KRITIS und NIS2: Mehr Sicherheit für kritische Infrastrukturen

Die NIS2-Richtlinie gilt für Organisationen, inkl. Unternehmen und Zulieferer, die durch Erbringung wesentlicher oder wichtiger Dienstleistungen eine entscheidende Rolle für die Aufrechterhaltung der europäischen Wirtschaft und Gesellschaft spielen. Wenn Ihre Organisation unter eine der folgenden Kategorien fällt und die Kriterien von mehr als 50 Mitarbeitern und einem Umsatz von mehr als 10 Millionen Euro erfüllt, ist die Einhaltung der NIS2-Richtlinie obligatorisch

Öffentliche und private Einrichtungen in bestimmten Sektoren:

• Post- und Kurierdienste
• Abfallwirtschaft
• Chemie
• Lebensmittel
• Herstellung medizinischer Geräten
• Computer und Elektronik
• Maschinen
• Kraftfahrzeuge
• Energie
• Verkehrswesen
• Bankwesen
• Finanzmarkt-Infrastrukturen
• Gesundheitswesen
• Trinkwasserversorgung und -verteilung
• Digitale Infrastrukturen
• Online-Marktplätze
• Online-Suchmaschinen
• Cloud Computing-Dienste

Das KRITIS-Dachgesetz gilt für Organisationen, inkl. Unternehmen und Zulieferer, die durch Erbringung von Dienstleistungen eine entscheidende Rolle für die Aufrechterhaltung der deutschen Wirtschaft und Gesellschaft spielen. Als Regelschwellenwert wurde die Versorgung von 500.000 Einwohnern festgelegt. Für einzelne Sektoren gelten spezifische Regelungen.

Das KRITIS-Dachgesetz schafft den rechtlichen Rahmen für den Schutz kritischer Infrastrukturen in Deutschland. Der Fokus liegt hierbei auf physischer Sicherheit und betrachtet alle denkbaren Risiken, die durch technische Ausfälle oder gezielte Angriffe entstehen können.

Das Gesetz legt zunächst fest, welche Sektoren und Branchen als kritische Infrastrukturen gelten, wie etwa die Bereiche Energie, Wasser, Verkehr, Gesundheit, Informationstechnik und Telekommunikation. Für diese Bereiche definiert das KRITIS-Dachgesetz Mindeststandards und Schutzanforderungen, die Betreiber erfüllen müssen, um die Funktionsfähigkeit im Krisenfall sicherzustellen.

Zudem regelt das Gesetz Meldepflichten: Betreiber kritischer Infrastrukturen sind verpflichtet, Störungen und Ausfälle, die zu erheblichen Versorgungsengpässen führen können, an zuständige Behörden zu melden.

Nicht zuletzt sieht das Gesetz auch Sanktionen bei Verstößen gegen die Schutzanforderungen vor, etwa in Form von Bußgeldern. Insgesamt zielt das KRITIS-Dachgesetz darauf ab, die lebenswichtigen Infrastrukturen Deutschlands besser vor Ausfällen, Störungen und Angriffen zu schützen und so die Versorgungssicherheit der Bevölkerung zu gewährleisten.

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine überarbeitete EU-Richtlinie, die im Jahr 2022 verabschiedet wurde. Sie dient der Stärkung der Cybersicherheitsmaßnahmen in Unternehmen und öffentlichen Einrichtungen innerhalb der EU mit dem Ziel, die Resilienz und die Sicherheitsanforderungen für kritische Infrastrukturen und wichtige Unternehmen zu erhöhen, um sich besser gegen Cyberangriffe zu schützen.

Das NIS2-Umsetzungsgesetz (NIS2-UmsuCG) überträgt die Anforderungen der NIS2-Richtlinie in nationales Recht und legt fest, welche Unternehmen und Einrichtungen diese Anforderungen erfüllen müssen. Es bestimmt außerdem die Sicherheitsmaßnahmen, die ergriffen werden müssen, um die Cybersicherheit zu verbessern. Diese Vorgaben sollen insbesondere in kritischen Infrastrukturen, wesentlichen und wichtigen Sektoren angewendet werden, um besser gegen Risiken und Bedrohungen der digitalen Infrastruktur gerüstet zu sein.

Benötigen Sie Unterstützung bei der Erfüllung der Anforderungen der NIS2-Richtlinie? Ein Gap Assessment hilft, mögliche Sicherheitslücken zu identifizieren und unterstützt, gesetzliche Vorgaben wie NIS 2 oder KRITIS zu erfüllen.

Flyer Gap Assesment herunterladen

Die neue EU-Richtlinie NIS2 ergänzt das KRITIS-Dachgesetz und wird durch das NIS2-Umsetzungsgesetz umgesetzt. Während das deutsche Gesetz sich primär auf die klassischen kritischen Infrastrukturen wie Energie, Wasser oder Verkehr konzentriert, greift die EU-Richtlinie NIS2 wesentlich weiter.

Grundsätzlich lässt sich sagen, dass KRITIS-Betreiber immer die NIS2-Richtlinie beachten müssen. Es fallen aber nicht nur die traditionellen kritischen Sektoren unter das neue EU-weite Kontrollsystem, sondern auch eine Vielzahl weiterer Unternehmen und Dienstleister, die als "wesentliche" oder "wichtige" Einrichtungen definiert werden. Dazu gehören zum Beispiel die Trink- und Abwasserversorgung, Lebensmittelproduktion, Computer- und Elektronikindustrie oder die Automobilindustri

Ursprünglich war vorgesehen, dass beide Gesetze Mitte Oktober 2024 in Kraft treten sollten. Für das KRITIS-Dachgesetz wurde am 6. November 2024 der Entwurf im Bundeskabinett verabschiedet. Der darauffolgende Gesetzgebungsprozess im Bundestag und Bundesrat folgt Anfang 2025. Ähnlich sieht es für das NIS2-Umsetzungsgessetz aus: Der aktuelle Stand ist, dass das NIS2-Umsetzungsgesetz voraussichtlich Anfang 2025 in Kraft treten wird. Die genauen Termine sind noch nicht final festgelegt, da der Abstimmungsprozess zwischen den beteiligten Instanzen andauert. Sobald ein konkreter Termin für das Inkrafttreten steht, wird dies von der Bundesregierung bekanntgegeben.

Krankenhäuser gehören grundsätzlich zur KRITIS, wenn sie die dafür vorgesehenen Schwellenwerte erreichen bzw. überschreiten oder/und weitere Parameter zusätzlich erfüllen. Genaueres kann erst nach der endgültigen Verabschiedung des Gesetzes gesagt werden, da die bisherigen Informationen auf den veröffentlichten Referentenentwürfen basieren. Der Versorgungsgrad, also die Bedeutung einer Dienstleistung für die Versorgung, muss anhand branchenspezifischer Schwellenwerte bestimmt werden. Dies gilt für alle Dienstleistungen, die als kritisch eingestuft werden.

Ein „Angriff“ umfasst Sabotageakte, die die physische Sicherheit betreffen. Sozialengineering, also der gezielte Manipulationsversuch, um vertrauliche Informationen zu erlangen, sollte durch Maßnahmen wie Aufklärung und Schulung zur Datensicherheit innerhalb der Unternehmen verhindert werden. Wenn ein Angriff auf die IT-Infrastruktur erfolgt, der auf Informationen aus Sozialengineering basiert, müssen die potenziell erheblichen Auswirkungen ebenfalls gemeldet werden.

Bei der Wirksamkeitsprüfung wird der aktuelle Sicherheitszustand bewertet und mit dem Zustand vor der Umsetzung der Maßnahmen verglichen. Dabei wird überprüft, ob das festgelegte Schutzziel durch die definierten Schutz- und Abwehrmaßnahmen erreicht wurde. Das Ziel der Wirksamkeitsprüfung ist es, sicherzustellen, dass alle betroffenen Organisationen – unabhängig davon, ob sie zu KRITIS oder zu NIS2 gehören – ihre Sicherheitsmaßnahmen angemessen umgesetzt haben.

Ein „Angriff“ umfasst Sabotageakte, die die physische Sicherheit betreffen. Sozialengineering, also der gezielte Manipulationsversuch, um vertrauliche Informationen zu erlangen, sollte durch Maßnahmen wie Aufklärung und Schulung zur Datensicherheit innerhalb der Unternehmen verhindert werden. Wenn ein Angriff auf die IT-Infrastruktur erfolgt, der auf Informationen aus Sozialengineering basiert, müssen die potenziell erheblichen Auswirkungen ebenfalls gemeldet werden.

Die BSI-Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik in Deutschland gewährleistet, dass IT-Produkte und -Prozesse bestimmte Sicherheitsstandards erfüllen. Im Zusammenhang mit dem KRITIS-Dachgesetz und der NIS2-Richtlinie spielt die BSI-Zertifizierung eine wichtige Rolle, da sie die Einhaltung von Cybersicherheitsstandards für Betreiber kritischer Infrastrukturen und wesentlicher Dienste gewährleistet. Für Unternehmen, die Teil kritischer Infrastrukturen sind, kann die BSI-Zertifizierung ein wichtiger Nachweis für die Erfüllung gesetzlicher und regulatorischer Sicherheitsvorgaben sein.

Das NIS2UmsuCG legt die Anforderungen fest, die von der Regierung per Gesetz definiert werden. Dabei wird „nur“ das Ziel beschrieben, das erreicht werden muss – nicht jedoch, wie dieses Ziel konkret umgesetzt werden soll. Daher enthält das Gesetz keine vorgeschriebenen Lösungen. Die ISO 27001:2022 bietet allgemein gültige Anforderungen für Informationssicherheitsmanagementsysteme (ISMS), die für jede Art von Organisation anwendbar sind. Sie kann daher als möglicher Ansatz und Hilfsmittel dienen, um die gesetzlichen Anforderungen zu erfüllen.

Der Cyber Resilience Act (CRA) ist die erste europäische Regelung, die Cybersicherheitsanforderungen für sowohl vernetzte als auch nicht vernetzte Produkte festlegt. Voraussetzung ist, dass die Produkte über eine Schnittstelle verfügen. Die Regulierung trat am 10. Dezember 2024 in Kraft. Erste Berichtspflichten müssen ab dem 11. September 2026 erfüllt werden, während der CRA ab dem 11. Dezember 2027 vollständig gilt. Besonders betroffen sind Hersteller von Hardware- und Software-Produkten, die nachweisen müssen, dass ihre Systeme die festgelegten Anforderungen erfüllen.

Katastrophenschutz zuständig ist. Ihre Aufgaben umfassen die Vorbereitung und Koordination von Maßnahmen zum Schutz und zur Unterstützung der Bevölkerung bei größeren Gefahrenlagen und Katastrophen.

Für KRITS und die NIS2 ist das BBK von Bedeutung, da es sich mit der Resilienz und dem Schutz kritischer Infrastrukturen befasst. Kritische Infrastrukturen sind essenziell für das Funktionieren der Gesellschaft und Wirtschaft, und ihre Störung kann schwere Auswirkungen haben. Das BBK arbeitet daran, diese Infrastrukturen widerstandsfähiger gegen Bedrohungen und Angriffe zu machen, indem es Sicherheitsstrategien entwickelt.