIS: Zusätzliche Anforderungen an Kritische Infrastrukturen und weitere Unternehmen, angelehnt an die verabschiedete CER-Richtlinie.
• IT-Sicherheitsgesetz 3.0: Die EU NIS 2 Richtlinie muss in nationales Recht überführt werden, und könnte mit weiteren Neuerungen im IT-Sicherheitsgesetz 3.0 münden.
• Neue Rechtsverordnungen: Änderungen zu KRITIS Entsorgung und UBI Gruppe 2 (Volkswirtschaft) sind noch ausstehend in weiteren Rechtsverordnungen.

Die KRITIS-Regulierung wird sich nochmal deutlich in betroffenen Betreibern und Schutz­maßnahmen erweitern – mit Auswirkungen auf Unternehmen ab perspektivisch 2024.
⚡ Update: Das BMI hat mittlerweile ein offizielles Papier mit Eckpunkten des geplanten Dachgesetzes publiziert, das den Regelungsrahmen umreisst.

IT-Sicherheitsgesetz 3.0 und KRITIS ab 2022-23

Von Paul Weissmann am 10. September 2022 ⚡

Die KRITIS-Regulierung in Deutschland und der EU wird sich in den kommenden Jahren deutlich weiterentwickeln. Mehr Anforderungen, mehr Betroffenheit und generell mehr Regulierung — hier die OpenKRITIS-Einschätzung:

2022

• KRITIS-Verordnung 2.0: Der KRITIS-Sektor Entsorgung und weitere Anpassungen an Anlagen und Schwellenwerten werden in einer neuer KritisV 2.0 definiert, die 2023 in Kraft treten soll.
• EU NIS2: Die neue NIS-Verordnung 2.0 erweitert Cyber Security Pflichten und Betroffenheit in der EU deutlich. Es gibt einen Verhandlungsentwurf, der 2022 in der EU verabschiedet werden könnte und dann über 2023 hinaus in nationales Recht überführt werden muss.

2023+

• UBI-Verordnung (UBI-VO): Die Betroffenheit von UBI, den Unternehmen im besonderen öffentlichen Interesse der Gruppe 2 (Bedeutung) müssen noch in einer Verordnung (UBI-VO) definiert werden, die 2023? in Kraft treten könnte — Zeitplan unklar.
• EU RCE: Die Resilienz-Verordnung der EU macht Resilienz für Betreiber verpflichtend, wird in der EU noch verhandelt und muss mit neuen Pflichten in nationales Recht überführt werden.
• IT-Sicherheitsgesetz 3.0: Die neuen Anforderungen aus EU-Regulierungen zu Cyber Security (NIS2), Betroffenheit (NIS2), Resilienz (RCE) sowie Erfahrungen in Deutschland (Anlagen, Nachweise, Maßnahmen und Prüfungen) werden mittelfristig sicherlich in einem neuen IT-Sicherheitsgesetz verarbeitet werden — möglicherweise IT-SiG 3.0.

ISO 27002:2022 und IDW PH 9.860.2 für KRITIS

Von Paul Weissmann am 10. September 2022

Zu den nationalen und internationalen Security Standards für KRITIS-Betreiber wurden zwei Standards für KRITIS-Management ergänzt:

• IDW PH 9.860.2: Der Prüfhinweis für das IT-Sicherheitsgesetz vom Institut der Wirtschafts­prüfer enthält Cyber Security Anforderungen für KRITIS-Betreiber und Nachweis­prüfungen.
• ISO 27002:2022: Die 2022 aktualisierten ISO 27002 Best Practices konsolidieren und erweitern das ISO Control-Set und sind jetzt auch im KRITIS-Standard-Mapping enthalten.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind frei in der Auswahl von Standards.

Stand der Technik Geltungsbereich

Von Paul Weissmann am 4. Juli 2022

Der Geltungsbereich ist eines der wichtigsten Dokumente von KRITIS-Betreibern in ihren KRITIS-Anlagen. Im Geltungsbereich wird der Umfang der einzelnen KRITIS-Anlagen und ihrer IT definiert — was in der KRITIS-Prüfung mit als erstes geprüft wird. Das BSI hat zur Erstellung von Geltungsbereichen im Juni nun eine Anleitung mit Beispielen veröffentlicht.

• Anleitung zur Dokumentation vom Geltungsbereich Schritt für Schritt: Von der Anlage über Prozesse bis zur IT und Netzstrukturplan (NSP).
• Anforderungen G01-G13/N01-N10 der Orientierungshilfe Nachweise (OH-N) in Textform.
• Beispiel Geltungsbereich eines Tanklagers (Sektor Energie).
• Beispiel Netzstrukturplan eines Tanklagers (Sektor Energie).

Die Unterlage Dokumentation des Geltungsbereiches ist beim BSI als PDF online.

Cyber Security Standards für KRITIS

Von Paul Weissmann am 15. April 2022

Nationale und internationale Security Standards können KRITIS-Betreibern beim Schutz ihrer Kritischer Infra­strukturen helfen, indem sie Cyber Security Maßnahmen und eine Vorgehensweise zum Umsetzung nach Stand der Technik definieren.

• Management von Informations­sicherheit: Standards wie ISO 27001, BSI IT-Grundschutz und C5 definieren ein Management­system zum Umgang mit Risiken und Informations­sicherheit (ISMS) — in der Regel mit verbindlicher Methodik, Struktur und Kontrollen.
• Branchen und Spezifika: Standards wie B3S, ISO 2701X, IEC 62443, die sich auf bestimmte Branchen und Technologien beziehen und spezifische Vorgaben für Sicherheits­maßnahmen für branchen­spezifische Anlagen oder IT/OT-Systeme definieren.

Das IT-Sicherheitsgesetz und die KRITIS-Regulierung schreiben normativ keine Standards vor, die Betreiber benutzen müssen — Betreiber sind (relativ) frei in der Auswahl von Standards.

Webinar Notfall­management in Kritischen Infrastrukturen

Von Paul Weissmann am 28. März 2022, ⚡ aktualisiert am 2. Mai 2022

Notfälle in der IT, Cyber Angriffe und Krisen gefährden den Betrieb von KRITIS-Anlagen und die Versorgung der Allgemeinheit. Wie Betreiber mit BCM und IT-Notfallmanagement die Resilienz ihrer Kritischen Infrastrukturen erhöhen, besprechen wir im OpenKRITIS-Webinar:

• BCM im IT-Sicherheitsgesetz 2.0: Was müssen Betreiber beachten?
• Use Cases von BCM in KRITIS: Geltungsbereich, Angriffserkennung, Notfallpläne
• Diskussion und Austausch aus der Praxis

Update: Die Folien vom Webinar am 29. April sind nun als PDF online:

up

Neue Podcast-Folge 🎧 Aus der Praxis eines KRITIS-Prüfers

Von Paul Weissmann am 14. Februar 2022

KRITIS-Betreiber müssen dem BSI die Umsetzung von Cyber Security Maßnahmen alle zwei Jahre durch §8a BSIG Nachweisprüfungen belegen. Was diese Prüfungen bedeuten und wie sich Unternehmen am besten vorbereiten, verrät uns Lutz Naake, ein erfahrener KRITIS-Prüfer.

Wir sprechen über die Rolle von KRITIS-Prüfungen im IT-Sicherheitsgesetz, den Sinn von Prüfungen im Einmaleins der Cyber Security und wie Unternehmen die häufigsten Irrtümer und Fallstricke in BSIG-Nachweis­prüfungen umgehen. Es lohnt sich!

up

KRITIS und das Telekommunikations­gesetz 2.0

Von Paul Weissmann am 31. Januar 2022

KRITIS-Betreiber im Sektor IKT werden teilweise auch durch das Telekommunikations­gesetz reguliert, wenn sie öffentliche Telekommunikations­netze oder -dienste betreiben. Für diese KRITIS-Anlagen sind nicht KRITIS-Maßnahmen verbindlich, sondern die Anforderungen für IT-Sicherheit im TKG, das 2021 umfangreich überarbeitet wurde.

Pflichten für IT-Sicherheit sind in §165-169 TKG reguliert — vormals im alten §109 TKG:

• Cyber Security Maßnahmen und Umsetzung Sicherheitskatalog 2.0
• Sicherheitskonzept und Sicherheitsbeauftragter
• Kritische Komponenten (5G-Netzwerke)
• Angriffserkennung und Meldepflichten BNetzA

Der Katalog von Sicherheits­anforderungen 2.0 der BNetzA beschreibt dazu Grundlagen für Sicherheitskonzept und zu treffende Maßnahmen bei TK-Betreibern:

Abschnitt	Sicherheitskatalog 2.0
Sicherheits­maßnahmen	Cyber Security Maßnahmen für TK-Anbieter und Betreiber
Rechtliche Grundlagen	Fernmelde­geheimnis, personen­bezogenen Daten, TK-Infrastruktur und Diensten
Umsetzung	Hilfestellungen und Vorgaben zur Umsetzung der Anforderungen
TK mit IP-Infrastruktur	Enthält weitere Anforderungen für TK-Anbieter mit IP-Infrastruktur
Gefährdungspotenzial	Zusätzliche Sicherheits­anforderungen für Netze und Dienste erhöhter Kritikalität

up

Einsatz von 5G im KRITIS-Sektor Telekommunikation

Von Paul Weissmann am 20. Januar 2022

Mit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber im Sektor Telekommunikation dem Innenministerium den Einsatz bestimmter IT-Systeme in Kritischen Infrastrukturen anzeigen. Diese Kritischen Komponenten nach §9b BSIG müssen in einzelnen Sektoren nch durch weitere Gesetze geregelt werden — im TK-Sektor erstmalig 2021 durch die Novelle des TKG.

Die BNetzA hat dazu mit dem BSI kritische Funktionen in 5G-Mobilfunk­netzen festgelegt:

• Core network functions
• NFV management and network orchestration (MANO)
• Management systems and supporting services
• Radio Access Network (RAN)
• Transport and transmission
• Internetwork exchanges

Diese Systeme dürfen nur nach Zertifizierung und Freigabe eingesetzt werden.

Vorträge zu KRITIS Loops und IT-SiG 2.0 vs. EU

Von Paul Weissmann am 18. November 2021

Zwei neue OpenKRITIS-Vorträge zu Kritischen Infrastrukturen sind nun Online: Einmal beim EY-Risikomanagement Stammtisch am 17. November zu aktuellen KRITIS-Entwicklungen im Jahr 2021 zum Thema IT-Sicherheitsgesetz 2.0 und EU-Regulierung NIS2 und RCE.

Daneben ein akademischer Vortrag zusammen mit Jan Hoff bei der Transformations of Infrastructure Systems Konferenz der TU-Darmstadt am 4.11.2021 zum Thema Infinite Loop: Transformation and Fragilities in Infrastructures — immer wiederkehrenden Verwundbarkeiten durch technologische und gesellschaftliche Transformation von Kritischen Infrastrukturen.

up

OpenKRITIS-Podcast – jetzt online 🎧

Von Paul Weissmann am 9. November 2021

Was sind eigentlich Kritische Infrastrukturen? Und macht das IT-Sicherheitsgesetz den Alltag wirklich sicherer? Mit unseren Gästen gehen wir dem nach — im neuen OpenKRITIS-Podcast sprechen wir über die Hintergründe Kritischer Infrastrukturen und die Effekte staatlicher KRITIS-Regulierung auf Betreiber, Unternehmen und Gesellschaft.

Die Premieren-Folge widmet sich der Geschichte des IT-Sicherheitsgesetzes und ist ab sofort auf den gängigen Plattformen und bei uns zu finden.

up

Neue KRITIS-Anlagen in den KRITIS-Sektoren

Von Paul Weissmann am 28. Oktober 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue Verordnung die KRITIS-Anlagen. Die Änderungen sind nun auch in den einzelnen KRITIS-Sektoren eingetragen:

• Energie: In Stromerzeugung und Handel sinken Schwellenwerte und Anlagen ändern sich, zentrale Steuerung und diverse Gas/Strom-Anlagen kommen hinzu, Flugkraftstoff ebenfalls
• IT: Die Schwellenwerte von Rechenzentren, Cloud (Serverfarmen) und IXP sinken deutlich, Domain-Registries (TLD) kommen als Anlage dazu.
• Finanzen und Versicherung: Die bisher mehrfach vorhandenen Anlagen pro Versicherungsträger werden vereinfacht, neue kommen im Wertpapierhandel hinzu.
• Transport: Sendungen sind nun auch Schwellenwert in der Logistik, bei Häfen, Flughäfen und Fluggesellschaften kommen neue Leitungs-Anlagen hinzu, im Straßenverkehr das Intelligente Verkehrssystem. Im ÖPNV nur Zusammenfassungen und Präzisierungen.
• Gesundheit: Bei Laboren wurden die Anlagen Transportsystem und Kommunikations­system für Aufträge/Befunde im Laborinformations­verbund zusammengefasst.
• Wasser: Nur geringe Änderungen — Stauanlagen gehören nun auch zur Gewinnung.
• Ernährung: Leichte Änderungen und Konkretisierung der Steuerungs-Anlagen, Getränke bis 1.2 ‰ gehören nun zum Schwellenwert.
• Entsorgung und UBI: Anlagen im neuen KRITIS-Sektor Entsorgung fehlen noch, ebenso die Unternehmen im besonderen öffentlichen Interesse (UBI/UNBÖFI).

up

Offizielle Informationen vom BSI zu UBI (UNBÖFI)

Von Paul Weissmann am 11. Oktober 2021

Das BSI hat nun die Unternehmen im besonderen öffentlichen Interesse, UBI oder UNBÖFI, etwas genauer beschrieben. Auf der offiziellen BSI-Webseite gibt es in einer FAQ-Liste mehr Informationen zu den Pflichten und Fristen der drei UBI-Gruppen 1 bis 3.

• UBI 1 Rüstung: Hersteller von Rüstung und Produkten für Verschlusssachen (VS-IT)
• UBI 2 Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung
• UBI 3 Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen

Die UBI Cyber Security Pflichten sind in der BSI-FAQ detailliert — von der Registrierung, über die Meldepflicht bis zur Sicherheitserklärung. Das Prozedere zur Anmeldung über das UBI-Büro ist ebenfalls beschrieben, via Mail.

Konferenz Transformations of Infrastructure Systems

Von Paul Weissmann am 6. September 2021

Internationale Konferenz der TU Darmstadt und GRK KRITIS zu Kritischen Infrastrukturen und der Transformation von Infrastruktursystemen am 4.-5.11.2021. Aus dem Call of Papers:

Ziel der Konferenz ist es, diese Transformationen von Infrastruktursystemen aus verschiedenen Perspektiven zu analysieren und zu erklären. Diese unterschiedlichen Perspektiven werden durch die vier Unterthemen „Cultures of Transformation“, „Governance of Transformationa“, „Temporality and Spatiality of Transformation“ und „Safe Transformation“ repräsentiert.

Wir sind mit einem Talk vertreten zu An Infinite Loop – How Transformation and Digitalization Create New Fragilities in Critical Infrastructures und freuen uns auf die Konferenz.

Webinar zu BCM in Kritischen Infrastrukturen

Von Paul Weissmann am 2. September 2021

Brauchen Betreiber ein Business Continuity Management (BCM) in ihren KRITIS-Anlagen? Und ist das nicht alles Aufgabe vom Security Management im ISMS? — Im OpenKRITIS-Webinar zu BCM wollen wir diesen und weiteren Fragen zur Umsetzung von BCM und Kontinuität bei KRITIS-Betreibern nachgehen. Agenda:

1. BCM im IT-Sicherheitsgesetz 2.0: Was fordert das Gesetz?
2. Best Practices für die Umsetzung, Schnittstellen zum Geltungsbereich, ISMS, ...
3. Diskussion zu Erfahrungen aus der Praxis

Freie Teilnahme und Anmeldung über LinkedIn.

KRITIS-Verordnung 2021 (1.5) beschlossen

Von Paul Weissmann am 23. August 2021

Das Bundeskabinett hat am 18. August 2021 die KRITIS-Verordnung 2.0 (Zweite Verordnung zur Änderung der BSI-Kritisverordnung) beschlossen. Ohne Aussprache beschlossen wurde laut Heise die bekannte Version des Entwurfs vom Frühling und soll ab 2022 in Kraft treten.

Die neuen Definitionen umfassen anscheinend die bereits bekannten Änderungen der KRITIS-Anlagen und Schwellenwerte; dagegen bleiben die Anlagen und Schwellenwerte des Sektors Siedlungs­abfallentsorgung und die Methodik der UNBÖFI Gruppe 2 volkswirtschaftliche Bedeutung noch offen.

IT-Sicherheitsgesetz 2.0 heute in Kraft getreten

Von Paul Weissmann am 28. Mai 2021

Das neue IT-Sicherheitsgesetz 2.0 ist am 28. Mai 2021 in Kraft getreten, nachdem es im April und Mai 2021 von Bundesrat und Bundestag beschlossen und am 27. Mai im Bundesgesetz­blatt veröffentlicht wurde. Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.

Webinar zum IT-Sicherheitsgesetz 2.0

Von Paul Weissmann am 25. Mai 2021

Ziel des Webinars ist ein virtueller, offener Austausch zur neuen KRITIS-Regulierung in 2021: Was bedeutet das für Betreiber? Und was kommt nach dem IT-Sicherheitsgesetz 2.0 noch?

1. Neuerungen im IT-Sicherheitsgesetz 2.0: von Angriffserkennung bis zur Entsorgung
2. KRITIS-Verordnung 2.0: mehr Anlagen, niedrige Schwellenwerte und +270 Betreiber
3. Ausblick und Diskussion zu den Auswirkungen in der Praxis

EU RCE und Resilienz in Kritischen Infrastrukturen

Von Paul Weissmann am 18. Mai 2021

Die EU RCE Directive on the resilience of critical entities reguliert die Resilienz von EU Kritischen Infrastrukturen. RCE fordert Ausfallsicherheit der kritischen Dienstleistungen bei Betreibern, während EU NIS2 deren Cyber Security reguliert — beide schreiben Maßnahmen bei Unternehmen und staatliche Aufsicht vor.

EU RCE löst die bisherige ECI (European Critical Infrastructures) Direktive von 2008 ab und liegt seit Ende 2020 als Entwurf vor. Die Direktive muss wie NIS2 noch verabschiedet und in nationales Recht überführt werden.

EU NIS2 – Der europäische Kontext

Von Paul Weissmann am 14. Mai 2021

Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems ist das erste EU-weite Gesetz über Cyber Security bei Betreibern von Essential Services. Die neue EU NIS2 erweitert die Sektoren und Cyber Security Pflichten deutlich:

Die NIS-Direktive wurde 2017 mit dem IT-Sicherheitsgesetz und Gesetz zur Umsetzung der NIS-Richtlinie in Deutschland umgesetzt, ein Entwurf von NIS2 liegt seit 2020 vor und muss noch verabschiedet und in nationales Recht überführt werden.

Critical Infrastructures in Germany and IT-SiG 2.0

Von Paul Weissmann on May 11, 2021

German critical infrastructure law is regulated by the IT security act, recently updated by the second version IT-Sicherheitsgesetz 2.0. IT-SiG 2.0 updates the German legislation with more cyber security requirements and extends the scope by at least 270 more operators.

New rules include cyber attack detection and more reporting to the government. More companies will be affected too — by lower thresholds and more asset types, the new waste management sector and companies called special public interest entities (UNBÖFI).

Unternehmen im besonderen öffentlichen Interesse – what?

Von Paul Weissmann am 6. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 gehören neben KRITIS-Betreibern nun auch Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) zur KRITIS-Regulierung. Viele dieser besonders schützenswerten Unternehmen haben als UNBÖFI neue KRITIS-light Security Pflichten:

1. Rüstung: Hersteller von Rüstung, Waffen und Produkten für staatliche Verschlusssachen (VS), da deren Ausfall Sicherheitsinteressen Deutschland gefährden würde.
2. Volkswirtschaftliche Bedeutung: Unternehmen von erheblicher volkswirtschaftlicher Bedeutung, weil Störungen gesamtgesellschaftliche Bedeutung hätten, und
   Zulieferer von wesentlicher Bedeutung mit Alleinstellungsmerkmal für diese.
3. Gefahrstoffe: Betreiber Betriebsbereiche der oberen Klasse mit gefährlichen Stoffen — Chemie und produzierende Industrie nach der Störfall-Verordnung.

Diese Unternehmen im besonderen öffentlichen Interesse fallen mit den letzten Entwürfen vom IT-Sicherheitsgesetz 2.0 ab 2021 neu unter die Regulierung — mit neuen Rechtsfolgen und UNBÖFI-Pflichten für IT-Sicherheit.

KRITIS-Verordnung 2.0 – mehr Anlagen und Schwellen­werte

Von Paul Weissmann am 4. Mai 2021

Mit dem IT-Sicherheitsgesetz 2.0 ändern sich durch die neue KRITIS-Verordnung auch die KRITIS-Anlagen und Schwellenwerte. Mehr Betroffenheit — für etwa 270 neue Betreiber.

Der Entwurf der neuen KRITIS-Verordnung senkt sechs Schwellenwerte bestehender KRITIS-Anlagen, fügt siebzehn neue Anlagen hinzu — weitere wurden umbenannt — und streicht fünf. Die wichtigsten Änderungen zum jetzigen Stand:

• Energie: 6 neue und 2 wegfallende Anlagen, 3 sinkende Schwellenwerte.
• Gesundheit: 1 neue und 2 wegfallende Anlagen.
• Transport: 6 neue und 1 wegfallende Anlage, 1 neuer Schwellenwert.
• IT und TK: 1 neue Anlage, 3 sinkende Schwellenwerte.
• Finanz- und Versicherungen: 3 neue Anlagen, Konsolidierung bei Versicherungen.

Eine Analyse der Auswirkungen und alle Anlagen im Artikel zu KRITIS-Anlagen 2.0.

IT-Sicherheits­gesetz 2.0 vom Bundestag beschlossen

Von Paul Weissmann am 29. April 2021 aktualisiert ⚡

Das neue IT-Sicherheitsgesetz 2.0 wurde am 23. April vom Bundestag in der Version vom Innenausschuss (19/28844) beschlossen. Zu den Entwürfen von Anfang 2021 hat sich nur wenig Wesentliches geändert — das IT-SiG 2.0 erweitert die Pflichten von Betreibern und Befugnisse vom Staat deutlich:

1. Neue Pflichten für KRITIS-Betreiber
2. Mehr betroffene Unternehmen und Sektoren
3. Mehr Befugnisse für das BSI
4. Höhere Sanktionen
5. Verbraucherschutz

Update ⚡: Analyse der neuen KRITIS-Verordnung mit neuen Anlagen und Schwellenwerten im Abschnitt Schwellenwerte. Alle Anlagen auf der separaten KRITIS-Anlagen 2.0 Seite.

Für Betreiber neu — mehr KRITIS-Pflichten in der Angriffserkennung (SIEM/SOC) und mehr Informationen ans BSI, erstmalig kritische Komponenten im TK-Sektor. Neu betroffen sind der KRITIS-Sektor Entsorgung und die KRITIS-light Unternehmen im besonderen öffentlichen Interesse — nun neben Rüstung, Chemie und Konzernen auch deren Zulieferer.

Der OpenKRITIS-Artikel zum IT-Sicherheitsgesetz 2.0 analysiert die Folgen im Detail.

OpenKRITIS – das unabhängige KRITIS-Nachschlage­werk

Von Paul Weissmann am 28. April 2021

OpenKRITIS ist ein unabhängiges Projekt für Cyber Security in Kritischen Infrastrukturen und wird seit April 2021 als Work in Progress veröffentlicht. Das Ziel ist, die vielen Informationen zu KRITIS und dem IT-Sicherheitsgesetz für Betreiber und Prüfer an einem Ort übersichtlich zusammenzuführen — für weniger STRG+F in Gesetzen und mehr Cyber Security.

Bis jetzt mit über 30 Artikeln zu: die KRITIS-Grundlagen und das ⚖ IT-Sicherheitsgesetz, die Pflichten von ♨ KRITIS-Betreibern und notwendige Cyber Security ☂ Maßnahmen. Mehr als fünf neue Artikel sind in Arbeit, der ganze Abschnitt zu ⚔ KRITIS-Prüfungen folgt bis zur nächsten Prüfsaison — alle Ausführungen werden fortlaufend aktualisiert.

OpenKRITIS basiert auf öffentlichen Quellen, den Gesetzestexten und Entwürfen sowie eigenen langfährigen KRITIS-Erfahrungen.