Summer School

Der Einstieg in NIS2 für Unternehmen

Die OpenKRITIS Summer School im Sommer 2024 richtet sich an Unternehmen, die einen einfachen Einstieg in die komplexe Welt der NIS2- und KRITIS-Regulierung in Deutschland suchen. In den Modulen behandeln wir an jeweils einem Vormittag in Kleingruppen in einem interaktiven Workshop-Format Themen rund um die Regulierung – mit vielen Fragen.

Das Ziel der Workshops ist, in einem fokussierten Rahmen ein Grundverständnis der Themen gemeinsam in der Gruppe mit Gleichgesinnten zu erarbeiten. Dabei sollen viele Fragen gestellt und eigene Fallbeispiele eingebracht werden. Die Workshops werden online durchgeführt.

Zielgruppe

Zielgruppe sind Unternehmen, die von NIS2/KRITIS betroffen sind oder es (vielleicht) werden.

• Geschäftsleiter
• IT-Leiter und Verantwortliche
• Compliance-Verantwortliche
• Sicherheitsbeauftragte
• Risiko-Management
• Verantwortliche für KRITIS, NIS2

Vorwissen oder Expertise zu Kritischen Infrastrukturen ist nicht notwendig. Eine Kenntnis des eigenen Betriebs und wirtschaftlicher Kennzahlen sowie grundlegender IT sind hilfreich.

NIS2 und KRITIS-Betroffenheit – und nun?

Dieser Workshop ist eine Einleitung mit Grundlagenwissen zu Kritischen Infrastrukturen für Unternehmen, die (bald) unter NIS2 und KRITIS fallen. In Deutschland sind ab diesem Jahr viele Sektoren, Dienstleistungen, Produkte und Unternehmen reguliert – die Regulierung erweitert sich um Tausende Unternehmen, die deutlich über Infrastrukturen hinausgehen.

Wie ist das eigene Unternehmen betroffen? Und was sind die nächsten Schritte?

Nach den notwendigen Grundlagen der NIS2/KRITIS-Regulierung erarbeiten wir im Plenum die eigene Betroffenheit und notwendige Sicherheits­maßnahmen. Unternehmen können als Anlage, Einrichtung oder auch gar nicht von NIS2 betroffen sein – mit unterschiedlichen technischen, organisatorischen und bürokratischen Security-Maßnahmen, die umgesetzt werden müssen.

Als Ergebnis erhalten Teilnehmer ein Grundverständnis der eigenen KRITIS/NIS2-Betroffenheit und sind in der Lage, die nächsten Schritte im eigenen Unternehmen zu artikulieren. Nicht alles kann auf einmal gelöst werden – aber die Grundsteine müssen gelegt werden.

Schwerpunkte

1. Grundlagen Regulierung: Einführung und Übersicht von NIS2 und KRITIS in Deutschland. Umsetzungsgesetz, Dachgesetz, Verordnungen, Definitionen, Vorgaben und Anforderungen.
2. Betroffenheit: Verständnis der Sektoren, Schwellenwerte, Anlagen und Einrichtungsarten in NIS2 und KRITIS. Skizze der Betroffenheit von IT und Prozessen im Geltungsbereich.
3. IT-Sicherheit: Die grundlegenden Maßnahmen zur Steuerung von Risiko-Management und Sicherheit. Übersicht über ISMS, Notfallvorsorge und viele Prozesse und Governance.

Buchung

Der Kurs richtet sich an potenziell regulierte Einrichtungen.
Anmeldung und Tickets über unser Schulungsbüro.
Mehr Informationen zum Ablauf.

German Critical Infrastructures in English

This is an introductory course meant to enable foreign partners, subsidiaries or HQs of German companies understand the basic outlines of German Critical Infrastructure Protection (CIP) regulations in light of the many changes of 2024 and beyond.

Companies operating in Germany might be governed by German NIS2 and KRITIS regulations, either as infrastructure operator or entity providing services. The resulting regulations and requirements for companies with German subsidiaries and clients can be complex: registration with authorites, IT security and resilience requirements, incident reporting and formalities.

We dive into scoping, requirements and practical next steps to help IT officers, compliance experts and technical leads get a basic understanding of the requirements for entities operating under KRITIS and NIS2 law.

This course is held in English.

Topics

1. German KRITIS basics: Overview of the foundation of German CIP regulation: KRITIS and NIS2 laws, identification methods, scope of applicability, thresholds, definition of operators.
2. Changes NIS2 and 2024: Understanding the disruptive changes to German KRITIS by NIS2 with more sectors, more requirements and thousands more regulated companies.
3. What now?: Deep dive into possible next steps for NIS2 and KRITIS compliance. Essential cybersecurity and resilience governance, IT security measures, authority processes.

Booking

This course is offered for operators and regulated entities.
Get tickets and register at our training office.

Betreiber mit Mehrfach-Regulierung

Mit NIS2 bleiben doppelte Regulierung und Zuständigkeiten in Deutschland (leider) erhalten. In der Energie­wirtschaft und Telekommunikation fallen Anbieter neben KRITIS und NIS2 häufig weiterhin auch unter das TKG, EnWG und die BNetzA-Sicherheits­kataloge. Alle diese Vorgaben werden sich ab 2024 dazu noch weiterentwickeln.

Neben vielen technischen und organisatorischen Sicherheits­maßnahmen müssen TK- und Energie-Anbieter einigen büro­kratischen Pflichten nachkommen – im Spannungsfeld mehrerer Behörden. Auch Anbieter, die nicht unmittelbar von NIS2 betroffen sind sondern sektor-reguliert bleiben, erben NIS2-Maßnahmen teilweise durch Sicherheitskataloge der BNetzA.

Was gilt nun wo und wann? Wir besprechen Wege, die vielen Anforderungen zu entzerren und konsolidiert anzugehen. Dabei helfen Strategien, auf bestehende Rahmenwerke wie ISMS und ISO im Unternehmen zurück­zugreifen um Doppelarbeit und Papiertiger zu vermeiden.

Wir helfen bei den vielen Fragen zu Maßnahmen, Zertifizierungen und Sicherheitskatalogen.

Schwerpunkte

1. Neuerungen mit NIS2: Übersicht der NIS2-Umsetzung mit Fokus auf Definitionen und den vielen neuen Einrichtungen und Unternehmen. Und viele neue Cybersecurity-Pflichten.
2. Sicherheitskataloge TKG und EnWG: Zusammenfassung der wesentlichen Forderungen der BNetzA-Sicherheitskataloge und potenzielle Änderungen durch NIS2 (§30).
3. Strategien zur Bewältigung: ISMS als Grundlage zur Steuerung – mit Erweiterungen für TKG und EnWG in Scope, Vorgaben, Sicherheits­maßnahmen und Nachweisen. Ausblick auf Änderungen an bestehenden Zertifizierungen, ISMS und Auswirkungen auf Provider.

Buchung

Der Kurs richtet sich an potenziell regulierte Einrichtungen im TK und Energiesektor.
Anmeldung und Tickets über unser Schulungsbüro.
Mehr Informationen zum Ablauf.

Konzerne und Auslandeinheiten in EU NIS2

EU NIS2 verändert die Regulierung vieler Konzerne in Europa und erstreckt die Betroffenheit vielfach auf Auslands- und Tochter­gesellschaften. Unternehmen und Beteiligungen werden als eigene Legaleinheiten schnell durch NIS2 zu regulierten Entities mit eigenen Behörden und lokalen Vorgaben.

Die EU-Richtlinie NIS2 enthält Vorkehrungen, um diese Verkettungen zu vereinfachen – innerhalb von Konzernen aber auch über Landesgrenzen hinweg (Territorialität). Bestimmte Betreiber wie z.B. Cloud sollen so möglichst zentral und nicht dutzendfach reguliert werden. Dies alles bedarf noch Harmonisierung in nationalen Gesetzen und der Regulierungspraxis.

Sollen alle Auslands- und Tochtergesellschaft einzeln registriert werden? Welcher Teil von Unternehmen erbringt eigentlich NIS2-relevante Services? Was ist mit Vertriebsgesellschaften?

Wir beleuchten den Umgang von Konzernen mit Betroffenheit und Registrierung vor dem Hintergrund verteilter Verantwortungen, Dienstleistungen und Infrastruktur. Der Workshop dient als Einstieg in das Thema mit Feedback zu eigenen Ansätzen – wir werden nicht auf alles Antworten haben, aber Startpunkte finden.

Schwerpunkte

1. Betroffenheit: Analyse der EU NIS2 und deutschen Vorgaben zu Konzernen und Ausland. Territorialität, Einrichtungen, Registrierung, Geltungsbereich und Vorgaben.
2. Methodik: Ableitung betroffener Unternehmens­teile durch NIS2-Größen und Regeln, Dienst­leistungen, Wert­schöpfung und Konzernintegration.
3. Strategien: Umgang mit den Auswirkungen als verteilter Konzern. Scope im Unternehmen, Interaktion mit Behörden, Sicherheits­maßnahmen, verteilte Prozesse und Steuerung.

Buchung

Der Kurs richtet sich an potenziell regulierte Einrichtungen mit Auslandsbezug in der EU.
Anmeldung und Tickets über unser Schulungsbüro.
Mehr Informationen zum Ablauf.

Referenten

Paul Weissmann

Als Gründer von OpenKRITIS und Insignals GmbH begleitet Paul Weissmann Unternehmen auf dem Weg durch KRITIS und NIS2. Er hilft Betreibern und Verantwortlichen seit vielen Jahren bei einem eigenen, passgenauen Ansatz durch die Regulierung – vom DAX-Konzern bis zum Optiker. Gelernter Netzwerk-Ingenieur, dann lange Senior Manager in der Wirtschafts­prüfung.

Mitautor des Prüfhinweises Kritische Infrastrukturen des Instituts der Wirtschaftsprüfer IdW und des neuen KRITIS-Schulungsprogramm für Prüfer ab 2024. Seit dem ersten IT-Sicherheits­gesetz sehr viel Erfahrung in der Zusammenarbeit mit Behörden im Bund und der EU.

Hanna Lurz

Hanna Lurz ist Expertin bei OpenKRITIS für ISO 27001-Standards und die Energiewirtschaft. Sie ist als Senior Beraterin bei der Insignals GmbH für die Schwerpunkte Kritische Infrastrukturen und zertifizierungs­reife ISMS verantwortlich. Hanna hat über zehn Jahre Beratungs­erfahrung und war lange Fachbereichs­leiterin ISM in einer Zertifizierungs­organisation.

Sie ist Autorin und Redakteurin verschiedener KRITIS-Studien seit 2015 mit viel Erfahrung in der Regulierungs­welt und der Beratung von Behörden und Betreibern.

Preise

Preis pro Person pro Termin – Buchung und Rechnung über Insignals GmbH.

1. Regulärer Preis für Unternehmen: 295 EUR inkl. MwSt.
   Nettopreis für gewerbliche Kunden: 247,90 EUR zzgl. 19% MwSt.
2. Ermäßigter Preis für gemeinnützige Organisationen: 199 EUR inkl. MwSt.
   Ermäßigung auf Anfrage. Nettopreis: 167,23 EUR zzgl. 19% MwSt.

1. Anmeldung per Mail

Buchung

Die Registrierung für OpenKRITIS-Workshops findet per E-Mail an school@openkritis.de statt.

• Die Workshops richten sich an Betreiber, Einrichtungen und regulierte Unternehmen
• Anmeldung beim OpenKRITIS-Team per E-Mail, wir melden uns zeitnah zurück
• Teilnahme ist kostenpflichtig, Zahlung per Rechnung (Vorkasse)
• Einwahldaten und weitere Informationen im Anschluss per Mail
• Durchführung und Abrechnung über Insignals GmbH
• Datenschutzhinweise für OpenKRITIS-Veranstaltungen und Impressum

Durchführung

Die Workshops werden online per Microsoft Teams durchgeführt, wir laden ein. Das Format ist interaktiv mit Audio/Video und Anzeige von Teilnehmer-Namen – wir sehen uns.

• Fragen, Schwerpunkte und Beispiele gerne vorab per Mail an das Schulungsteam
• Es wird nur soviel geteilt, wie jede(r) preisgeben will
• Fragen und Diskussion machen ungefähr 50% der Schulungszeit aus
• Material zur Vorbereitung wird vor den Workshops versandt
• Die Workshops und Szenarien werden nicht aufgezeichnet
• Es gibt eine Pause in der Mitte der Workshops

Vorbereitung

Die Workshops setzen keine Vorkenntnisse zu KRITIS und NIS2 voraus. Vorbereitung und Wissen über das eigene Unternehmen und eingesetzte IT und Technologien helfen aber sehr.

1. Pre-Reads: Unterlagen und Quellen zur Vorbereitung und zum Einlesen
   Relevante Ausschnitte von Gesetzen, Definitionen und Konzepten von Behörden
2. Arbeitspapiere: Checklisten und Hilfsmaterial zur eigenen Einarbeitung
   Fragebögen und Arbeitspapiere zur Orientierung vor dem Workshop
3. Fragen und Fallbeispiele: Können vor dem Workshop gerne eingereicht werden.
   Hintergründe, Herleitungen, Szenarien und spezifische Fragen

Nach den Workshops

Teilnehmer erhalten die Schulungsunterlagen nach den Kursen. Wir bleiben dann auch gerne in Kontakt und helfen bzw. vermitteln bei Fragen.