KRITIS / It-sig im Überblick


BSI KRITISVERORDNUNG

Die BSI-Kritisverordnung zielt auf den Schutz der Kritischen Infrastrukturen ab. Die Umsetzung (z.B. mithilfe der branchenspezifischen Sicherheitsstandards) ist für Unternehmen, die die jeweiligen Schwellenwerte erreichen, verpflichtend. 

 

Die BSI-Kritisverordnung definiert kritische Dienstleistungen und Schwellenwerte.

 

"Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Quelle: Bundesministerium des Inneren (BMI)

 

❗ Einrichtungen, die per Definition als Kritische Infrastrukturen gelten, sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, ihre informationstechnischen Systeme, Komponenten oder Prozesse gemäß dem aktuellen Stand der Technik abzusichern.❗


IT-Sicherheitsgesetz 2.0

NEU AB 1. Mai 2023

Betreiber kritischer Infrastrukturen (KRITIS) und Betreiber von Energieversorgungsnetzen sind gemäß IT-Sicherheitsgesetz 2.0 (IT-SiG) verpflichtet, ab dem 01.05.2023 Systeme zu Angriffserkennung (SzA) einzusetzen und dies gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Betreiber müssen dann zukünftig alle zwei Jahre ihre Nachweise gemäß § 8a Absatz 3 BSIG einreichen. 

 

NEUE BEREICHE:

  • Versorgung, Transport und Verkehr, Entsorgung
  • Rüstung (UBI 1)

IT-Sicherheitsgesetz 3.0 und NIS 2


SIND SIE BETROFFEN VON NIS2?

Unter die NIS2 fallen auch mittlere und große Einrichtungen aus einer Reihe von Sektoren, die nicht zu den sogenannten kritischen Infrastrukturen (Kritis) zählen.

 

Sie trat am 16.01.2023 in Kraft und soll bis Ende 2024 in nationales Recht umgesetzt sein.

 

Wer ist von NIS2 betroffen?

Betroffen von NIS2 sind große und mittlere Unternehmen und Organisationen gemäß 2003/361/EC in insgesamt 18 verschiedenen Sektoren. Organisationen innerhalb dieser Sektoren werden als sogenannte Essential Entities oder Important Entities klassifiziert. Betroffen sind auch die sogenannten UBI, hier steht die Klassifizierung und Schwellenwerte noch aus.

 

Große Organisationen gemäß 2003/361/EC:

  • Mehr als 250 Beschäftigte
  • Mehr als 50 Mio. EUR Umsatz
  • Mehr als 43 Mio. EUR Bilanz

Essential Entities sind große Organisationen in den 11 essenziellen Sektoren:

  • Energie
  • Transport
  • Banken
  • Finanzmärkte
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • IT Service Management
  • Öffentliche Verwaltung
  • Raumfahrt

Mittlere+Große Organisationen gemäß 2003/361/EC:

  • Mehr als 50 Beschäftigte
  • Mehr als 10 Mio. EUR Umsatz

Important Entities sind alle mittelgroßen Organisationen in essenziellen Sektoren und große Organisationen in den 7 wichtigen Sektoren:

  • Post und Kurierdienste
  • Abfallwirtschaft
  • Chemikalien
  • Lebensmittel/Ernährung
  • Industrie (Hersteller)
  • Digitale Dienste
  • Forschung

Neben einer Identifikation nach Unternehmensgröße fordert NIS 2, spezielle Betreiber unabhängig der Größe zu regulieren, was das IT-Sicherheitsgesetz bisher noch nicht vorsieht:

  • Rüstung (UBI 1) – ab 01.05.2023
  • Wertschöpfung (UBI 2) nach §2 (14) BSIG „Unternehmen von erheblicher volkswirtschaftlicher Bedeutung“
  • Zulieferer der Gruppe (UBI2.5) von „wesentlicher Bedeutung“ für die UBI2 Unternehmen sind
  • Gefahrstoffe (UBI 3) nach § 2 (14) 3 BSIG Chemie, produzierende Industrie nach Störfallverordnung

 

Offen sind noch konkretere Definitionen und Methodiken für Unternehmen im besonderen öffentlichen Interesse (UBI). 



NIS2: Diese Cyber Security Maßnahmen müssen betroffene Unternehmen und Organisationen umsetzen

  • Sicherheitsrichtlinien etablieren und umsetzen
  • Sicherheitsvorfälle verhindern, erfassen und bewältigen
    Infoblox BloxOne Threat Defense >>
    Infoblox Dex Tool >>
  • Backup-Management einführen
  • Sicherheit der Lieferkette gewährleisten
  • Sicherheit bei der Beschaffung von IT und Netzwerk-Systemen gewährleisten
  • Performance-Messungen von Cyber und Risiko Maßnahmen
  • Cyber Security Training
    G-Data Awareness Trainings & Phishing Simulation >>
  • Daten verschlüsseln
  • Personalinformationen schützen
  • Zugangskontrolle einführen
    IAM von tenfold >>
    NAC von macmon >>
  • Asset Management einführen
  • Multi-Factor-Authentisierung und SSO nutzen
  • Sicherer Sprach-, Video- und Text-Kommunikation nutzen
  • Sichere Notfall-Kommunikations-Systeme bereitstellen

Unsere starken Partner für Ihre sichere Infrastruktur


Anomalie-Erkennung durch IRMA®



WEBINAR

Raus aus dem KRITIS Dschungel - Kritis Dachgesetz, IT-SiG 3.0, EU NIS2, ISMS, TISAX & Co ab 2023

 

Viele Unternehmen sind zurecht verunsichert und stellen sich folgende Fragen:

Bin ich betroffen? Welche Vorschriften und Gesetze greifen für mein Unternehmen? Wie schütze ich mich und wie erfülle ich die Kritis Vorgaben nachweislich ab 2023? Das erfahren Sie im Webinar On Demand.

 

 

 

 

Antworten auf diese Fragen erhalten Sie in unserem kostenlosen Webinar mit dem Experten für Datenschutz & IT-Sicherheit Wolfgang Matzke von KLW  & Thomas Drechsel von DMN Solutions.

 

 

 

Themen:

 

  • Neue Pflichten für KRITIS-Betreiber
  • Zusätzlich betroffene Unternehmen
  • rechtliche Rahmengrundlagen
  • ISMS nach ISO 27001
  • mehr Cyber & Security Pflichten