Die BSI-Kritisverordnung zielt auf den Schutz der Kritischen Infrastrukturen ab. Die Umsetzung (z.B. mithilfe der branchenspezifischen Sicherheitsstandards) ist für Unternehmen, die die jeweiligen Schwellenwerte erreichen, verpflichtend.
Die BSI-Kritisverordnung definiert kritische Dienstleistungen und Schwellenwerte.
"Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Quelle: Bundesministerium des Inneren (BMI)
❗ Einrichtungen, die per Definition als Kritische Infrastrukturen gelten, sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, ihre informationstechnischen Systeme, Komponenten oder Prozesse gemäß dem aktuellen Stand der Technik abzusichern.❗
Betreiber kritischer Infrastrukturen (KRITIS) und Betreiber von Energieversorgungsnetzen sind gemäß IT-Sicherheitsgesetz 2.0 (IT-SiG) verpflichtet, ab dem 01.05.2023 Systeme zu Angriffserkennung (SzA) einzusetzen und dies gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Betreiber müssen dann zukünftig alle zwei Jahre ihre Nachweise gemäß § 8a Absatz 3 BSIG einreichen.
NEUE BEREICHE:
Unter die NIS2 fallen auch mittlere und große Einrichtungen aus einer Reihe von Sektoren, die nicht zu den sogenannten kritischen Infrastrukturen (Kritis) zählen.
Sie trat am 16.01.2023 in Kraft und soll bis Ende 2024 in nationales Recht umgesetzt sein.
Betroffen von NIS2 sind große und mittlere Unternehmen und Organisationen gemäß 2003/361/EC in insgesamt 18 verschiedenen Sektoren. Organisationen innerhalb dieser Sektoren werden als sogenannte Essential Entities oder Important Entities klassifiziert. Betroffen sind auch die sogenannten UBI, hier steht die Klassifizierung und Schwellenwerte noch aus.
Große Organisationen gemäß 2003/361/EC:
Essential Entities sind große Organisationen in den 11 essenziellen Sektoren:
Mittlere+Große Organisationen gemäß 2003/361/EC:
Important Entities sind alle mittelgroßen Organisationen in essenziellen Sektoren und große Organisationen in den 7 wichtigen Sektoren:
Neben einer Identifikation nach Unternehmensgröße fordert NIS 2, spezielle Betreiber unabhängig der Größe zu regulieren, was das IT-Sicherheitsgesetz bisher noch nicht vorsieht:
Offen sind noch konkretere Definitionen und Methodiken für Unternehmen im besonderen öffentlichen Interesse (UBI).
Anomalie-Erkennung durch IRMA®
WEBINAR
Raus aus dem KRITIS Dschungel - Kritis Dachgesetz, IT-SiG 3.0, EU NIS2, ISMS, TISAX & Co ab 2023
Viele Unternehmen sind zurecht verunsichert und stellen sich folgende Fragen:
Bin ich betroffen? Welche Vorschriften und Gesetze greifen für mein Unternehmen? Wie schütze ich mich und wie erfülle ich die Kritis Vorgaben nachweislich ab 2023? Das erfahren Sie im Webinar On Demand.
Antworten auf diese Fragen erhalten Sie in unserem kostenlosen Webinar mit dem Experten für Datenschutz & IT-Sicherheit Wolfgang Matzke von KLW & Thomas Drechsel von DMN Solutions.
Themen: