OpenKRITIS

KRITIS-Dachgesetz: Erklärung Bundesregierung

Paul Weissmann — Mon, 06 Apr 2026 08:00:00 +0100

Protokollerklärung aus: Stenografischer Bericht 1062. Sitzung Bundesrat

Im Rahmen der Abstimmung vom KRITIS-Dachgesetz im Bundesrat gab es eine nächtliche Protokollerklärung der Bundesregierung, die eine Novelle vom Dachgesetz avisiert bis spätestens in zwei Jahren. Darin werden grundlegende Änderungen ange- und versprochen.

Einheitliche Definition kritische Infrastrukturen im Rahmen der nationalen Resilienzstrategie, mit den fehlenden Sektoren Staat und Verwaltung, Medien und Kultur und Sozialwesen
Einbindung der Länder in die Rechtsverordnung zur Identifikation
Zeitnahe Rechtsverordnung mit “System differenzierter Schwellenwerte und abgestufter Pflichten”
Rechtsverordnung für den Umgang mit der Länderöffnungsklausel mit “homogenen Verfahren”, insbesondere für den Energiesektor
Prüfung der Herabsenkung der Regelschwellenwerte von 500 Tsd. versorgten Personen, bis in spätestens zwei Jahren (= “flächendeckender, einheitlicher KRITIS-Schutz”) sowie Evaluierung der Schwellenwerte “im wissenschaftlichen Kontext”
Zeitnahe Rechtsverordnung zur Weitergabe von Meldungen an Länder
Resilienzpflichten der Betreiber werden an vier Phasen ausgerichtet: Prävention, Vorbereitung auf Störungen, Bewältigung und Nachsorge.
Einheitliches Vorgehen mit dem EBA für den Eisenbahnverkehr, auch in Prüfungen
Evaluation der Abläufe auf “Vereinfachungs- und Beschleunigungspotenziale” um “bürokratische Belastungen” zu reduzieren
Anpassung von Transparenzpflichten kritischer Infrastrukturen

OpenKRITIS-Webinar: Aktuelle NIS2-Regulierung

Paul Weissmann — Tue, 02 Apr 2026 08:00:00 +0100

Ein offenes Webinar von OpenKRITIS am 7. April 2026 zu allen Themen rund um die aktuelle NIS2 und KRITIS-Regulierung in Deutschland und der EU. NIS2 ist eine Weile in Kraft, das KRITIS-Dachgesetz seit März auch – was folgt nun in der Umsetzung und Regulierung?

Aktuelles aus der NIS2-Regulierung: Updates der EU zu NIS2.5
KRITIS-Dachgesetz und KRITIS-Verordnung: Vorgaben und Schwellenwerte
Meldepflicht und Registrierungen: Viele Pflichten und Portale
Verbundene Unternehmen: Zählregeln für Konzerne
Prüfungen in KRITIS und NIS2: Standards und Pflichten
Kritische Komponenten: Weitere Registrierungen
Q&A: Und viele Fragen!

Am 7. April ab 10:00, Eintritt ist frei, Anmeldung über LinkedIn, Durchführung per MS Teams.

NIS2 und aktueller Stand der Regulierung

Aktuelle Entwicklungen NIS2-Umsetzung, KRITIS und EU.
OpenKRITIS Webinar - Registrierung über LinkedIn - 7. April 2026 10:00

Schulungsprogramm im Sommer 2026

Paul Weissmann — Mon, 02 Mar 2026 08:00:00 +0100

Die OpenKRITIS Summer School für regulierte Unternehmen im Sommer 2026 – unser Einstieg in die komplexe Welt der NIS2- und KRITIS-Umsetzung in Deutschland. In kleinen, intensiven Kursen behandeln wir in Kleingruppen interaktiv Themen rund um KRITIS und NIS2, ab Mai 2026 im Rheinland.

Die Schulungen richten sich an regulierte Unternehmen, die direkt von NIS2/KRITIS betroffen sind. In der OpenKRITIS Summer School werden NIS2, KRITIS und Cybersecurity interaktiv und mit Fragen erarbeitet – in einer Gruppe mit Gleichgesinnten. Dabei sollen eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Anmeldung und Buchung über unser Schulungsbüro.

Programm OpenKRITIS-Workshops Sommer 2026, Stand Februar 2026
ID	Thema	Plätze	Termin
S26.1	Bootcamp NIS2 und KRITIS: ISMS und Resilienz Dieses eintägige Bootcamp richtet sich an regulierte Unternehmen, die in KRITIS und NIS2 vor den Herausforderungen eines integrierten ISMS, BCMS und physischen Schutzanforderungen stehen. OpenKRITIS x 3-Core	12	28 Mai 2026 9:30-15:30 Siegburg
S26.2	NIS2 im Energiesektor: BSI, BNetzA & EnWG Mehrfache Regulierung mit NIS2 und KRITIS im Energiesektor: Sicherheit und Resilienz für Betreiber nach dem EnWG und den BNetzA IT-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor.	8	18 Juni 2026 10:00-16:00 Köln
S26.3 NEU	Security-Programme und NIS2 Strategische Umsetzung von Cybersecurity und Compliance in Programmen: Steuerung, Streams, Methodik und Praxiserfahrungen in Unternehmen und Konzernstrukturen, die erfolgreich Regulierung meistern. OpenKRITIS x intcube	8	2. Juli 2026 10:00-16:00 Köln
S26.4	NIS2 und KRITIS für Studierende Grundlagen von NIS2 und KRITIS in Deutschland und der EU, Diskussion der Ziele staatlicher Regulierung Kritischer Infrastrukturen. Einblick in die praktische Umsetzung in der Wirtschaft. Offen für alle Fachrichtungen.	10	Sommer 2026 online

KRITIS-Dachgesetz im Bundesrat am 6. März

Paul Weissmann — Fri, 27 Feb 2026 09:00:00 +0100

Das KRITIS-Dachgesetz ist am 6. März 2026 auf der Tagesordnung des Bundesrates. Eigentlich als Formalie gedacht, gibt es vorab erneut Klärungs- und Änderungswünsche – die anstatt einer Annahme (und baldigen Verkündung) einen Vermittlungsausschuss wahrscheinlich machen.

Das KRITIS-Dachgesetz tritt damit nicht kurzfristig in Kraft. Die verschiedenen Empfehlungen (81/1/26) des Bundesrats würden jedoch nochmalige Änderungen am Gesetz nach sich ziehen:

Senkung der (KRITIS) Schwellenwerte von 500 Tsd. auf 150 Tsd. versorgte Personen
Unklarheiten bei Betreiberpflichten und Rechtsverordnungen
Unklarheiten bei Einbindung und Zustimmungspflichten der Ministerien und Länder
Fehlende Sektoren Staat und Verwaltung sowie Medien und Kultur
Aufgliederung der Aufsicht für Eisenbahn zwischen EBA und Ländern
Umgehende Vorlage der (diversen) Rechtsverordnungen

Welche Möglichkeiten in der Überarbeitung der Vorgaben in der Gesetzgebung bleiben, ist unklar.

Das KRITIS-Dachgesetz ist deutlich überfällig – die Umsetzungsfrist der EU CER-Richtlinie war im Oktober 2024. Daneben ist auch noch eine neue KRITIS-Verordnung ausstehend, um die Sektor- und Anlagendefinitionen aus KRITIS, NIS2 und KRITIS-Dachgesetz zu vereinheitlichen.

Registrierungen unter NIS2 und KRITIS

Paul Weissmann — Thu, 26 Feb 2026 09:00:00 +0100

Regulierte Unternehmen müssen sich unter NIS2 als Einrichtung oder Betreiber kritischer Anlagen beim BSI registrieren. Je nach Art des Unternehmens und Regulierung gibt es ab 2026 vielfältige Registrierungspflichten und Portale – die ersten Fristen enden schon am 6. März 2026.

Nach der Feststellung der Betroffenheit beginnt der Weg der Registrierung> Über ELSTER-Zertifikate müssen in einem Portal der Bundesverwaltung Zugänge für das BSI-Portal registriert werden, in dem NIS2-Registrierungen und Meldepflichten vorgenommen werden. Für bestimmte Einrichungen der digitalen Infrastruktur und Betreiber kritischer Anlagen bestehen zusätzliche Registrierungspflichten.

NIS2-Einrichtungen registrieren sich nach §33 (1) BSIG beim BSI im neuen BSI-Portal registrieren, mit Angaben zur Einrichtung.
Betreiber kritischer Anlagen, bisher KRITIS, müssen sich nach §33 (2) BSIG mit Anlage, Kontaktstelle usw. registrieren, bisher im MIP (Melde- und Informationsportal), wird durch §8 ersetzt.
Betreiber kritischer Anlagen müssen sich mit dem kommenden §8 KRITIS-Dachgesetz beim BBK und/oder BSI registrieren
Besondere Einrichtungen im Sektor Digitale Infrastruktur müssen sich nach §34 BSIG mit Details zum Konzernverbund und weiteren Entitäten in der EU beim BSI registrieren.
Auch die kritischen Komponenten müssen, wenn vorhanden, nach §33 (2) BSIG oder §8 KRITIS-Dachgesetz beim BBK und BSI registriert werden.

Das OpenKRITIS-Betreiberforum

Paul Weissmann — Tue, 24 Feb 2026 09:00:00 +0100

Das OpenKRITIS Betreiberforum ist ein interaktives Austauschformat für regulierte Unternehmen, die gemeinsam Fragen rund um NIS2 und KRITIS und aktuelle Themen diskutieren wollen.

Das Ziel ist Lernen von anderen Betreibern in einer Gruppe mit Gleichgesinnten. Dabei können eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Das Betreiberforum findet alle zwei Monate in Köln nach Anmeldung statt und richtet sich an direkt regulierte Einrichtungen in NIS2 und KRITIS.

Geplante Themen Betreiberforum, Stand Februar 2026
Anmeldung über unser Schulungsbüro.
ID	Termin	Schwerpunkt	Format
F26.1	5. Februar 2026 durchgeführt	NIS2-Programme Zentrale Planung, dezentrale Umsetzung Practices von NIS2-Programmen im Konzern	8 Teilnehmer In Person in Köln
F26.2	26. März 2026 voll besetzt	Prüfungen in NIS2 Neue Prüferschulungen vom BSI Wie wird in NIS2 ab 2026 geprüft?	8 Teilnehmer In Person in Köln
F26.3	21. Mai 2026	BCM in NIS2 Anforderungen NIS2 und BCM Aufbau BCMS, Integration ISMS	3 freie Plätze In Person in Köln
F26.4	Juli 2026	Vorfälle und Sensorik Sensorik im SOC und SIEM (SzA) Meldepflichten	6 freie Plätze In Person in Köln
F26.5	Sommer 2026	EnWG und Sicherheitskataloge	In Planung

Implementing Act: Sicherheitsvorfälle

Paul Weissmann — Mon, 23 Feb 2026 09:00:00 +0100

Für bestimmte Einrichtungen der Digitalen Infrastruktur gibt es unter EU NIS2 nach Art. 23 einen EU Implementing Act, der definiert, wann Sicherheitsvorfälle erheblich sind. Diese EU-Durchführungsverordnung C(2024) 7151 ist seit 2024 in Kraft und betrifft viele Internet und IT-Provider.

Für andere Sektoren und Einrichtungen sind diese Vorgaben nicht verbindlich, können aber als Orientierung für Kriterien von erheblichen Sicherheitsvorfällen dienen. Die Kriterien Art. 2-14 betreffen die Feststellung von erheblichen Sicherheitvorfällen, die mindestens meldepflichtig sind.

* - 5% oder 1 Mio. Nutzer in der EU, je nachdem, welcher Wert kleiner ist
Einrichtungen in der IT	Erhebliche Sicherheitsvorfälle Vorfälle mit folgenden (möglichen) Konsequenzen:
Alle Betreiber Art. 3	Finanzielle Verluste über 500 Tsd. EUR oder 5% vom Gesamtumsatz Maliziöser Zugriff auf Netz- und Informationssysteme, Verlust von Geschäftsgeheimnissen Tod, möglicher Tod oder schwere Gesundheitsschäden einer natürlichen Person Wiederkehrende Vorfälle (Art. 4) oder Betreiber-spezifische Vorfälle (Art. 5-14) Nicht: Geplante Wartungsfenster und Unterbrechungen
Wiederkehrende Incidents Art. 4	Zweimal in den letzten sechs Monaten Anscheinend dieselbe Root-Cause Haben zusammen die Auswirkungen der o.h. finanziellen Verlusten
DNS-Provider Art. 5	Namensauflösung nicht erreichbar, Schutzziele (C/I/A) verletzt
TLD-Registries Art. 6	Namensauflösung nicht erreichbar, Schutzziele (C/I/A) verletzt
Cloud-Provider Art. 7	Cloud Computing Service limitiert oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Rechenzentren Art. 8	Rechenzentrumsdienst ausgefallen, nicht verfügbar, Schutzziele (C/I/A) verletzt* Physischer Zugang zum Rechenzentrum ist kompromittiert
CDN-Betreiber Art. 9	Content Delivery Network eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
MSP und MSSP Art. 10	Managed Service eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Marktplätze Art. 11	Marktplatz eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Suchmaschinen Art. 12	Suchmaschine eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Social Media Art. 13	Soziales Netzwerk eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Trust Services Art. 14	Trust Service eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt Physischer Zugang sensiblen Netz- und Informationssystemen kompromittiert

KRITIS in Zahlen seit 2024

Paul Weissmann — Mon, 09 Feb 2026 11:00:00 +0100

Neue KRITIS in Zahlen vom BSI zum 4. Quartal 2025 – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden zu Ende Dezember 2025 aktualisiert: wenig Bewegung.

Ende 2025 gab es 1.211 Betreiber mit 2.136 KRITIS-Anlagen mit leicht verbesserten Reifegraden im ISMS, BCMS und SzA. Weiterhin Verschiebungen durch Abmeldung von Reifegraden im Sektor Finanzen durch DORA.

Die Historie der KRITIS-Reifegrade seit Anfang 2024 bis Ende 2025 basierend auf öffentlichen Zahlen. Die in Prüfungen ermittelten Reifegrade veränderten sich in den letzten beiden Jahren nur leicht – und schwankten viel um den 3.0-Mittelwert mit leichten Ausschlägen nach oben und unten.

An den Gesamtreifegraden der KRITIS-Betreiber im ISMS, BCMS und der Angriffserkennung hat sich tatsächlich nur im Nachkommabereich etwas geändert, auch wenn eine leichte Tendenz nach oben erkennbar ist. Die rote Laterne der Sektoren Gesundheit und Transport ist relativ konstant, während der Sektor Digitale Infrastruktur seit langem gut abschneidet.

Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben. Dopplungen möglich

EU Cybersecurity Act 2

Henri Jaeger — Wed, 28 Jan 2026 11:00:00 +0100

Der EU Cybersecurity Act (CSA) ist das europäische Rahmenwerk für Cybersecurity. EU CSA legte 2019 die Grundsteine für umfangreiche Cybersecurity-Regulierung und Governance in der EU und wird 2026 mit dem CSA2 überarbeitet.

Mit EU CSA2 sollen ICT-Lieferketten in der EU gestärkt und geschützt werden, Zertifizierungen für und Compliance mit EU-Regulierungen erleichtert und vor allem die Rolle der ENISA gestärkt werden.

ICT Toolbox: CSA2 führt ein EU-weites Rahmenwerk zum Schutz kritischer Lieferketten in den NIS2-Sektoren ein. Damit sollen kritische ICT-Supplier (IT-Provider, Cloud, ...) durch Bewertungen auf EU-Ebene identifiziert und geschützt (reguliert) werden können.
Hoch-Risiko Lieferanten: Neue Mechanismen für Lieferanten und Dienstleister mit Sitz in oder Kontrolle durch Drittländern. Dafür soll es Listen und Kontrollmechanismen durch die EU geben. (Potenzielle Schnittmenge zu Kritische Komponenten und Souveränitätsdebatte.)
European Cybersecurity Certification Framework: Die Nutzung von Zertifizierungen im Rahmen von EU CSA und EU-Regulierungen soll deutlich vereinfacht werden – mit (neuen) Zertifizierungsschemata für Klassen von IT-Anbietern, Wirksamkeit, Cyber-Posture u.v.m.
ENISA in CSA2: Die operativen Aufgaben und das Mandat der ENISA für Warnungen, Koordinieren von Schwachstellen, Support, und Tools und Plattformen für die Cyber Posture der EU.
EU NIS2: Die 2023 in Kraft getretene EU NIS2 Richtlinie soll mit CSA2 überarbeitet werden

EU CSA2 wird aktuell als Vorschlag der Kommission zwischen Rat und EU Parlament verhandelt (im Trialog) – mit noch viel Abstimmungsbedarf und unterschiedlichen Positionen.

KRITIS-Dachgesetz in 2026

Paul Weissmann — Tue, 27 Jan 2026 09:30:00 +0100

Für das KRITIS-Dachgesetz gibt es Ende Januar 2026 eine neuerliche Änderungsversion der Regierungsfraktionen. Damit wird in Teilen auch auf die Kommentare des Bundesrats Ende 2025 eingegangen, dass die Schwellenwerte von 500.000 versorgten Bürgern “zu hoch” seien.

Die Änderungen in 2026 betreffen vor allem die Logik der Festlegung kritischer Anlagen – die deutlich um Länderzuständigkeiten erweitert wird.

Betreiber, die unterhalb von KRITIS-Schwellenwert kritisch werden, können neben dem BMI, falls der Sektor auf Bundesebene reguliert wird auch durch Länder (!) bestimmt werden.
Länder können Betreiber unterhalb von Schwellenwerten mittels einer neuer Rechtsverordnung bestimmen, falls die zuständige Behörde eine Landesbehörde ist.
Betreiber kritischer Anlagen, durch Landesbehörden mit anderen Nachweisen
Kritische Komponenten müssen bei der Registrierung mitgemeldet werden (an das BSI)
Anpassungen der Meldepflicht an das BBK: Weiterleitungen, Lagebilder
Erhöhung der Geldbußen auf bis zu 1 Mio. EUR
Anpassung der Definitionen kritische Anlagen (KRITIS-Anlagen) auch im BSI-Gesetz
Anpassung der Registrierung Betreiberm kritischer Anlagen auch im BSI-Gesetz
Fristen wurden entschärft – viele Daten liegen nun unbestimmter und/oder in der Zukunft: Nationale Risikoanalysen, Nationale Resilienzstrategie

Die Sektoren mit Zuständigkeit von Landesbehörden sind, nach den letzten Entwürfen: Gesundheitswesen, Wasser, Ernährung, Entsorgung, und einige noch unbestimmte Dienstleistungen. Die Anlagendefinitionen in einer neuen KRITIS-Verordnung fehlen allerdings noch.

Ein baldiges Inkrafttreten nun scheint möglich. Weitere Gesetze werden dann auch geändert.

Aktualisierung von EU NIS2 in 2026

Paul Weissmann — Mon, 26 Jan 2026 00:30:00 +0100

Die EU NIS2-Richtlinie soll 2026, zwei Jahre nach Inkraftreten in der EU überarbeitet werden. Im Rahmen des Cyber Security Act 2 (EU CSA2) von Anfang 2026 schlägt die Kommission Anpassungen und Erweiterungen von NIS2 vor. Die Betroffenheit von NIS2 soll etwas abgeschwächt und damit die Wirtschaft und Aufsichtsbehörden entlasten werden.

Anpassung des Scopes betroffener Unternehmen – höhere Grenzen Essential Entities
Betroffenheit von Einrichtungen von strategic dual-use infrastructure
Neue Entities in Scope – Business und Identity Wallets
Auschluss von kleinen und “micro-” DNS-Anbietern
Berücksichtigung von Post-Quanten-Kryptographie in nationalen Cyberstrategien
Harmonisierung der Implementing Acts und Maßnahmen
Koordinierte Datensammlung für Ransomware-Angriffe

Die Grenzen der großen Unternehmen, die Essential Entities werden, sollen im NIS2-Update 2026 erhöht werden, wozu die small mid-cap enterprises neu eingeführt werden. Die Grenzen der Essential Entities als Großunternehmen werden dann oberhalb der small mid-cap neu definiert.

An den größenunabhängig regulierten Essential Entities soll es auch Änderungen geben. Weitere Änderungen sollen noch im Energiesektor vorgenommen werden, mit einem Schwellenwert von 1 MW für Einrichtungen sowie neu betroffene Unterseekabel.

Die Kommission soll für EU Implementing Acts regelmäßig die Notwendigkeit von sektoralen oder Einrichtungs-spezifischen Maßnahmenkatalogen prüfen, Mitgliedsstaaten sollen Maßnahmen und Bedrohungen von Post-Quanten-Kryptographie in ihren nationalen Cyber-Strategien berücksichtigen.

NIS2-reguliert - und nun?

Paul Weissmann — Wed, 21 Jan 2026 08:30:00 +0100

Seit Ende 2025 fallen Tausende Unternehmen in Deutschland unter die NIS2-Regulierung: Betreiber kritischer Anlagen (KRITIS) und viele Unternehmen in NIS2-Sektoren. Nach der eigenen Identifikation müssen sich betroffene Unternehmen in drei Monaten – bis 6. März 2026 beim BSI registrieren.

Dann folgen Pflichten und Cybersecurity unmittelbar nach Registrierung: Meldung von Sicherheitsvorfällen, Umsetzung der Maßnahmen sowie Nachweise und Audits (KRITIS). Eine Übersicht:

Pflicht	Handlung	Verantwortlich (A) (R)	Dritte (C/I)	Wann
Identifikation	Betroffenheit Einrichtung Betroffenheit Anlagen	GF			jährlich bei Änderungen
Registrierung	Registrierung Einrichtung beim BSI Registrierung Anlagen beim BSI/BBK	GF		BSI BBK	nach Identifikation bei Änderungen
Geltungsbereich	Anlagen und eigenen Scope definieren im Unternehmen	GF	Stabsstelle CISO		nach Identifikation bei Änderungen
Meldepflicht	Erhebliche Sicherheitsvorfälle Vorfälle	GF	CISO SOC	BSI BBK	unverzüglich
Komponenten	Freigabe Kritische Komponenten	GF	Stabsstelle CISO	BMI	vor Einsatz
Cybersecurity	Maßnahmen §30 BSIG umsetzen	GF	Fachbereiche CISO		regelmäßig
Resilienz	Maßnahmen §30 BSIG umsetzen Maßnahmen DachG umsetzen	GF	Fachbereiche CISO		regelmäßig
Angriffserkennung	Maßnahmen §31 BSIG und OH SzA	GF	SOC/CISO		regelmäßig
Dokumentation	Nachweis Umsetzung BSIG	GF	CISO	(BSI)	regelmäßig
Prüfungen	Audit Umsetzung BSIG in Anlagen Audit Umsetzung DachG in Anlagen	GF	Prüfer	BSI BBK	alle 3 Jahre
Reifegrade	Reifegrade BSI RUN	GF	Prüfer	BSI	Prüfungen
Betriebsführung	Betriebsführung im EnWG	GF	Betriebsführer	BNetzA	konstant
Bußgelder	Sanktionen Verstöße BSIG Sanktionen Verstöße DachG	GF		BSI BBK	bei Anlaß

NIS2 und der CS&R in Großbritannien

Paul Weissmann — Mon, 19 Jan 2026 10:30:00 +0100

Während die NIS2-Umsetzung in der EU im Gange ist, arbeitet auch Großbritannien an NIS2 und aktualisiert die Regulierung Kritischer Infrastrukturen mit NIS2-artigen Verpflichtungen.

Die Vorgaben aus EU NIS (2016) hat UK mit der eigenen NIS-Verordnung 2018 umgesetzt. Obwohl nicht mehr Teil der EU, besteht für Großbritannien weiterhin der Anreiz, sich an NIS2-ähnliche Cyber-Vorgaben anzupassen. Dies verringert die Hürden in der Compliance britischer Unternehmen, die auf dem britisch-europäischen Markt tätig sind als Betreiber und als Dienstleister.

In 2024 versprach die britische Regierung, dass das NIS-Regime von 2018 dringend aktualisiert werden müsse. Diese Aktualisierung durch den Cyber Security and Resilience Bill (CS&R Bill) nimmt Gestalt an. Das Gesetz wurde im November 2025 ins Unterhaus eingebracht und wird voraussichtlich 2026 vom Parlament verabschiedet.

Die britische NIS-Regulierung ändert sich durch CS&R deutlich:

Ausweitung des Geltungsbereichs über Betreiber wesentlicher Dienste hinaus, Erweiterung der britischen Sektoren und Ergänzung einiger digitaler Anbieter und Dienste
Neue Regulierung von designierte kritische Lieferanten als direkten Hebel für eine kleine Anzahl von Lieferanten mit großer Wirkung, einschließlich grenzüberschreitender Lieferketten
NIS2-ähnliche zweistufige Struktur für die Meldung von Vorfällen (24/72 Stunden)
Stärkere Befugnisse der Regulierungsbehörden (Informationsaustausch, Durchsetzungs, Kosten)
NIS2-ähnliche umsatzabhängige Sanktionen
Flexibilität in der Anpassung von Schwellenwerten und Anforderungen in sekundären Vorschriften

NIS2 in Deutschland verkündet

Paul Weissmann — Fri, 05 Dec 2025 08:30:00 +0100

Das NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und damit verkündet. Die NIS2-Umsetzung tritt nun nach jahrelanger Gesetzgebung endlich in Deutschland in Kraft, mit vielen geänderten Gesetzen wie dem neuen BSIG, EnWG und TKG.

In der deutschen NIS2-Umsetzung gibt es keine Übergangsfristen mehr für regulierte Unternehmen: Tausende Einrichtungen müssen sich identifizieren, registrieren und dann alle NIS2 Cybersecurity-Pflichten umsetzen – vom Risikomanagement über ISMS und Resilienz bis zu SSO und MFA.

Pflicht	Kritische Anlagen	Einrichtungen
Geltungsbereich	Anlage	Unternehmen
Maßnahmen Risikomanagement §30	*	x2713;
Höhere Maßstäbe für KRITIS §31 (1)	x2713;
Besondere Maßnahmen SzA §31 (2)	x2713;
Meldepflichten §32	*	x2713;
Registrierung §33 §34	x2713;	x2713;
Unterrichtungspflichten (Kunden) §35	*	x2713;
Geschäftsleitung Umsetzung §38	*	x2713;
Nachweise und Prüfungen §39	x2713;	§61§62

Das OpenKRITIS-Betreiberforum

Paul Weissmann — Tue, 02 Dec 2025 09:30:00 +0100

Das OpenKRITIS Betreiberforum ist ein interaktives Austauschformat für regulierte Unternehmen, die gemeinsam Fragen rund um NIS2 und KRITIS und aktuelle Themen diskutieren wollen.

Das Ziel ist, von anderen Betreibern zu lernen – in einer Gruppe mit Gleichgesinnten. Dabei können eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Das Betreiberforum findet ab Februar 2026 alle zwei Monate in Köln mit Anmeldung pro Termin statt. Es richtet sich an direkt regulierte Einrichtungen in NIS2 und KRITIS. Vorwissen und aktives Einbringen sind erwünscht.

Geplante Themen Betreiberforum, Stand November 2025
ID	Schwerpunkt	Themen
Februar 2026	NIS2-Programme	Zentrale Planung, dezentrale Umsetzung Practices von NIS2-Programmen im Konzern
März 2026	Prüfungen in NIS2	Neue Prüferschulungen vom BSI Wie wird in NIS2 ab 2026 geprüft?
Q2 2026	BCM in NIS2	Anforderungen NIS2 und BCM Aufbau BCMS, Integration ISMS
Q2 2026	Vorfälle und Sensorik	Sensorik im SOC und SIEM (SzA) Meldepflichten
Q2-Q3 2026	KRITIS-Dachgesetz	Betreiber mit Doppelregulierung BCM, Krisen und physische Sicherheit
Q2-Q3 2026	Kritische Komponenten	Kritische Funktionen im Energiesektor Umgang, Definition, Vergabe

Cyber Resilience Act: EU CRA

Henri Jäger — Mon, 01 Dec 2025 00:30:00 +0100

Der EU Cyber Resilience Act (EU CRA) schafft in der EU einen einheitlichen Rechtsrahmen für Cybersicherheit von Produkten mit digitalen Elementen. Mit CRA werden Hersteller zur sicheren Entwicklung von digitalen Produkten und zum Support über den gesamten Lebenszyklus für Cybersicherheit dieser Produkte verpflichtet.

EU CRA wurde im Oktober 2024 vom Europäischen Rat verabschiedet und tritt in Stufen bis Dezember 2027 in kraft. EU CRA kann als Ergänzung zur EU NIS2 Richtlinie gesehen werden, welche umfassende Anforderungen an Cybersecurity bei Betreibern in der EU macht, jedoch keine Anforderungen an Sicherheit von Produkten enthält. Dies soll der CRA ergänzen.

Hersteller regulierter Produkte müssen Cybersecurity-Pflichten umsetzen, Cybersecurity-Risiken bewerten und viel dokumentieren und bewerten (lassen). Regulierte Unternehmen und Betreiber nach NIS2 und KRITIS sind indirekt von CRA betroffen – bei der Beschaffung regulierter Produkten und Überschneidungen mit kritischen Komponenten.

Gruppe	CRA	Anforderung
Produkte	Annex I Part I	Cybersecurity in Produkten
Hersteller	Art. 13 Art. 14 Annex I Part II Art. 31 Annex VII	Cybersecurity bei Herstellern Meldepflichten Schwachstellenmanagement Technische Dokumentation Detaillierte Technische Dokumentation
Einfuhr und Handel	Art. 19 Art. 20	Pflichten in der Einfuhr Pflichten im Handel
Konformität	Art. 32 Annex VIII Art. 28	Konformitätsbewertung Bewertungsschema (Modul A, B, C, H) Konformitätserklärung
Betreiber und Einrichtungen	- §41 BSIG-E Art. 8 (2)	Einkauf und Beschaffung Kritische Komponenten Kritische Produkte

NIS2 und KRITIS bis Ende 2025

Paul Weissmann — Thu, 27 Nov 2025 09:30:00 +0100

Das NIS2-Umsetzungsgesetz hat mittlerweile Bundestag und Bundesrat passiert und wird wohl Ende 2025 verkündet – mit sehr baldigem Inkrafttreten. Nach der de-facto Übergangsphase seit Oktober 2024 kommt auf regulierte Unternehmen ab Ende 2025 einiges zu – vieles davon sehr bald.

In der NIS2-Umsetzung gibt es keine Übergangsfristen: Für Tausende Unternehmen gilt es zu identifizieren, registrieren (3 Monate) und dann alle NIS2 Cybersecurity-Pflichten.
Das KRITIS-Dachgesetz naht auch. Für Betreiber kritischer Anlagen (KRITIS) kommen dann noch detailliertere Resilienz und physische Schutzmaßnahmen dazu.
Der Energiesektor darf noch auf neue IT-Sicherheitskataloge der BNetzA warten: Anpassung an NIS2, Integration KRITIS-Dachgesetz, Nachweise sowie kritische Komponenten.
Für Cloudbetreiber und IT-Provider gilt zusätzlich der Implementing Act der EU mit genauen NIS2-Vorgaben und Meldepflichten.
KRITIS-Anlagen und Schwellenwerte werden in neuen KRITIS-Verordnungen noch angepasst. Die Sektoren eigentlich auch, aber in welche Richtung die Änderungen gehen – noch offen.
Die EU hat beim Vertragsverletzungsverfahren und der Notifizierung der Gesetze mitzureden. Und andere EU-Länder und deren Unternehmen warten, dass es endlich ein belastbares Gesetz gibt.

Es bleibt viel zu tun!

Stand der NIS2-Umsetzung im Herbst 2025

Paul Weissmann — Fri, 17 Oct 2025 09:30:00 +0100

In die Umsetzung von NIS2 in Deutschland ist im Herbst 2025 Bewegung gekommen. Nach langem Warten ging das NIS2-Umsetzungsgesetz im Sommer aus dem Bundeskabinett in die Gesetzgebung, die sich nach der Sommerpause im Bundestag und Bundesrat fortsetzt.

Gesetz: Die NIS2-Umsetzung wurde seit 2024 im Bundeskabinett (Regierungsentwurf) und Bundestag (21/1501) nur noch sehr wenig geändert.
Sachverständige: In der öffentlichen Anhörung im Bundestag äußerten Sachverständige Mitte Oktober Kritik an der NIS2-Umsetzung (hib 507/2025).
Stellungnahmen: Der Bundesrat nahm im Oktober kritisch Stellung zu Regelungen der NIS2-Umsetzung (369/1/25), gefolgt von einer Gegenäßerung der Bundesregierung (21/2072).
Inkrafttreten: Es ist nicht unwahrscheinlich, dass die NIS2-Umsetzung mit nur noch wenig materiellen Änderungen Ende 2025 oder Anfang 2026 in Kraft tritt.

Die Umsetzung vom KRITIS-Dachgesetz scheint unklarer – das Gesetz selbst wirkt in den Versionen seit 2024 noch unausgegoren(er) mit wenig Änderungen der aktuellen Regierung und ebenso wenig Diskussionen zur Gesetzgebung.

Weiterhin offen verbleiben auch noch: eine neue KRITIS-Verordnung, welche Anlagen für NIS2 und KRITIS-Dachgesetz anpasst und harmonisiert und viele Kataloge und Vorgaben von BSI und BNetzA für die Umsetzung bei Betreibern, Sektoren (IT-Sicherheitskataloge Energie und TK) und Prüfungen.

Es gleibt spannend – die vielen regulatorische Änderungen ab Anfang 2026 sind absehbar.

Geltungsbereich für NIS2 und KRITIS

Hanna Lurz — Fri, 10 Oct 2025 10:30:00 +0100

Der Geltungsbereich regulierter Unternehmen definiert und beschreibt den regulierten Bereich mit den notwendigen Prozessen und IT/OT. NIS2 erweitert den Geltungsbereich in betroffenen Unternehmen gegenüber KRITIS deutlich. Zukünftig fallen große Teile von Unternehmen unter die Regulierung.

Es gibt mehrere Geltungsbereiche je nach Betroffenheit als reguliertes Unternehmen:

Betreiber kritischer Anlagen (KRITIS) mit definierten Anlagen über Schwellenwert. Dort sind die Anlage (KRITIS) und kritische Dienstleistung (kDL) mit Prozessen und IT im Scope.
NIS2-Einrichtung als ganze Legaleinheiten nach Unternehmensgröße. Geltungsbereich ist das ganze Unternehmen als Legaleinheit mit “sämtlichen Aktivitäten” und praktisch der ganzen IT

In den verschiedenen Scopes im Geltungsbereich gelten dann, je nach genauem Sektor und Unternehmensart, verschiedene NIS2- und KRITIS-Vorgaben:

Geltungsbereich	Abgedeckt	Anforderungen
Einrichtung	ganze Legaleinheit	NIS2-Anforderungen §30§32§33§35§38
Kritische Anlage wenn vorhanden	Systeme, Komponenten und Prozesse der kritischen Dienstleistung (Anlage)	NIS2 und KRITIS-Anforderungen §30§31§32§33§35§38§39 Resilienz-Anforderungen KRITIS-DachG

Der Geltungsbereich muss von regulierten Einrichtungen und Betreibern selbst im Detail definiert und in einem Geltungsbereichsdokument beschrieben werden.

Kritische Komponenten im Energiesektor: 5G-Moment?

Jakob Nischan — Tue, 30 Sep 2025 09:30:00 +0100

Die Umsetzung von NIS2 in Deutschland schafft mit §41 BSIG-E eine sektorübergreifende Generalklausel für kritische Komponenten und löst die Debatte aus dem 5G-Kontext der Telekommunikation. Im Energiesektor treffen erweiterte Pflichten und unklare Betroffenheit auf ein anderes Marktumfeld als im TK-Bereich mit dezentraleren Akteuren, Sicherheitsanforderungen und langen Investitionszyklen.

Für den Energiesektor rücken dadurch Beschaffung, Haftung und Planungssicherheit mehr in den Fokus. Das Editorial Kritische Komponenten im Energiesektor: 5G-Moment? fasst die Ergebnisse einer Forschungsarbeit von Jakob Nischan (2025) zusammen und beantwortet die Frage, ob mit NIS2 in kritischen Komponenten ein neuer 5G-Moment bevorsteht.

Im Rahmen einer Forschungsarbeit haben wir untersucht, wie Betreiber und Hersteller auf die veränderte Gesetzeslage reagieren. Im Mittelpunkt stand die Untersuchung, wie vormals apolitische oder technische Fragen zunehmend durch die Linse (nationaler) Sicherheit betrachtet werden, sodass die Trennlinie zwischen technischer Debatte und sicherheitspolitischen Logiken verwischt.

Anders als Staaten, die mit unternehmensbezogenen Ansätzen den Marktzugang ausländischer Technologieanbieter beschränken (z. B. durch Blacklists), erlaubt das deutsche Recht Eingriffe auf Ebene einzelner Hardware- oder Softwarekomponenten, sofern diese für den sicheren Betrieb Kritischer Infrastrukturen wesentlich sind. Mehr im Editorial zu Kritischen Komponenten im Energiesektor.

OpenKRITIS Winter School 2025-2026

Paul Weissmann — Wed, 17 Sep 2025 12:30:00 +0100

Kompaktes Schulungsprogramm mit OpenKRITIS – Sicherheit und Resilienz für regulierte Einrichtungen in der OpenKRITIS Winter School 2025-2026 ab November 2025. Nach den beliebten Durchläufen in 2024 und 2025 nun die dritte Winter School mit vier kompakten Schulungen.

Die Winter School richtet sich mit intensiven Kurzworkshops an Verantwortliche bei regulierten Einrichtungen für NIS2, KRITIS und EnWG, die eine Einordnung und Erfahrungen in der Umsetzung von ISMS und BCMS suchen. In zwei Online und zwei Vor-Ort Terminen im Rheinland liegt der Schwerpunkt auf Interaktion und vielen Fragen aus dem Plenum.

ID	Thema	Plätze	Termin
W26.1	NIS2 und KRITIS-Betroffenheit – und nun? Roadmap zu NIS2 für regulierte Einrichtungen mit Erfahrung. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.	8	6. November 2025 9:30-12:30 online
W26.2	Bootcamp NIS2 und KRITIS: ISMS und Resilienz OpenKRITIS x 3-Core Dieses eintägige Bootcamp richtet sich an regulierte Unternehmen, die in KRITIS und NIS2 vor den Herausforderungen eines integrierten ISMS, BCMS und physischen Schutzanforderungen stehen.	12	20. November 2025 9:30-15:30 Bonn
W26.3	NIS2 im Energiesektor: BSI, BNetzA & EnWG Mit NIS2 bleibt mehrfache Regulierung im Energiesektor erhalten. Betreiber von Netzen und Anlagen fallen neben KRITIS und NIS2 unter EnWG und viele neue BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor.	8	22. Januar 2026 10:00-16:00 Köln
W26.4	NIS2 und KRITIS für Studierende Ein Einstieg in Kritische Infrastrukturen. Grundlagen von NIS2 und KRITIS in Deutschland und der EU, Diskussion der Ziele staatlicher Regulierung Kritischer Infrastrukturen. Einblick in die praktische Umsetzung in der Wirtschaft. Offen für alle Fachrichtungen.	8	7. Januar 2026 10:00-13:00 online

KRITIS-Dachgesetz: Neuer Entwurf August 2025

Paul Weissmann — Mon, 01 Sep 2025 08:30:00 +0100

Das Innenministerium hat einen neuen Entwurf des KRITIS-Dachgesetzes veröffentlicht. Dieser Referentenentwurf des KRITIS-DachG von August 2025 ist sehr ähnlich zum Entwurf der vorigen Bundesregierung aus November 2024. Geregelt werden für Betreiber kritischer Anlagen Resilienz und physische Sicherheit. Das KRITIS-Dachgesetz könnte bis Ende 2025 oder Anfang 2026 in Kraft treten.

Die Änderungen im KRITIS-Dachgesetzes gegenüber 2024 sind minimal:

Kosmetische Anpassungen (Ministerien, Definitionen)
Jederzeit erreichbare Kontaktstelle
Öffentliche Branchenstandards (B3S)
IP-Adressbereiche bei Registrierung

Einiges bleibt noch offen bis zur Verkündung: Definitionen aller kritischer Sektoren, Dienstleistungen und zuständigen Behörden auf Bundesebene (zusätzlich zu Ländern). Ebenso eine Konkretisierung der Resilienzvorgaben in Resilienz- und Branchenstandards (B3S).

KRITIS in Zahlen – Reifegrade Sommer 2025

Paul Weissmann — Sat, 16 Aug 2025 08:30:00 +0100

Die Auswertung KRITIS in Zahlen (beim BSI) wurden im Sommer aktualisiert – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden im Juli aktualisiert mit Stand Juni 2025: Es gibt neue Betreiber und mehr Reifegrade, aber inhaltlich wenig Änderungen.

Mitte 2025 gab es 1.208 Betreiber (Dopplungen möglich) mit 2.144 KRITIS-Anlagen mit nur leicht veränderten Reifegraden im ISMS, BCMS und SzA. Der KRITIS-Sektor Gesundheit ist bei ISMS und BCMS wieder das Schlusslicht und ünernahm die rote Laterne vom Sektor Transport und Verkehr. BCM generell mit sinkender Tendenz. Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben.

Network Code on Cybersecurity (NCCS) im Energiesektor

Jakob Nischan — Fri, 15 Aug 2025 12:30:00 +0100

Für Betreiber von Stromnetzen gibt es neben der KRITIS und neuen NIS2-Regulierung ab Ende 2025 auch den EU Network Code on Cybersecurity (NCCS). EU NCCS regelt die Sicherheit von grenzüberschreitenden Stromflüssen in der EU und wurde 2024 von der EU-Kommission verabschiedet. Es gibt eine Schnittmenge mit NIS2, NCCS geht für betroffene Einrichtungen mehr in die Tiefe.

Betroffen von EU NCCS sind drei Gruppen an Unternehmen im Energiesektor: NCCS Electricity system operators and market actors (TSO, DSO, NEMO, RCC und weitere), Service and governance entities (kritische ICT-Provider, Managed Security Service Providers und weitere) und schließlich Third-country actors (nicht-EU Einrichtungen mit Einfluss auf grenzüberschreitende Stromflüsse).

EU NCCS fordert von betroffenen Unternehmen Cybersecurity-Maßnahmen und regulierte Prozesse: Ein Management-System (CSMS/ISMS), Lieferketten-Sicherheit, Vorfallsmeldungen, Audits und Compliance sowie Teilnahme am Monitoring. Unternehmen müssen von nationalen Behörden nominiert werden, und fallen dann (meist) unter EU NIS2/NCCS Doppelregulierung (neben EnWG & co.).

Kabinettsentwurf NIS2-Umsetzung von Ende Juli 2025

Paul Weissmann — Mon, 04 Aug 2025 12:30:00 +0100

NIS2 wird in Deutschland wohl Ende 2025 oder Anfang 2026 endlich umgesetzt. Nach einer kurzen Frist und vielen Rückmeldungen zum Referentenenwurf gab es Ende Juli dann die beschlossene Kabinettsversion vom NIS2-Umsetzungsgesetz. Trotz der vielen Stellungnahmen und Diskussionen hat sich für die Wirtschaft seit 2024 nicht mehr viel geändert, für die Bundesverwaltung umso mehr.

Die Änderungen der NIS2-Kabinettsversion nach der Verbändeabstimmung sind gering:

Betreiber mit Nachweisfrist innerhalb von zwölf Monaten nach Inkrafttreten des neuen Gesetzes können den Nachweis innerhalb dieses Zeitraums noch einmal nach bisherigen §8a BSIG-Vorgaben erbringen. OpenKRITIS kommentierte und begrüßt die Änderung.
Viele Änderungen der Vorgaben für die Bundesverwaltung, Anpassung der verbindlichen Pflichten und konkreten Anforderungen.
Anpassung der Definitionen zu KRITIS-Sektoren und leichte Anpassung der KRITIS-Verordnung direkt im Änderungsgesetz selbst
Definition des KRITIS-Sektors Sozialversicherung und Grundsicherung, herausgelöst bzw. als Teil vom alten Sektor Finanzen und Versicherungen.
Viele kleinere Anpassungen und Vervollständigungen an Definitionen und Vorgaben, es bleiben aber viele Punkte aus Rückmeldungen ungeklärt.
Anpassungen (Reduktion) der Aufwände für die Bundesverwaltung.

Das NIS2-Umsetzungsgesetz soll ab August weiter die Gesetzgebung passieren im Bundesrat und Bundestag. Hoffentlich kann das Gesetz im Herbst 2025 verschiedet werden, um dann Ende 2025 oder Anfang 2026 in Kraft zu treten – es gibt genug zu tun.

Beim KRITIS-Dachgesetz scheint der Weg noch länger zu sein: Neue Entwürfe und feste Absichten sind nicht publik, und die Gesetzesentwürfe für Resilienz und physischer Sicherheit haben noch deutliches Verbesserungs- und Konkretisierungspotenzial.

Neue Entwürfe der NIS2-Umsetzung im Sommer 2025

Jakob Nischan — Tue, 01 Jul 2025 09:30:00 +0100

Nach langer Zeit des Wartens gibt es seit Juni 2025 einen neuen Referentenentwurf vom NIS2-Umsetzungsgesetz. Nach einem geleakten Entwurf aus Mai dient der Juni-Entwurf der Verbändeabstimmung im Juli, das Gesetz soll dann zeitnah die Gesetzgebung nach der Sommerpause passieren.

Der Referentenentwurf Juni 2025 enthält nur noch wenig Änderungen zu den bekannten 2024er-Entwürfen, für betroffene Wirtschaftsunternehmen waren keine tiefgreifenden Änderungen erkennbar.

Anpassung der Einbindung der Wirtschaft und Verbände bei Definition
Anpassung der Definition der maßgeblichen Geschäftstätigkeit (siehe folgend)
Titel ist nun Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
Sektor Finanzwesen nun ohne Versicherungswesen
Neuer Sektor (KRITIS) Sozialversicherungsträger sowie Grundsicherung
Neue Einrichtung Digitaler Energiedienste
(Erste) Änderungen der KRITIS-Verordnung im NIS2-Umsetzungsgesetz selbst
Leichte Anpassungen von Definitionen
Ausweitung Regeln und Vorgaben auf die ganze Bundesverwaltung
Leichte Anpassungen EnWG
Anpassungen der avisierten Aufwände in der Bundesverwaltung von 2026-2029

Der Anwendungsbereich betroffener Unternehmen könnte sich noch deutlich von den bisher avisierten 30 Tsd. Einrichtungen erhöhen Während zuvor nur die NIS2-zuordenbare Tätigkeit für Betroffenheit herangezogen wurde, sollen nun sämtliche Aktivitäten eines Unternehmens berücksichtigt werden, ausgenommen vernachlässigbare Geschäftstätigkeiten. Was genau vernachlässigbar ist, wurde bislang nicht definiert, zudem ist eine Vereinbarkeit mit EU-Recht unklar.

Ein Inkrafttreten der NIS2-Umsetzung im Herbst 2025 scheint nun möglich.

Neuer IT-Sicherheitskatalog Energie 2025

Paul Weissmann — Wed, 28 May 2025 09:30:00 +0100

Betreiber von Energienetzen und Energieanlagen im Sektor Energie müssen IT-Sicherheitskataloge der BNetzA nach dem Energiewirtschaftsgesetz (EnWG) umsetzen. Für diese Betreiber gilt nicht nur das BSIG mit KRITIS und NIS2, sondern das EnWG mit sicherem Anlagen- und Netzbetrieb.

Mit NIS2 gibt es ab 2025 neue IT-Sicherheitskataloge nach §5c EnWG-E und eine turnusmäßige Überarbeitung der bestehenden §11 EnWG Kataloge. Diese Überarbeitung betrifft Energieanlagen und Energienetze aber anscheinend noch nicht alle NIS2- und KRITIS-DachG Vorgaben.

Aktuell befindet sich der neue §11 EnWG Katalog im Konsultationsverfahren bei der Bundesnetzagentur. Ein Konsultationspapier von Mai 2025 skizziert die neuen Anforderungen und Strukturen, welche die BNetzA im neuen IT-Sicherheitskatalog 2025 berücksichtigen will.

Betroffenheit: Umsetzen müssen den IT-Sicherheitskatalog sowohl Betreiber von Energienetzen und Energieanlagen als auch deren Betriebsführer.
Geltungsbereich: Zum expliziten Zertifizierungsscope gehören nun alle kritischen Systeme für kritische Prozesse. Außerhalb davon müssen allgemeine Maßnahmen umgesetzt werden.
Zertifizierungen: Weiterhin muss ein zertifiziertes ISMS nach ISO 27001 (mit ISO 27002 und ISO 27019) nachgewiesen werden, nach dem Schema der DAkkS.
Cybersecurity: Angemessene Maßnahmen nach Stand der Technik müssen risiko-basiert umgesetzt werden.
Risikomanagement: Organisiertes Management von IS-Risiken nach Allgefahren-Ansatz
Resilienz: Maßnahmen zur Betriebskontinuität müssen umgesetzt werden wie BCM, BIA, Notfallpläne und Übungen.

Die Konsultationfrist läuft bis Juni 2025 mit einer hoffentlich neuen, detaillierteren Version des IT-Sicherheitskatalogs bis Sommer. Übergangsfristen waren bis 2027 avisiert. Viele NIS2- und KRITIS-Dachgesetz-spezifische Maßnahmen fehlen noch und werden sicherlich in einer weiteren Version ergänzt.

Neue GAiN-Vorgaben und Nachweisprozesse

Paul Weissmann — Sun, 30 Mar 2025 12:30:00 +0100

Mit aktualisierten GAiN-Vorgaben für KRITIS-Prüfungen vereinfacht das BSI den Nachweisprozess ab April 2025 teils deutlich. Die GAiN-Vorgaben 2.1 legen einige Anforderungen an KRITIS-Prüfungen expliziter fest und vereinfachen dafür den Umfang der Nachweise und Anlagen.

Grundlegende Änderungen an den Nachweisen ab April 2025:

Der Geltungsbereich (PD.A) muss nur noch bei Erstprüfungen eingereicht werden
Der Prüfplan (PD.B) muss nicht mehr regulär eingereicht werden
Die Prüfkompetenz und Nachweise dafür (PS.A) verbleiben bei der prüfenden Stelle
Neue allgemeine Anforderungen zur Abdeckung aller KRITIS-Themen in Prüfungen, Stichproben, Standorte und Risiko-Management (D.PA.01 bis 05)

Der Umfang der einzureichenden KRITIS-Nachweise und Formulare verringert sich damit deutlich.

Parallel dazu stellt das BSI die Einreichung der Nachweise auf ein Online-Format im MIP um, dem Melde- und Informationsportal. Die Informationen der Formulare KI und P werden nun von Betreibern direkt online im MIP eingetragen und Nachweise hochgeladen. Damit entfällt größtenteils die Einreichtung der einzelnen PDF-Formulare für KRITIS und EnWG.

KRITIS und NIS2 für Prüfer: DIIR Digitale Tage

Paul Weissmann — Tue, 18 Mar 2025 07:30:00 +0100

Die Landschaft von KRITIS-Audits wird sich mit NIS2 deutlich verändern: mehr Sicherheitsmaßnahmen und größerer Scope. Aber: da die neuen Gesetze NIS2-Umsetzung und KRITIS-Dachgesetz noch nicht in Kraft sind, aktuell noch Prüfungen nach alter Regulierung nach §8a BSIG. Darüber haben wir am 17. März bei den Digitalen Tagen des DIIR gesprochen – die Folien sind nun online.

Neben Scope und Cybersecurity-Maßnahmen verändern sich auch die Anforderungen an KRITIS-Prüfungen: formelle GAiN-Vorgaben und RUN-Reifegrade erweitern die Prüfmethodik, die in neuen Schulungen (hoffentlich) bald gelernt werden kann. Viele gute Diskussionen zu Prüfungen in der Übergangszeit und Betroffenheit – die Folien gibt es hier und beim DIIR.

Fachsitzung KRITIS und NIS2

KRITIS und NIS2 verspätet sich – für Revisionen und Prüfer
Vortrag ∙ 7. DIIR Digitale Tage ∙ 17. März 2025

KRITIS in Zahlen - Reifegrade bei Betreibern

Paul Weissmann — Tue, 18 Feb 2025 09:30:00 +0100

Das BSI veröffentlich seit 2024 KRITIS in Zahlen - Auswertungen zu Betreibern, Anlagen und Reifegrade in Deutschland. Die Zahlen zeigen die Bundessicht auf Kritische Infrastrukturen und werden quartalsweise vom BSI aktualisiert mit Reifegraden pro Sektor.

Die Zahlen wurden im Februar aktualisiert zum Stand Dezember 2024: Es gibt neue Betreiber und mehr Reifegrade, aber inhaltlich wenig Änderungen. Ende 2024 gab es 1.132 Betreiber mit 2.095 KRITIS-Anlagen mit nur leicht veränderten Reifegraden im ISMS, BCMS und SzA. In einzelnen Sektoren und Bereichen sind aber viele Werte (Prüfungen) dazugekommen.

Der KRITIS-Sektor Gesundheit ist nach wie vor überall das Schlusslicht (⌀ 2,2 und dreimal Reifegrad 1), aber auch andere Sektoren haben Reifegrade mit Nachholbedarf. Alle Werte im Detail finden sich beim BSI. Mit RUN und weiteren Bereichen wird es ab April 2025 interessant.
Keine Gewáhr auf Vollstándigkeit oder Korrektheit der Auswertung oben.

NIS2 verspätet sich - und nun? Folien von Webinar

Paul Weissmann — Mon, 17 Feb 2025 09:30:00 +0100

Die NIS2-Umsetzung in Deutschland verspätet sich - irgendwann 2025 anstatt Oktober 2024 tritt das deutsche Gesetz in Kraft. Was bedeutet das für die vielen neuen und alten Betreiber? Gibt es eine Übergangsphase? Im OpenKRITIS-Webinar am 13. Februar haben wir diese Fragen mit knapp 100 Teilnehmern diskutiert. Die Folien vom Webinar sind nun Online.

NIS2 verspätet sich - und nun?

Ausblick auf die neue NIS2 und KRITIS-Regulierung ab 2025
Deutsch ∙ PDF ∙ Februar 2025 ∙ OpenKRITIS-Briefing

Reifegrade in der Umsetzung (RUN)

Paul Weissmann — Tue, 11 Feb 2025 09:30:00 +0100

Das BSI definiert seit 2025 mit der Reife- und Umsetzungsgradbewertung (RUN) verbindliche Reifegrade und Maßnahmen für KRITIS-Betreiber. Betreiber sollten sich in der Umsetzung von Cybersecurity daran orientieren, damit Prüfer in KRITIS-Prüfungen den Reifegrad von Managementsystemen und Maßnahmen nach RUN feststellen können.

Es gibt fünf Reifegrade und Umsetzungsgrade für Cybersecurity, die das BSI in den RUN-Vorgaben definiert hat: Managementsysteme (Reife) und Maßnahmen (Umsetzung).

Nr	Reifegrad ISMS, BCMS	Umsetzungsgrad SzA, OrgM, PersM, PhyM, TecM
1	Geplant	Ohne Maßnahmenumsetzung
2	Gesteuert	Einzelmaßnahmen, Teildurchführung
3	Etabliert	Maßnahmen umgesetzt, Prozessdurchführung
4	Messbar	Maßnahmen umgesetzt, plus Messbarkeit
5	Kontinuierlich verbessert	Maßnahmen umgesetzt, plus Verbesserung

Mit RUN hat das BSI zusätzlich Reifegraden einzelne KRITIS-Maßnahmen aus der Konkretisierung der Anforderungen (KdA) und Angriffserkennung (OH SzA) zugeordnet. Das OpenKRITIS Reifegrade-Mapping listet nun erstmalig alle relevanten KRITIS-Anforderungen pro Reifegrad mit den einzelnen Maßnahmen auf – damit wird das Mindestniveau pro Reifegrad vom BSI übersichtlicher.

Konkretisierung der Anforderungen 2025

Paul Weissmann — Mon, 10 Feb 2025 11:30:00 +0100

Der BSI-Katalog Konkretisierung der Anforderungen (KdA) definiert als quasi-Standard für Betreiber Kritischer Infrastrukturen grundlegende Cybersecurity-Anforderungen. Die KdA basiert auf dem C5 Cloud Security Standard und wird von KRITIS-Betreibern und KRITIS-Prüfern genutzt. Das BSI hat 2024 die Anforderungen für Angriffserkennung (SzA) und Reifegrade (RUN) mit der KdA integriert.

Kategorie	Beschreibung	Kontrollen
ISMS	Management-System für Informationssicherheit	21
BCM und Notfall-Management	Business Continuity Management und IT-Notfallmanagement	4
Risiko und Assets	Risiko-Management und Asset-Management	12
KRITIS	KRITIS-Organisation und Meldestelle.	2
Technologie	Technische Maßnahmen IT	36
Angriffserkennung	Systeme zur Angriffserkennung.	13
IAM	Berechtigungen	7
Gebäude	Physische Sicherheit	6
Lieferanten	Externe	2
Angriffserkennung	Logging, Detektion, Reaktion	35

Das OpenKRITIS-Mapping der Konkretisierung der Anforderungen ordnet die 135 KRITIS-Anforderungen aktuellen Cybersecurity-Standards zu und wurde 2025 an die neuen BSI-Vorgaben angepasst:

Neu NIS2-Anforderungen mit einzelnen Anforderungen aus dem EU NIS2 Implementing Act
Neu Umsetzungsgrad (RUN): Mindestniveau nach BSI RUN-Vorgaben mit Reifegraden
ISO/IEC 27001:2022: Informationssicherheit der ISO 27001 Annex A Kontrollen.
BSI C5:2020: Aktualisierter BSI Cloud Security Standard mit Neuerungen.

OpenKRITIS Winter School im März 2025

Paul Weissmann — Mon, 20 Jan 2025 11:30:00 +0100

Die OpenKRITIS Winter School 2025 richtet sich mit Kurzworkshops an Verantwortliche für einen Einstieg in die NIS2- und KRITIS-Regulierung. In halbtägigen Seminaren führen wir durch die Regulierung – mit Schwerpunkt auf Interaktion und vielen Fragen aus dem Plenum. Die Workshops in Kleingruppen mit Unternehmen werden online von OpenKRITIS durchgeführt.

ID	Thema	Termin
W25.1	NIS2 und KRITIS-Betroffenheit – und nun? Roadmap zu NIS2 für regulierte Einrichtungen mit Erfahrung. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.	25. Februar 2025 9:30-12:30 online
W25.2	Erste Schritte für Einsteiger in NIS2 und KRITISBasic Einführung in NIS2 und KRITIS für Einsteiger ohne Vorkenntnisse. Spezieller Kurs für Unternehmen, die noch keine Vorkenntnisse in NIS2 und KRITIS besitzen. Wir erarbeiten auf der grünen Wiese Grundlagen der Regulierung, Betroffenheit und Pflichten.	4. März 2025 9:30-12:30 online
W25.3	NIS2 im Energiesektor: BSI, BNetzA & EnWG Mit NIS2 bleibt mehrfache Regulierung im Energiesektor erhalten. Betreiber von Netzen und Anlagen fallen neben KRITIS und NIS2 unter EnWG und viele neue BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor.	14. März 2025 9:30-12:30 online
W25.4	Cloud und IT-Provider in NIS2 und EU Implementing Act Viele IT-Firmen werden mit NIS2 in der EU besonders reguliert. Spezielle Vorgaben und spezielle Betroffenheit für Cloud, Internet und Systemhäuser: EU-Territorialität und EU Implementing Act. Wir beleuchten den Umgang mit Betroffenheit und EU-Vorgaben.	25. März 2025 9:30-12:30 online
W25.5	German Critical Infrastructure: KRITIS and NIS2 Introduction to German KRITIS and NIS2 regulation. Regulations and requirements for Critical Infrastructures can be complex for companies with German subsidiaries and clients. We dive into scoping, requirements and practical next steps.	1. April 2025 9:30-12:30 online

RUN-Anforderungen für KRITIS-Prüfungen ab 2025

Paul Weissmann — Wed, 15 Jan 2025 08:30:00 +0100

Das BSI hat neue Prüfvorgaben für KRITIS-Prüfungen ab dem 1. April 2025 veröffentlicht. Mit den RUN-Vorgaben müssen Reife- und Umsetzungsgrade bei Betreibern erhoben werden. RUN, die Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung, bringt viele neue und zusätzliche Anforderungen für KRITIS-Prüfer ab 2025.

RUN definiert jeweils fünf Reifegrade und fünf Umsetzungsgrade, um die Reife von Managementsystemen und den Umsetzungsstand von Maßnahmen durch Prüfer bewerten zu lassen:

Informationssicherheit (ISMS)
Business Continuity (BCMS)
Organisatorische Maßnahmen (OrgM)
Personenbezogene Maßnahmen (PerM)
Physische Maßnahmen (PhyM)
Technische Maßnahmen (TecM)
Angriffserkennung (SzA)

Die Reifegrade von ISMS und BCMS sind detailliert ausdefiniert und dienen zur Orientierung für Prüfer in der Bewertung. Die Umsetzungsgrade von OrgM bis TecM sind allgemeiner formuliert und orientieren sich an der Angrifferkennung (SzA). Zusätzlich ist ein Mapping der Maßnahmen der Konkretisierung der Anforderungen (100-Punkte) auf die Umsetzungsgrade vorhanden.

Die neuen RUN-Vorgaben sind für Prüfungen mit Einreichung ab 1. April 2025 anzuwenden, und bedeuten zusätzliche Schritte in der Vorbereitung und Durchführung von KRITIS-Prüfungen.

NIS2-Umsetzungsgesetz: Letzter Entwurf 2024

Hanna Lurz — Thu, 19 Dec 2024 08:30:00 +0100

Es gibt einen neuen Referentenentwurf vom NIS2-Umsetzungsgesetz, vom 29. November 2024. Das Gesetz sollte 2024 in Kraft treten, verzögert sich aber sicherlich bis Mitte 2025.

Der November-Entwurf 2024 enhält noch folgende Änderungen:

Definition kritischer Komponenten wurde von §2 Nr. 23 BSIG-E in die Rechtsverordnung nach §56 (7) verlagert, Angaben zum Einsatz kritischer Komponenten müssen bei der Registrierung gemacht werden §33 (2)
Die Untersagung des Einsatzes kritischer Komponenten nach §41 wurde inhaltlich stark verändert mit analogen Änderungen in TKG und EnWG
Die noch offenen KRITIS-Rechtsverordnungen sollen mit Anhörung der betroffenen Wirtschaftsverbände sowie Vertretern der Wissenschaft ausgestaltet werden §56
Energiesektor: Neue Kategorie von Betreibern digitaler Energiediensten, die analog zu Netz- und Anlagenbetreibern mit IT-Sicherheitskatalog reguliert werden §5c (3)
Unabhängigeres BSI: Stärkung der fachlichen Unabhängigkeit des BSI §1, jährliche Zielvereinbarung zwischen BMI und BSI, § 58 (3) jährlicher Bericht des BSI an den zuständigen Ausschuss über fachliche Unabhängigkeit und Einzelweisungen.
Bundes-CISO: Die BSI-Leitung wird Bundes-CISO, operativ unabhängig und weisungsfrei, mit umfassenden Befugnissen zur Umsetzung von Verbesserungsvorschlägen oder zur Abwendung oder Behebung von Sicherheitsvorfällen in der Bundesverwaltung §48
Neuer Artikel 8 zur Änderung der BSI-Kritisverordnung
KRITIS-Verordnung: Bisherige Schwellenwerte werden nicht angepasst, kleinere sprachliche Anpassungen in den bestehenden Sektoren
KRITIS-Verordnung: Aufnahme der digitalen Energiedienste analog zum EnWG
KRITIS-Verordnung: Versicherungsleistungen werden aus Sektor Finanzwesen herausgenommen und zu einem neuer Sektor umstrukturiert: "Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende" mit Anlagenkategorien und Schwellenwerten in Anhang 9 (mit den bisherigen Versicherungsleistungen)

KRITIS-Dachgesetz: Neuer Entwurf November 2024

Paul Weissmann — Fri, 08 Nov 2024 08:30:00 +0100

Vom KRITIS-Dachgesetz, das von Betreiber kritischer Anlagen Maßnahmen zur Resilienz fordern wird, gibt es einen neuen Referentenentwurf. Seit dem letzten April-Entwurf haben sich im KRITIS-Dachgesetz viele Kleinigkeiten geändert. Das Gesetz sollte 2024 in Kraft treten, verzögert sich aber sicherlich bis Mitte 2025.

Das KRITIS-Dachgesetz enthält viele sinnvolle Forderung nach Resilienzmaßnahmen, BCM und Krisenmanagement bei Betreibern. Der November-Entwurf mit folgenden Änderungen:

Die KRITIS-Sektoren wurden ein weiteres Mail umbenannt und umstrukturiert; weitestgehend aber nicht ganz deckungsgleich mit NIS2
Der Sektor Versicherungen wurde entfernt, nur Sozialversicherungen bleiben übrig
Die Zuständigkeit von Bundesbehörden wurden (wieder) angepasst
Teilweise Kürzung der Resilienz-Maßnahmen, u.a. Personalsicherheit
Änderungen bei Nachweisen und Verfahren: Das BBK prüft nicht nur bei Zweifeln
Anpassung der Haftungsregeln für Geschäftsleitungen
Anpassung der Bußgelder (Reduktion auf 500 Tsd.) und weniger Tatbestände
Eine Menge Formalien und Textanpassungen

Vieles bleibt nach wie vor offen – und muss in Rechtsverordnungen (KRITIS-Verordnung) und weiteren Entwürfen angepasst werden.

Orientierungshilfe Angriffserkennung 2024

Hanna Lurz — Wed, 30 Oct 2024 09:00:00 +0100

Die Anforderungen der Orientierungshilfe für Angriffserkennung des BSI wurden im Sommer 2024 in die KRITIS-Anforderungen Konkretisierung der Maßnahmen integriert. Im lange überfälligen Schritt wurden die SzA-Anforderungen für Protokollierung, Detektion und Reaktion an die bestehenden 100 KRITIS-Anforderungen angefügt.

Die 35 Maßnahmen von BSI-101 bis BSI-135 fassen die Anforderungen für Angriffserkennung thematisch in der Konkretisierung für Betreiber und Prüfer zusammen. MUSS und SOLL-Anforderungen sind teilweise getrennt, teilweise zusammen.

ID	Kapitel	Thema	Anforderungen
SZA-A	Kap 1.2	Allgemeine Rahmenbedingungen	5	MUSS
SZA-P	BSI-101 bis BSI-103	Protokollierung und Logging	3 2	MUSS SOLL
SZA-D	BSI-104 bis BSI-116	Detektion und Vorfälle	13 3	MUSS SOLL
SZA-R	BSI-117 bis BSI-135	Reaktion auf Vorfälle	8 15	MUSS SOLL

Inhaltlich hat sich in der Angriffserkennung zwischen Orientierungshilfe von 2022 und der Konkretisierung der Maßnahmen von 2024 nicht viel geändert:

Struktur angepasst, Nummerierung mit eigenen IDs (101 bis 135)
Grundschutz-Referenzen einzeln zugeordnet, teilweise C5 (2016) Referenzen
Themen sind leider teilweise sehr umfassend gebündelt (vor allem Protokollierung)
MUSS/SOLL-Anforderungen teils sehr vermischt, SOLL-Anforderungen teils auch einzeln
Kein Hinweis auf Reifegrad-Einstufung

Das OpenKRITIS-Mapping der Orientierungshilfe SzA zu C5 und ISO 27001 ordnet den einzelnen Anforderungen relevante Kontrollen für Angriffsserkennung der C5 und ISO-Standards zu.

Finaler Implementing Act Internet und IT

Hanna Lurz — Thu, 24 Oct 2024 12:00:00 +0100

Für Internet und IT-Provider gibt es zwei verpflichtende Implementing Acts der EU, die Vorfallsmeldungen und Sicherheitsmaßnahmen aus EU NIS2 konkretisieren. Beide wurden im Oktober final veröffentlicht – der Annex konkretisiert für Internet-Provider in vielen Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das NIS2 Implementing Act Mapping ordnet die einzelnen Kontrollen ISO 27001 und C5 zu. Im Abgleich zum Entwurf von Juli 2024 haben sich im Oktober einige Änderungen ergeben:

Sehr wenig materielle und inhaltliche Änderungen: Die Sicherheitsanforderungen sind größtenteils erhalten geblieben, die Zuordnungen zu C5 und ISO 27001 ebenfalls
Leichte Kürzungen einzelner Unterpunkte: Risk Owner wurden entfernt, Detail-Zuständigkeiten vom Management etwas geschärft
Mehr Ermessensspielraum in der Umsetzung durch Einfügen von where appropriate bei vielen Einzelkontrollen und bestimmten Technologien
Einige Querverweise zwischen den Anforderungen wurden aufgenommen
Konkretisierungen von Begriffen wie Data und Information und von Review-Zyklen
Formelle Anpassungen und leichte Änderung der Struktur und Nummerierung

Der Implementing Act ist weiterhin eine hilfreiche Schablone zur Konkretisierung von NIS2-Maßnahmen, auch wenn die Anforderungen normativ nur für bestimmte Provider verbindlich ist.

BSI-Schulung Prüfverfahrenskompetenz Community Draft

Paul Weissmann — Tue, 22 Oct 2024 07:00:00 +0100

Das BSI hat die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft vorgestellt. Die Schulung für KRITIS-Prüfer wurde nach den Erfahrungen der letzten Jahre neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung umfasst im aktuellen Draft für KRITIS-Anlagen und Betreiber Kritischer Anlagen:

Grundlagen Kritischer Infrastrukturen
Prüfvorgehen und Planung
Grundlagenprüfung, Angemessenheits- und Wirksamkeitsprüfung
Berichtswesen, Mängel

Das BSI sammelt zum Community Draft der Schulungsunterlagen (PDF, 301 Folien) und Schulungsleitfaden (PDF, 126 Seiten) Feedback. Weitere Entscheidungen zum weiteren Vorgehen müssen noch getroffen werden, wie Übergangsfristen, Anpassung weiterer Dokumente, Personenzertifizierung, neue NIS2-Aspekte).

Webseite des BSI mit Informationen und Unterlagen:
Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG

KRITIS-Dachgesetz: Neuer Entwurf aus April 2024

Paul Weissmann — Mon, 30 Sep 2024 08:30:00 +0100

Das KRITIS-Dachgesetz zur Steigerung der Resilienz von Betreibern kritischer Anlagen sollte eigentlich auch im Herbst diesen Jahres in Kraft treten. Der letzte öffentliche Entwurf lag schon einige Zeit zurück – der vor einigen Wochen publik gewordene April-Entwurf des Gesetzes aktualisiert nun einige Vorgaben, lässt aber vieles noch offen.

Das KRITIS-Dachgesetz fordert von Betreibern kritischer Anlagen, die auch in NIS2 reguliert werden, Resilienzmaßnahmen wie Krisen-Management, Risikoanalysen, Notfallvorsorge und mehr. Das Gesetz sollte 2024 in Kraft treten, viele Pflichten dazu erst 2026. Neuerungen im April:

Die Pflichten für Resilienz bleiben bestehen und sind weiter unverbindlich(er) als NIS2.
Sektoren und Dienstleistungen werden durch unterschiedliche zuständige Behörden reguliert: Viele Behörden vom BBK über BMI bis zu Landesbehörden.
Große Menge textueller Änderungen und Präzisierungen, aber auch diverse Fehler.
Änderungen am EnWG für Energiebetreiber sind enthalten.
Generell deutlich aufgeweichte Zuständigkeiten im Bund und Ländern.
Viele Pflichten treten erst zwei Jahre nach dem Gesetz in Kraft

Vieles im April-Entwurf bleibt aber noch offen – was in neueren Entwürfen noch überarbeitet werden muss oder schon wurde. Der Entwurf wirkt wie eine Zwischenversion – bis zur letzten Version wird sich noch einiges ändern. Ob das Gesetz noch 2024 veröffentlich wird, ist fraglich.

Definition aller kritischer Dienstleistungen und deren Verantwortung
Neue KRITIS-Rechtsverordnung(en) mit Definitionen zu Anlagen
Konkretisierung der Resilienzmaßnahmen durch das BBK
Neuer, weiterer (?) IT-Sicherheitskatalog der BNetzA für Resilienz
Harmonisierung vom Dachgesetz mit den letzten NIS2-Entwürfen
Auflösen der diversen Fehler

NIS2-Umsetzungsgesetz in Deutschland ab März 2025

Paul Weissmann — Thu, 19 Sep 2024 08:30:00 +0100

Das deutsche NIS2-Umsetzungsgesetz soll ab März 2025 in Kraft treten und noch Ende 2024 den Gesetzgebungsprozess durchlaufen. Eigentlich mit Frist im Oktober 2024 wird sich das NIS2-Gesetz nun scheinbar sechs Monate verzögern – so die aktuelle Planung der Regierung:

Version	Status	Datum	Akteur
NIS2-Umsetzungsgesetz	Referentenentwurf	Jun 2024	Innenministerium
NIS2-Umsetzungsgesetz	Beschluss	Jul 2024	Bundeskabinett
NIS2-Umsetzungsgesetz	1. Durchgang plan	Sep 2024	Bundesrat
NIS2-Umsetzungsgesetz	1. Lesung plan	Okt 2024	Bundestag
EU NIS2	Frist nationale Umsetzung EU	Okt 2024	Mitgliedstaaten
NIS2-Umsetzungsgesetz	2./3. Lesung plan	Dez 2024	Bundestag
NIS2-Umsetzungsgesetz	2. Durchgang plan	Feb 2025	Bundesrat
NIS2-Umsetzungsgesetz	Inkrafttreten plan	Mar 2025	Bundesgesetzblatt

Die Pflichten in NIS2 beginnen in Deutschland damit spätestens ab 2025. Die bisherigen KRITIS-Gesetze und Vorgaben bleiben bis dahin in Kraft. Etwas unklar verbleibt weiterhin die Planung neuer, notwendiger KRITIS-Rechtsverordnungen und der Umgang mit 2025 terminierten KRITIS-Prüfungen. Hier sind noch Klärungen notwendig – aber der Zeitplan für Betroffene ist klar(er).

Neue GAiN-Anforderungen an KRITIS-Prüfungen 2024

Paul Weissmann — Fri, 23 Aug 2024 10:00:00 +0100

Das BSI hat 2024 aktualisierte Anforderungen für KRITIS-Prüfungen veröffentlicht. Die Grundsätzlichen Anforderungen im Nachweisverfahren (GAiN) nach §8a (5) BSIG definieren normative BSI-Vorgaben für KRITIS-Prüfungen. Erwartungen für Prüfungen sind gesetzlich verbindlich geregelt und sind größtenteils durch die KRITIS-Prüfer umzusetzen.

Die Aktualisierung der GAiN-Anforderungen im August 2024 enthielt folgende Neuerungen:

Umgang mit Zertifizierungen: Ein ganzer Block an Anforderungen regelt den Umgang mit bestehenden Zertifizierungen und Prüfugen genauer: Geltungsbereich, SoA, Mängel
Geltungsbereich und Netzstrukturplan: Anforderungen an GBD und NSP wurden angepasst und erweitert, und sind nun verbindlich vom Prüfer zu bewerten
Mängel und Mängelliste: Der Umgang mit Mängeln, Reifegraden unter 3 und alten Mängel voriger Prüfungen wurde konkretisiert und detailliert
Vorlagen: Die Formulare des BSI wurden auch aktualisiert und sind verbindlich zu nutzen

Schwerpunkt der Aktualisierung ist der Umgang mit Mängeln und Zertifizierungen, wo Prüfer nun vieles genauer und formeller durchführen und dokumentieren müssen. Sonst noch einige Formalien und parallel Anpassung der BSI-Formulare.

Schulung Prüfverfahrenskompetenz Community Draft

Paul Weissmann — Thu, 15 Aug 2024 10:00:00 +0100

Das BSI hat die neue Schulung für KRITIS-Prüfer zur §8a (1) Prüfverfahrenskompetenz als Community Draft vorgestellt. KRITIS-Prüfungen und Prüfer haben für den Reifegrad von Cybersecurity in Kritischen Infrastrukturen eine wichtige Rolle, da über diese Prüfungen die Wirksamkeit von Sicherheitsmaßnahmen und Verbesserungen identifiziert werden.

Die Schulung für KRITIS-Prüfer wurde, basierend auf den Erfahrungen der letzten Jahre, neu konzipiert, um die Qualität der Prüfungen und Nachweise zu erhöhen. Die Prüfung betrachtet im aktuellen Draft KRITIS-Anlagen und Betreiber Kritischer Anlagen und umfasst in Modulen:

Grundlagen Kritischer Infrastrukturen
Prüfvorgehen und Planung
Grundlagenprüfung, Angemessenheits- und Wirksamkeitsprüfung
Berichtswesen, Mängel

Das BSI wird in den nächsten Wochen den 1. Community Draft veröffentlichen, zu welchem das BSI Feedback einsammelt und noch Entscheidungen zum weiteren Vorgehen entscheiden muss (Übergangsfristen, Anpassung weiterer Dokumente, Personenzertifizierung, neue NIS2-Aspekte). Weitere Veröffentlichungen der Schulungsunterlagen werden folgen.

Webseite des BSI mit Informationen, Unterlagen (bald) und Folien:
Weiterentwicklung der Prüfverfahrenskompetenz nach § 8a Absatz 3 BSIG

Mehrfachregulierung und Ausnahmen in NIS2

Hanna Lurz — Thu, 08 Aug 2024 09:00:00 +0100

Mit NIS2 können Unternehmen als KRITIS-Betreiber und NIS2-Einrichtung mehrfach reguliert werden. In den letzten Entwürfen der NIS2-Umsetzung wurden die Ausnahmen für die Sektoren Energie und Telekommunikation präzisiert. Einrichtungen, die unter EnWG und TKG fallen, unterliegen nun meist keiner NIS2-Doppelregulierung mehr.

Beispiel	Geltungsbereich	Anforderungen
>Stadtwerk Sektor Wasser	Unternehmen Einrichtung	NIS2
Klärwerk Anlage	NIS2 KRITIS KRITIS-DachG
TK-Anbieter Sektor TK	Unternehmen Einrichtung	NIS2 (Ausnahmen)
Telefonnetz TK-Anbieter	TKGKatalog BNetzA NIS2 (Ausnahmen)
Energieanbieter Sektor Energie	Unternehmen Einrichtung	NIS2 (Ausnahmen) IT-SiKat unklar
Stromverteilnetz Anlage	§5c EnWG IT-SiKat BNetzA KRITIS-DachG NIS2 (Ausnahmen)

KRITIS Die bisherigen KRITIS-Betreiber werden in NIS2 zu Betreibern kritischer Anlagen, wenn sie eine Anlage über Schwellenwerten betreiben, und automatisch auch zu einer besonders wichtigen Einrichtung. Als Einrichtung müssen sie NIS2-Security Vorgaben und im Bereich der KRITIS-Anlage zusätzliche erhöhte Anforderungen sowie das KRITIS-Dachgesetz umsetzen.

TK Anbieter von Telekommunikation unterliegen mehrfacher Regulierung. Neben TKG und BNetzA werden einige Unternehmen auch als Einrichtung durch NIS2 reguliert. Im Bereich des TK-Betriebs gelten Anforderungen aus TKG und BNetzA-Sicherheitskatalog gelten, in der ganzen Einrichtung (verminderte) NIS2-Anforderungen.

Energie Unternehmen im Energie-Sektor können Einrichtungen in NIS2 (nach Größe) oder zusätzlich Betreiber kritischer Anlagen sein, wenn sie kritische Anlagen über Schwellenwerten betreiben. Mindestens in den Anlagen gelten dann EnWG und BNetzA IT-Sicherheitskatalog sowie KRITIS-Dachgesetz, im restlichen Unternehmen (verminderte) NIS2-Anforderungen.

Mehr und tiefere Prüfungen in NIS2 ab 2025

Paul Weissmann — Thu, 11 Jul 2024 11:00:00 +0100

Mit der NIS2-Umsetzung müssen Einrichtungen, neben der Dokumentation der Maßnahmen, die Umsetzung teilweise auch prüfen lassen. Betreiber kritischer Anlagen werden zu Prüfungen, wie in KRITIS, nun alle drei Jahre verpflichtet. Besonders wichtige Einrichtungen können durch das BSI nach Stichproben geprüft werden oder zu Nachweisen verpflichtet werden.

	Betreiber kritischer Anlagen	Einrichtungen
Besonders wichtig	Wichtig
Gesetz	NIS2UmsuCG	DachG	NIS2UmsuCG	NIS2UmsuCG
Zeitraum	(ab 2025)	ab 2026	(ab 2025)	(ab 2025)
Pflicht	§39 (1)	§11	§63	§64
Form	Audits	Audits	Stichproben durch BSI
Inhalt	IT-Sicherheit Meldepflicht SzA	Resilienz	IT-Sicherheit Meldepflicht	IT-Sicherheit Meldepflicht
Scope	Kritische Anlage	Kritische Anlage	Unternehmen	Unternehmen
Frequenz	alle drei Jahre	Stichproben	Stichproben	bei Anlass
Empfänger	BSI	BBK	BSI	BSI

Die Nachweispflicht für Betreiber kritischer Anlagen ist in §39 definiert, Prüfungen im neuen Zyklus werden wohl 2025 beginnen. Nachweise für besonders wichtige Einrichtungen sind in §63 festgelegt – das BSI darf Nachweise anfragen, Einrichtungen zu Prüfungen verpflichten u.v.m., basierend auf Stichproben und Anhaltspunkten. Wichtige Einrichtungen in §64 analog.

Im KRITIS-Dachgesetz gibt es aktuell keine eigenen Prüfungen mehr, sondern eine Erweiterung der neuen Nachweisprüfungen von Betreibern unter NIS2 um Resilienzthemen.

NIS2 Implementing Act Mapping ISO 27001 und KRITIS

Paul Weissmann — Mon, 01 Jul 2024 17:00:00 +0100

Bestimmte Vorgaben aus der EU-Direktive NIS2 werden nicht in nationalem Recht umgesetzt, sondern durch sogenannten Implementing Acts direkt EU-weit gültig. Diese Implementing Acts überschreiben in Deutschland das NIS2-Umsetzungsgesetz und konkretisieren besondere Cybersecurity-Themen in NIS2 für bestimmte Betreiber.

Für Internet Provider gibt es zwei verpflichtende Implementing Acts für Vorfallsmeldungen und Sicherheitsmaßnahmen. Beide sind nun in einer Commission Implementing Regulation als Entwurf veröffentlicht worden – der Annex konkretisiert für Internet-Provider in 159 Controls die Cybersecurity-Maßnahmen aus NIS2 Art. 21 bzw. §30 und hat Vorrang vor diesen.

Das OpenKRITIS NIS2 Implementing Act Mapping ordnet die Controls den Standards ISO 27001 und KRITIS zu – und findet einige Abweichungen:

Starker Fokus auf Krisenmanagement, Business Continuity (BCM) und Vorsorge
Schwerpunkt auf Review- und Verbesserungen in allen Einzelthemen
Regelmäßiger expliziter Einbezug von Drittparteien und Externen
Einige sehr spezifische Anforderungen (Netzwerke, Accounts, Systeme)
Existierende ISMS-Controlsets werden dafür erweitert werden müssen
Manche Lücken könnten durch Management Systeme abgefangen werden

Für betroffene Betreiber bleibt einiger Arbeitsbedarf.

Letzter Referentenentwurf NIS2-Umsetzung Juni

Paul Weissmann — Fri, 28 Jun 2024 15:00:00 +0100

Der nächste und möglicherweise letzte Referentenentwurf der deutschen NIS2-Umsetzung wurde, nach Verbändeabstimmung, Ende Juni 2024 vom BMI veröffentlicht.

Im Entwurf ändert sich nicht mehr allzuviel, wie zu erwarten: Die Pflichten bleiben gleich, an der Betroffenheit und Zuständigkeiten ändern sich wieder einige Konstellationen. Daneben hat der Gesetzgeber abermals Struktur, Definitionen und Argumentationen angepasst.

Konkretisierung und Einschränkung vom Geltungsbereich Telekommunikation und Energie, Aufheben der Doppelregulierung durch §30 NIS2-Maßnahmen
Umbenennung Sektoren: IT und TK in Digitale Infrastruktur, Finanz- und Versicherungswesen in Finanzwesen
Anpassungen Zuständigkeiten Bund
Anpassungen und Ausblick (KRITIS-Verordnung) zu Zuständigkeiten KRITIS-Anlagen
Umstrukturierung Paragraphen
Haftungsregeln und Verantwortung Geschäftsleitung §38 präzisiert
Bußgelder und Sanktionen wieder umgeschrieben und umsortiert (Effekt noch TBD)

Die Änderungen an Sektorgesetzen wie TKG und EnWG blieben größtenteils gleich – dafür wurden Teile der Doppelregulierung aufgehoben. Eine konkretes Datum zum Inkrafttreten fehlt diesmal, es scheint aber, dass das Bundeskabinett im Sommer den Gesetzesentwurf diskutiert. Vielleicht tritt das Gesetz dann doch (fast) fristgemäß in Kraft?

NIS2-Umsetzungsgesetz Referentenentwurf Mai

Paul Weissmann — Thu, 09 May 2024 17:00:00 +0100

Der aktuelle Referentenentwurf der deutschen NIS2-Umsetzung wurde im Mai 2024 vom BMI veröffentlicht. Der Entwurf vom NIS2UmsuCG dient der Verbändeabstimmung bis Anfang Juni und soll am 1. Oktober 2024 in Kraft treten – so der Entwurf in Artikel 29.

Es ändert sich nicht viel für Betreiber zu den letzten bekannten Entwürfen: Pflichten bleiben im Grunde gleich, an der Betroffenheit und Zuständigkeit im Bund ändern sich Randfälle. Sonst gibt es viele Änderungen an Struktur, Definitionen – ohne tiefe Folgen für Betreiber.

Präzisierung der Betroffenheit im NIS2-Sektor Chemie auf NACE 20
Anpassung weiterer Definitionen in NIS2-Sektoren und Betreibern (IXPs, CDNs, Weltraum)
Definition der regulierten Einrichtungen: Reihenfolge angepasst, Finanzunternehmen sind nun (doch) Einrichtungen aber von Pflichten ausgenommen, Pflichten angepasst
Betroffenheit der öffentlichen Hand: Mehr Ausschlüsse (Kammern, IHKn, Auswärtiges Amt, Nachrichtendienste) und umgeschriebene Ausschlüsse (öffentliche IT und Cloud Provider)
Authentizität nun kein explizites Schutzziel mehr bei §30 Maßnahmen
Konformitätsbewertung neu hinzugekommen
Bußgeldvorschriften angepasst in Tatbeständen und Höhe (kompliziert)
Pflicht zur Teilnahme am Informationsaustausch für Einrichtung fällt weg

Dafür enthält der Entwurf vom NIS2UmsuCG nun die meisten Änderungen am EnWG für Energiebetreiber und TKG für Telekommunikationsanbieter. Wenig überraschend – die parallele Regulierung mit BNetzA bleibt bestehen + neue EnWG-Sicherheitskataloge. Dafür erbt das TKG §30 NIS2-Maßnahmen in §165 TKG-E – und dafür vielleicht keinen neuen Sicherheitskatalog.

Weitere bemerkenswerte Annahmen im Entwurf, vor allem in der lesenswerten Begründung:

Prognose der Einrichtungen steigt auf 8.250 (besonders wichtig) und 21.600 (wichtig)
Das BSI geht von 24 BSI-Prüfungen nach §65 bei Einrichtungen pro Jahr aus
Der Gesetzgeber geht von 2,1 Mrd. EUR einmaligem und 2,1 Mrd. jährlichem Aufwand für neue Einrichtungen aus, vor allem durch Anpassung digitaler Geschäftsprozesse
Drei Millionen Geschäftsleiter und Mitarbeiter müssen pro Jahr für NIS2 geschult werden.
Über 1.500 neue Stellen im Bund, davon 549 beim BSI für neue Aufgaben und Pflichten

Ob dieser Entwurf den Prozess der Gesetzgebung bis zum 1. Oktober 2024 schafft?

DORA-Mapping auf NIS2, ISO 27001 und C5

Hanna Lurz — Wed, 08 May 2024 07:00:00 +0100

Die EU DORA-Verordnung schreibt Massnahmen für Risiko-Management und Sicherheit für betroffene Finanzunternehmen vor. Daneben werden kritische IKT-Drittdienstleister wie Cloud Provider durch die EU-Finanzaufsicht mit eigenen Security-Pflichten belegt und erben über Verträge und Erwartungen ihrer Finanzkunden weitere DORA-Pflichten.

Für IT-Provider (IKT-Drittdienstleistern) ordnet das OpenKRITIS DORA-Mapping die einzelnen Anforderungen aus DORA aufgeschlüsselt verschiedenen Cybersecurity-Standards zu:

NIS2-Umsetzung: Vorgaben aus dem NIS2-Umsetzungsgesetz für Einrichtungen.
C5:2020: Standard vom BSI für Informationsssicherheit in Cloud Computing.
ISO/IEC 27001:2022: Informationssicherheit im ISMS und Annex A-Kontrollen.

Das OpenKRITIS DORA-Mapping auf NIS2 schlüsselt DORA-Absätze und Nummern in einzelne Anforderungen auf, gruppiert thematisch und weist einzelne Pflichten NIS2, C5:2020 und ISO 27001:2022 Kontrollen zu – alles als Draft.

DORA und NIS2 im Finanzsektor

Hanna Lurz und John Bauer — Mon, 29 Apr 2024 07:00:00 +0100

Der Digital Operational Resilience Act (DORA) ist der europäische Rahmen für digitale Resilienz im EU-Finanzsektor. Mit DORA strebt die EU Harmonisierung von Cybersecurity sowie resiliente Infrastrukturen im Finanzmarkt an. Finanzunternehmen sind teilweise von NIS2 ausgeschlossen und werden stattdessen umfangreich durch DORA reguliert, IT-Provider teilweise auch.

Betroffen: Finanzunternehmen wie Kreditinstitute, Versicherungen + IKT-Drittdienstleister
Finanzunternehmen: Risikomanagement, Cybersecurity, Resilienz, Providersteuerung, Tests
Dienstleister: Governance, Risikomanagement, technische Sicherheit, Audits
Sanktionen: Mitgliedsstaaten legen Sanktionen fest, Behörden verhängen
Fristen: DORA gilt als EU-Vorgabe direkt und muss ab Januar 2025 angewendet werden
Aufsicht: Finanzunternehmen unterliegen nationalen Behörden, IKT-Dienstleister der EU

DORA und NIS2 haben Wechselwirkungen für regulierte Einrichtungen im Finanzsektor und Unternehmen, die Dienstleistungen im Finanzsektor erbringen. Finanzunternehmen sind aus NIS2 größtenteils ausgenommen, IT-Dienstleister sind doppelt reguliert mit eigenen Pflichten.

Die von DORA regulierten Finanzunternehmen sind in NIS2 zwar Teil des Sektors Finanz- und Versicherungswesen, von den NIS2-Pflichten aber ausgenommen, wenn sie in DORA reguliert sind (lex specialis). Die in DORA auch regulierten kritischen IKT-Drittdienstleister sind in NIS2 Einrichtungen des Sektors IT und TK und bleiben auch dort mehrfach reguliert.

Von DORA und NIS2 betroffene Unternehmen müssen zwischen den Pflichten übersetzen.

Betreiber mit Mehrfach-Regulierung in NIS2

Hanna Lurz — Tue, 16 Apr 2024 12:15:00 +0100

In der NIS2-Umsetzung gibt es für einige Sektoren und Betreiber Ausnahmen von den NIS2-Pflichten. Trotzdem bleiben viele Betreiber in NIS2 reguliert – mit Mehrfach-Regulierung.

In NIS2 sind in einigen Sektoren bestimmte Unternehmen aus den besonders wichtigen und wichtigen Einrichtungen ausgenommen, weil sie separat reguliert sind. Das betrifft:

Sektor	Ausnahmeregel für	Reguliert durch	NIS2-Anpassung
TK	TK-Netze und Dienste	TKG (neu) Sicherheitskatalog 2.0	TKG und Katalog unbekannt
Energie	Energieversorgungsnetze Energieanlagen	§5c EnWG (neu) IT-Sicherheitskatalog §5c (1) IT-8209;Sicherheitskatalog §5c (2)	äquivalent im EnWG Kataloge noch unbekannt
Finanzen	Finanzunternehmen*	DORA	äquivalent

Die Einrichtungen sind von NIS2 ausgenommen, weil sie spezialgesetzlicher Regelung durch TKG, EnWG und DORA unterliegen. Diese spezialgesetzlichen Regelungen sollen äquivalente Anforderungen aus NIS2 enthalten, sowie vertiefende Anforderungen. Vier Beispiele:

Die Beispiele basieren auf Gesetzesentwürfen und sind stark vereinfacht – die betriebliche Realität und praktische Regulierung wird sicherlich komplexer.

NIS2-Anforderungen und Standards

Paul Weissmann — Tue, 09 Apr 2024 08:30:00 +0100

Das NIS2-Umsetzungsgesetz und die EU NIS2-Direktive definieren Risiko-Management und Sicherheitsmaßnahmen, die betroffene Einrichtungen umsetzen müssen. Die Anforderungen aus §30 BSIG-E (NIS2UmsuCG) beschreiben Maßnahmen nach Stand der Technik und Management mit IT-RM, ISMS und BCMS, aber auch einige sehr konkrete Maßnahmen in wenigen Worten.

Um die Vorbereitung zu erleichtern, werden die Anforderungen der NIS2-Umsetzung im folgenden einzeln aufgeschlüsselt und Cybersecurity-Standards zugeordnet:

BSI Konkretisierung: Anforderungen vom BSI als Nachweis für Betreiber.
ISO 27001:2022: Informationssicherheit der Annex A Kontrollen.

Es ist absehbar, dass die NIS2-Anforderungen bis Ende 2024 durch EU Implementing Acts noch konkretisiert und detailliert werden. Bis dahin bleibt diese Zuordnung die einzige Orientierung.

Aktuelles Mapping der NIS2-Anforderungen aus dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) von Dezember 2023 auf Cybersecurity Standards. Das Mapping schlüsselt die Absätze und Listen aus §30 BSIG-E (NIS2UmsuCG) in einzelne Anforderungen auf und passt den Text leicht an (Ergänzungen in Klammern). Die Zuweisung von ISO 27001:2022 und KRITIS als Draft.

Unternehmen im besonderen öffentlichen Interesse

Paul Weissmann — Tue, 26 Mar 2024 08:45:00 +0100

In NIS2 gibt es die Unternehmen im besonderen öffentlichen Interesse (UBI) nicht mehr als eigene Gruppe. Eingeführt mit dem IT-Sicherheitsgesetz 2.0, wurden die UBI parallel zu KRITIS-Betreibern mit eigenen, “abgestuften” UBI Cybersecurity-Pflichten reguliert.

Viele Definitionen und Klarstellungen fehlten seitdem – und mit NIS2 verschwinden die UBI fast. Die UBI fallen als explizite Kategorie weg und gehen größtenteils in NIS2-Einrichtungen auf:

UBI 1 Rüstung könnten als Produzenten der folgenden Güter von NIS2 betroffen sein, u. a.:

NACE C 26: Optik, Kommunikation, Elektronik, Radar, GPS, Antennen
NACE C 27: Elektrik, Schaltungen und weiteres
NACE C 30.3: Luft- und Raumfahrt, Hubschrauber, Flugzeuge, Teile, Raketen, Bodengeräte
NACE C 30.4: Militärische Kampffahrzeuge, Panzer, Amphibien- und sonstige Fahrzeuge

UBI 2 Volkswirtschaft sind von NIS2 betroffen, wenn sie als Einrichtung Größen überschreiten und in NIS2-Sektoren tätig sind. Dies betrifft einen Großteil der deutschen Wirtschaft, auch UBI.

UBI 3 Gefahrstoffe sind in NIS2 im Sektor Chemie betroffen, wenn sie Unternehmensgrößen überschreiten und bestimmte Güter produzieren oder handeln:

Hersteller und Händler von chemischen Stoffen Art. 3 Nr. 9, 14 (EG) 1907/2006
Produzenten von chemischen Erzeugnissen im Sinne Art. 3 Nr. 3 (EG) 1907/2006

Die eigenen UBI-Pflichten (§8f BSIG 2021) fallen ebenfalls weg und werden von den regulären NIS2-Pflichten für Einrichtungen abgelöst. Viel zu tun – und die Liste der NACE-Güter ist lang.

Energiesektor, NIS2 und EnWG

Hanna Lurz — Fri, 08 Mar 2024 15:30:00 +0100

Auch mit der NIS2-Umsetzung bleibt im Energiesektor ab 2024 Mehrfach-Regulierung erhalten. Betreiber bestimmter Energieanlagen fallen in einigen Betriebsteilen weiterhin unter separate Regulierung im Energiesektor mit dem EnWG, parallel zu NIS2 und KRITIS. Der Dezember-Entwurf der NIS2-Umsetzung passt das EnWG in vielen Teilen an.

NIS2-Einrichtungen, die Betreiber von Energieversorgungsnetzen und Energieanlagen im Sinne des EnWG sind, müssen nach §28 (4) BSIG-E (NIS2UmsuCG) wahrscheinlich keine NIS2-Maßnahmen nach §§31, 32, 35, 39 umsetzen. Es gelten dann die Anforderungen §5c EnWG:

Energieversorgungsnetze und Energieanlagen müssen ihre IT im Anlagen- und Netzbetrieb schützen mit neuen BNetzA IT-Sicherheitskatalogen. Diese Kataloge müssen mindestens §30-Maßnahmen aus BSIG-E (NIS2UmsuCG) und Angriffserkennung umfassen
Maßnahmen müssen dokumentiert, Mängel beseitigt werden, das BNetzA darf die Umsetzung überprüfen und Maßnahmen vornehmen.
Sicherheitsvorfälle müssen ans BSI gemeldet werden, weiterhin diverser Austausch mit der BNetzA und weitere Informationspflichten. Betreiber müssen sich beim BSI registrieren, das dann an die BNetzA übermittelt.

Weiterhin wird es für Energiebetreiber verschiedene Sicherheitskataloge der BNetzA geben.

Katalog	gültig	Betreiber und Anlagen
IT-Sicherheitskatalog §11 Abs. 1a EnWG	2015	Betreiber von Energieversorgungsnetzen Stromübertragungs- und -verteilnetze Gasübertragungs- und -verteilnetze
IT--Sicherheitskatalog §11 Abs. 1b EnWG	2018	Betreiber von Energieanlagen nach KRITIS-Verordnung Erzeugungsanlagen Steuerung/Bündelung elektrischer Leistung Zentrale standortübergreifende Steuerung Gas
IT-Sicherheitskatalog neu EnWG	2024?	Betreiber von Energieversorgungsnetzen ersetzt Katalog §11 Abs. 1a für NIS2UmsuCG
IT-Sicherheitskatalog neu EnWG	2024?	Betreiber von Energieanlagen ersetzt Katalog §11 Abs. 1b für NIS2UmsuCG

OpenKRITIS-Konferenz am 12. März 2024

Paul Weissmann — Tue, 05 Mar 2024 13:30:00 +0100

Nur noch eine Woche bis zur OpenKRITIS-Konferenz 2024 – mit Talks von Betreibern und BSI!
Unternehmen können von den Erfahrungen anderer Betreiber aus vielen Jahren KRITIS lernen. In vier Blöcken beleuchten Verantwortliche aus der Industrie aktuelle Themen aus der gelebten Praxis Kritischer Infrastrukturen, (fast) ohne Berater.

Strategie in der Umsetzung: Erfahrung aus der Umsetzung von KRITIS bei Betreibern
Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)

Der Staat als Kritische Infrastruktur

Paul Weissmann — Mon, 04 Mar 2024 09:00:00 +0100

Der Sektor Staat und öffentliche Verwaltung gehören seit langem zu Kritischen Infrastrukturen. Trotzdem waren staatliche Organe und die öffentliche Verwaltung von vielen KRITIS-Pflichten ausgenommen. Mit NIS2 und KRITIS-Dachgesetz wird die Bundesverwaltung ab 2024 nun etwas mehr reguliert – es bleiben aber immer noch Lücken.

Während die EU-Direktive NIS2 große Teile der Regierung in mehreren Ebenen reguliert, gibt es im Bundesgesetz dafür viele Ausnahmen. Länder und Kommunen sind nicht explizit vom deutschen NIS2-Umsetzungsgesetz benannt, es soll aber NIS2-Landesgesetze geben.

eigene Zusammenstellung Stand März 2024
Ebene	Einrichtungen	Out of scope (wahrscheinlich)
Bund	Stellen des Bundes Körperschaften, Anstalten des öffentlichen Rechts Öffentliche IT-Dienstleistunger Bund Bundesministerien Bundeskanzleramt	Sicherheitsbehörden des Bundes Strafverfolgungsbehörden Nationale Sicherheit Institutionen soziale Sicherung Geschäftsbereich Verteidigung
Länder	wartet auf Landesgesetze	Landesregierungen, Landesministerien Öffentliche Verwaltung Landesebene Landesbehörden IT-Dienstleister und Rechenzentren Strafverfolgung und Polizeien der Länder Hochschulen und Bildungswesen
Kommunen	Kommunale Eigenbetriebe (AöR, GmbH, ...) Stadtwerke, Heizkraftwerke Krankenhäuser und Gruppen Entsorger Wasser- und Abwasserwerke IT-Dienstleister und Rechenzentren	Kommunale Verwaltung und Regierung Ämter, Stadthäuser, Zentren Kommunale Behörden Feuerwehr Kommunale Polizei, Stadtpolizei Schulen, Volkshochschulen Betreuuung Unklar: Kommunale Zweckverbänden

Einreichung von Nachweisen in KRITIS-Prüfungen

Hanna Lurz — Fri, 01 Mar 2024 09:00:00 +0100

KRITIS-Betreiber müssen dem BSI die Umsetzung angemessener Cybersecurity Maßnahmen in ihren KRITIS-Anlagen alle zwei, bald alle drei Jahre durch KRITIS-Prüfungen nachweisen. In den Prüfungen finden die Prüfer (wahrscheinlich) Mängel, die als Teil der Nachweise ans BSI berichtet und danach von Betreibern behoben werden müssen.

Im Abschluss der Prüfung kommt es dabei häufig zu Nachfragen und Nachforderungen durch das BSI, die vermieden werden können. Das BSI nennt selbst verschiedene Punkte:

Die verbindlichen GAiN-Anforderungen müssen berücksichtigt werden.
Nachweise müssen die Prüfung von Systemen zur Angriffserkennung enthalten.
Alle Nachweisunterlagen müssen pünktlich eingereicht werden und vollständig sein: Formular KI und P, Anlagen PD.A, PD.B, PE.A, PS.A, PD.C und ggf. optionale
Nachweisdokumente müssen in Deutsch eingereicht werden; Bericht kann Englisch sein.
Die Unabhängigkeit der Prüfer wird durch die prüfenden Stellen geprüft.
Einreichung per Melde- und Informationsportal (MIP) oder Mail (S/MIME).

Zur erfolgreichen Einreichung veranstaltet das BSI auch eine Videokonferenz am 5. März 2024 unter dem Titel Nachweise gemäß § 8a Abs. 3 BSIG We have a dream ... (mit Anmeldung).

Meldepflichten in der NIS2-Umsetzung

Hanna Lurz — Thu, 22 Feb 2024 09:15:00 +0100

Mit der deutschen NIS2-Umsetzung kommen ab Ende 2024 auf betroffene Einrichtungen viele neue Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten von KRITIS hinausgehen.

Besonders wichtige Einrichtungen, Betreiber kritischer Anlagen und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Meldepflichten durch das KRITIS-Dachgesetz an das BBK kommen noch dazu.

Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, innerhalb von 24h nach Kenntniserlangung, ob der Vorfall möglicherweise auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte
Meldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung)
Zwischenmeldungen auf Nachfrage des BSI
Abschlussmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
Alternativ eine Statusmeldung, falls der Vorfall noch andauert
Vertrauensdienste müssen unverzüglich, “in jedem Fall innerhalb von 24 Stunden” melden
Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden

Die verschiedenen Arten von Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: Es gibt erhebliche Sicherheitsvorfälle, Sicherheitsvorfälle, Beinahevorfälle und erhebliche Cyberbedrohungen, die in den Meldepflichten eine Rolle spielen. Diese Vorgaben können durch Rechtsverordnung (BMI) oder einen Implementing Act (EU) angepasst werden.

Je nach Sektor und Vorfallsart, müssen manche Einrichtungen zusätzlich zum BSI auch die Kunden ihrer Dienste über erhebliche Sicherheitsvorfälle und erhebliche Cyberbedrohungen informieren – teils inklusive Gegenmaßnahmen.

Umsetzung von NIS2 in EU-Mitgliedsstaaten

Henri Jäger — Sat, 03 Feb 2024 12:15:00 +0100

EU-Mitgliedsstaaten müssen EU NIS2 bis Oktober 2024 in nationales Recht umsetzen. Fast alle EU-Länder arbeiten an der Umsetzung — der Umsetzungsstand variiert jedoch stark zwischen den EU-Staaten. Die Gesetzgebung in einigen Ländern ist bereits weiter fortgeschritten und befindet sich im öffentlichen Diskurs, so u.a. Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien.

Es gibt viele Unterschiede in den nationalen Umsetzungen: Die Definitionen der Sektoren und Unternehmen sind nicht einheitlich, Pflichten werden anders ausgelegt, Nachweisprüfungen sind teils durch Behörden, teils durch Betreiber und teils gar nicht vorgesehen. Der Detailgrad an Vorgaben und umzusetzenden Anforderungen unterscheidet sich auch sehr.

Status	Länder
Informationen zu EU NIS2 vorhanden	Belgien, Deutschland, Finnland, Frankreich, Italien, Kroatien, Niederlande, Österreich, Schweden, Tschechien
Wenig zu NIS2 auffindbar	Bulgarien, Dänemark, Estland, Griechenland, Irland, Lettland, Litauen, Luxemburg, Malta, Polen, Portugal, Rumänien, Slowakei, Slowenien, Spanien, Ungarn, Zypern

Der Artikel zu NIS2 in EU-Mitgliedsstaaten fasst unsere Erkenntnisse im Januar 2024 zusammen. Die Informationslage ist eher uneinheitlich — bei vielen Ländern haben wir keine und nur sehr wenige öffentlichen Informationen gefunden. Ergänzungen und Aktualisierungen folgen.

OpenKRITIS-Konferenz am 12. März 2024 - Tickets online

Paul Weissmann — Thu, 25 Jan 2024 13:30:00 +0100

Auf der ersten OpenKRITIS-Konferenz 2024 können Unternehmen von langjährigen Erfahrungen anderer Betreiber lernen und Impulse für die eigene Praxis sammeln. In vier Blöcken beleuchten Speaker aus der Industrie aktuelle Themen rund um KRITIS und teilen ihre Erfahrungen aus der Umsetzungspraxis, (fast) ohne Berater.

Strategie in der Umsetzung: Erfahrung aus der Umsetzung von KRITIS bei Betreibern
Prüfungen: KRITIS-Prüfungen zur Steuerung der nachhaltigen Umsetzung im Betrieb
Angriffserkennung: Die Orientierungshilfe OH SzA als Treiber von SOC & SIEM
Panel-Diskussion: Die Regulierung Kritischer Infrastrukturen ändert sich – was nun?
Agenda und Speaker: Im aktuellen Konferenz-Programm (PDF)

Zielgruppe sind Verantwortliche in Unternehmen, die jetzt schon oder zukünftig betroffen sind und sich über Erfahrungen in der Umsetzung von KRITIS und NIS2 informieren wollen. Bei bald mehr als 30.000 betroffenen Unternehmen in Deutschland gibt es viel zu reden und zu lernen. Die OpenKRITIS-Konferenz 2024 wird am 12. März 2024 ganztägig virtuell stattfinden.

Webinar EU NIS2 Implementation in EU Countries

Paul Weissmann — Tue, 16 Jan 2024 08:45:00 +0100

Wie wird EU NIS2 in der EU umgesetzt? Und wie gehen Mitgliedsstaaten die nationalen Gesetze zur Umsetzung von NIS2 an? Im OpenKRITIS-Webinar am 27. Februar 2024 besprechen wir EU NIS2 und die Umsetzung in ausgewählten EU Member States – Belgien, Deutschland, Finnland, Kroatian, Tschechien.

Unterschiede in den NIS2-Pflichten: Registrierung, Meldewesen, Sicherheitsmaßnahmen
Aktueller Status der Umsetzung und Zeitleiste für 2024
Behörden und Zuständigkeiten für NIS2
Nationale Gesetzgebung in: BE, DE, CZ, FI, HR

Es gibt so viele nationale Unterschiede in der Umsetzung der Registrierung, Audit-Pflichten, Befugnisse von Behörden — und viel Unklarheit, welche Pflichten wo und wann verbindlich werden. All das im freien OpenKRITIS-Webinar am 27. Februar 2024, auf Englisch. Registrierung über LinkedIn, Durchführung per Teams.

EU NIS2 Implementation in EU Member States
Discussion on national NIS2 implementation in: DE, BE, CZ, FI, HR
Webinar ∙ Register on LinkedIn ∙ English ∙ 27. February 2024 9:30

KRITIS-Dachgesetz – der zweite Entwurf

Paul Weissmann — Tue, 02 Jan 2024 09:30:00 +0100

Ende Dezember 2023 wurde der zweite Entwurf vom KRITIS-Dachgesetz veröffentlicht. Das KRITIS-DachG wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken und setzt die EU CER-Richtlinie (EU 2022/2557) um. Unter das Gesetz fallen ab 2024 die Betreiber kritischer Anlagen, ex-KRITIS, mit zusätzlichen Resilienz-Pflichten.

Auch im zweiten Entwurf vom DachG sind die Vorgaben und Fristen für Betreiber eher milde. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen treten erst 2026 in Kraft. Im Entwurf von Dezember wurden einige Vorgaben angepasst, reduziert und mit NIS2 harmonisiert:

Betreiber: Die parallele Definition der Einrichtungen (NIS2) wurde entfernt
Sektoren: Definitionen wurden mit der NIS2-Umsetzung harmonisiert
Nachweise: Keine reguläre Nachweispflicht mehr für Betreiber
Registrierung: Frist zur eigenen Registrierung beim BBK erst nach drei Monaten
BBK und BSI: Mehr Harmonisierung gemeinsamer Abläufe mit dem BSI
Staat: Deutliche Einbindung von Landesbehörden
Kritische Komponenten wurden gestrichen
Verantwortung für Geschäftsleiter wurde aufgenommen (à la NIS2)

Die Bundesregierung schätzt für die Wirtschaft einen jährlichen Erfüllungsaufwand im hohen dreistelligen Millionenbereich. Der Entwurf nimmt an, dass 1.300 Betreiber kritischer Anlagen “über keine ausreichende physische Resilienz verfügen.” Die Kosten für Resilienz-Vorgaben seien “zehn Mal so hoch” wie für Vorgaben zu IT-Sicherheit.

Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder und Einmalaufwand von 6 Mio EUR. Neue Planstellen sind noch unklar.

NIS2-Umsetzung und Werkstattgespräch

Paul Weissmann — Wed, 15 Nov 2023 08:45:00 +0100

Im Oktober fand ein Werkstatt-Gespräch zwischen Innenministerium und Wirtschaftsverbänden zur NIS2-Umsetzung statt. Besprochen wurde das Diskussionspapier zum NIS2-Umsetzungsgesetz und diverse Änderungswünsche.

Entschärfte der Gesetzesentwurf aus September 2023 im Diskussionspapier die NIS2-Anforderungen in Deutschland schon deutlich, gab es nun viele weitere Kommentare. In den öffentlichen Folien vom BMI zum Gespräch in der Werkstatt sind nun die Reaktionen des Bundes zu diesen Wünschen enthalten.

Bemerkenswerte Aspekte aus den Folien: Prüfungen sollen nur noch alle drei Jahre für Betreiber kritischer Anlagen stattfinden – für Einrichtungen soll es keine Nachweispflicht, dafür eine mögliche Dokumentationspflicht geben. Generell soll der Scope der §30 NIS2-Sicherheitsmaßnahmen das ganze Unternehmen umfassen.
Diverse Vorschläge hat das Innenministerium laut Folien abgelehnt. So ist es gegen den generellen Ausschluss kleiner und mittlerer Unternehmen sowie konzerneigener IT-Dienstleister. Es ist aber auch gegen die Aufnahme von Kommunen und Ländern in die NIS2-Regulierung. Weiterhin sollen die Meldefristen nicht verlängert werden und die Size-cap-Regeln zur Größenbestimmung nicht weiter angepasst (beschnitten) werden.
Sonst noch relevante Änderungen und Anpassungen: Definitionen sollen harmonisiert werden (zu Gesetzen, Branchen) und einige Formalien und Vorgaben am Rande des Gesetzes klargestellt werden. Die besonderen Anforderungen an kritische Anlagen sollen auf den Unternehmensteil beschränkt bleiben (die Prüfungen aber nicht?).
Es sind weiterhin keine Übergangsfristen in der NIS2-Umsetzung erkennbar!
– und vieles mehr

Aber, viele Aspekte der NIS2-Umsetzung blieben zumindest in den Folien unbesprochen:

Unterschiedliche Sektordefinitionen bei Einrichtungen und Betreibern kritischer Anlagen
Aufnahme der §30-Maßnahmen in TKG und EnWG und konkrete Ausgestaltung mit weiterführenden Sicherheitskatalogen
Konkretisierung der §30 Maßnahmen für Cloud-Provider & Co. im EU Implementing Act
Klärung, wann die (neuen) Nachweispflichten beginnen – wirklich erst 2027?
Ändern sich die bisherigen Anlagen und Schwellenwerte für KRITIS noch in NIS2?
Was ist mit Versicherungen (und dem Finanzsektor) in NIS2?

Die Änderungen sollen in einem weiteren Referentenentwurf für die NIS2-Umsetzung an verarbeitet werden; zusätzlich stehen auch noch weitere KRITIS-Verordnung(en) aus.

Verarbeitendes Gewerbe in NIS2

Paul Weissmann — Fri, 27 Oct 2023 08:45:00 +0100

Der Sektor verarbeitendes Gewerbe gehört ab 2024 zur deutschen NIS2-Regulierung. Mit EU NIS2 werden die schützenswürdigen Wirtschaftssektoren sehr viel weiter als klassische Kritische Infrastrukturen gefasst. Ein großer Teil der EU-Wirtschaft muss bald Cybersecurity und Risiko-Management umsetzen – darunter auch Industrie und Produktion.

Breit gefasst, umfasst der Sektor verarbeitendes Gewerbe viele Güterklassen nach NACE:

Herstellung Medizinprodukte und In-vitro-Diagnostika
Herstellung von DV-Geräten, Elektronik und Optik (NACE C 26 und 27)
Maschinenbau (NACE C 28)
Herstellung von Kraftwagen und Teilen (NACE C 29)
Sonstiger Fahrzeugbau (NACE C 30)

Darin verbirgt sich eine Vielzahl an Produzenten in Deutschland, die als wichtige Einrichtung ab 50 Mitarbeitern oder ab 10 Mio. EUR Umsatz reguliert werden; ein paar Beispiele:

Uhren (in 26.52), Ferngläser und Beamer (in 26.70)
Glühlampen, Leuchtrohre (in 27.40), Geschirrspülmaschinen und Dosenöffner (in 27.51)
Sanitärarmaturen (in 28.14), Kugel- und Rollenlager (in 28.15), Rasenmäher (in 28.30)
PKW, Betonmischwagen, Gokarts (in 29.10), Wohnanhänger (in 29.20), Zündkerzen und Fensterheber (in 29.31), Auspuffrohre und Stoßdämpfer (in 29.32)
Frachtschiffe (in 30.11), Jet Ski, Ruderboote und Kanus (in 30.12), Lokomotiven, Personenwagen, Zughaken (30.20), Flugzeuge und Raumfahrzeuge (30.30)

Neben dem verarbeitenden Gewerbe gibt es in NIS2 weitere neue Sektoren: Chemie, Digitale Dienste, Forschung (Institute) und Weltraum (Bodeninfrastruktur).

OpenKRITIS

KRITIS-Dachgesetz: Erklärung Bundesregierung

OpenKRITIS-Webinar: Aktuelle NIS2-Regulierung

Schulungsprogramm im Sommer 2026

KRITIS-Dachgesetz im Bundesrat am 6. März

Registrierungen unter NIS2 und KRITIS

Das OpenKRITIS-Betreiberforum

Implementing Act: Sicherheitsvorfälle

KRITIS in Zahlen seit 2024

EU Cybersecurity Act 2

KRITIS-Dachgesetz in 2026

Aktualisierung von EU NIS2 in 2026

NIS2-reguliert - und nun?

NIS2 und der CS&R in Großbritannien

NIS2 in Deutschland verkündet

Das OpenKRITIS-Betreiberforum

Cyber Resilience Act: EU CRA

NIS2 und KRITIS bis Ende 2025

Stand der NIS2-Umsetzung im Herbst 2025

Geltungsbereich für NIS2 und KRITIS

Kritische Komponenten im Energiesektor: 5G-Moment?

OpenKRITIS Winter School 2025-2026

KRITIS-Dachgesetz: Neuer Entwurf August 2025

KRITIS in Zahlen – Reifegrade Sommer 2025

Network Code on Cybersecurity (NCCS) im Energiesektor

Kabinettsentwurf NIS2-Umsetzung von Ende Juli 2025

Neue Entwürfe der NIS2-Umsetzung im Sommer 2025

Neuer IT-Sicherheitskatalog Energie 2025

Neue GAiN-Vorgaben und Nachweisprozesse

KRITIS und NIS2 für Prüfer: DIIR Digitale Tage

KRITIS in Zahlen - Reifegrade bei Betreibern

NIS2 verspätet sich - und nun? Folien von Webinar

Reifegrade in der Umsetzung (RUN)

Konkretisierung der Anforderungen 2025

OpenKRITIS Winter School im März 2025

RUN-Anforderungen für KRITIS-Prüfungen ab 2025

NIS2-Umsetzungsgesetz: Letzter Entwurf 2024

KRITIS-Dachgesetz: Neuer Entwurf November 2024

Orientierungshilfe Angriffserkennung 2024

Finaler Implementing Act Internet und IT

BSI-Schulung Prüfverfahrenskompetenz Community Draft

KRITIS-Dachgesetz: Neuer Entwurf aus April 2024

NIS2-Umsetzungsgesetz in Deutschland ab März 2025

Neue GAiN-Anforderungen an KRITIS-Prüfungen 2024

Schulung Prüfverfahrenskompetenz Community Draft

Mehrfachregulierung und Ausnahmen in NIS2

Mehr und tiefere Prüfungen in NIS2 ab 2025

NIS2 Implementing Act Mapping ISO 27001 und KRITIS

Letzter Referentenentwurf NIS2-Umsetzung Juni

NIS2-Umsetzungsgesetz Referentenentwurf Mai

DORA-Mapping auf NIS2, ISO 27001 und C5

DORA und NIS2 im Finanzsektor

Betreiber mit Mehrfach-Regulierung in NIS2

NIS2-Anforderungen und Standards

Unternehmen im besonderen öffentlichen Interesse

Energiesektor, NIS2 und EnWG

OpenKRITIS-Konferenz am 12. März 2024

Der Staat als Kritische Infrastruktur

Einreichung von Nachweisen in KRITIS-Prüfungen

Meldepflichten in der NIS2-Umsetzung

Umsetzung von NIS2 in EU-Mitgliedsstaaten

OpenKRITIS-Konferenz am 12. März 2024 - Tickets online

Webinar EU NIS2 Implementation in EU Countries

KRITIS-Dachgesetz – der zweite Entwurf

NIS2-Umsetzung und Werkstatt­gespräch

Verarbeitendes Gewerbe in NIS2

NIS2-Umsetzung und Werkstattgespräch