Was sind kritische Infrastrukturen und wie anfällig sind sie für Störungen oder Angriffe auf die IT-Systeme, mit denen sie gesteuert werden? Welche Gesetze und Regelungen gibt es, die unsere Gesellschaft und die öffentliche Sicherheit vor kritischen Ausfällen schützen sollen? Vinzent Ratermann, Experte für die IT-Sicherheit kritischer Infrastrukturen und KRITIS-Auditor, beantwortet in unserer Blogserie diese und weitere Fragen.
1. KRITIS: Verwobene Gesetze und Verordnungen
2. KRITIS-Gesetzgebung auf europäischer Ebene
2.1 EU NIS
2.2 EU RCE
3. KRITIS-Gesetzgebung auf nationaler Ebene
KRITIS: Verwobene Gesetze und Verordnungen
Im ersten Teil dieser Blogserie ist deutlich geworden, dass Betreiber Kritischer Infrastrukturen in Deutschland durch die KRITIS-Regulierung verpflichtet sind, Cyber Security-Maßnahmen in ihren KRITIS-relevanten umzusetzen und nachzuweisen. Die KRITIS-Regulierung basiert auf verschiedenen, miteinander verwobenen Gesetzen und Verordnungen, die sowohl auf nationaler als auch auf europäischer Ebene verankert sind. Zum besseren Verständnis der gesetzlichen Grundlage von KRITIS möchten wir Ihnen in diesem Teil unserer Blogserie einen Überblick über die wichtigsten Gesetze und gesetzlichen Rahmen geben.
KRITIS-Gesetzgebung auf europäischer Ebene
EU NIS
Directive on Security of Network and Information
Die EU NIS-Direktive ist der gesetzliche Rahmen für Cyber Security in Kritischen Infrastrukturen auf europäischer Ebene. Die Directive on Security of Network and Information Systems reguliert die Informationssicherheit von kritischen Betreibern, um die Auswirkungen von Cyberangriffen auf und Störungen von IT-Systemen und Netzwerken zu minimieren.
Zu den Maßnahmen, die die EU NIS fordert, gehören beispielsweise die Einführung und Pflege von Security Policies und Governance, Incident und Continuity Management, IT-Sicherheit in der Supply Chain, IT-Audits und Tests, sowie Kryptographie.
Im Dezember 2020 wurde der Entwurf für die neue EU NIS2 veröffentlicht, die die EU NIS1 um mehrere neuen Sektoren sowie Verpflichtungen zur Umsetzung von Cyber-Security-Maßnahmen erweitert. Die bisher geltenden EU NIS und ECI (European Critical Infrastructures) von 2008 werden noch 2021 durch EU NIS2 und EU RCE abgelöst. Nach ihrer Verabschiedung im EU-Parlament müssen die neu verhandelten Direktiven dann noch in Gesetzgebung auf nationaler Ebene überführt werden.
EU RCE
Directive on the resilience of critical entities
Die EU RCE Directive on the resilience of critical entities reguliert Resilienz, also Ausfallsicherheit von kritischen Betreibern in der EU, um die Auswirkungen disruptiver Störungen der Betreiber auf die Versorgung zu minimieren.
Zu den verpflichtenden Maßnahmen, die in der EU RCE gefordert werden, zählen Resilienz bei Betreibern durch Vorsorge, physische Sicherheit, Krisen-Management und Business Continuity Management, personelle Sicherheit und Security Awareness unter allen Mitarbeitenden in relevanten Anlagen und Unternehmen.
KRITIS-Gesetzgebung auf nationaler Ebene
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)
Das IT-Sicherheitsgesetz (IT-SiG) von 2015 ist auf nationaler Ebene das Kerngesetz für die Regulierung der Informationssicherheit in kritischen Infrastrukturen. Mit dem BSI-Gesetz legt es Pflichten und Kompetenzen von Betreibern Kritischer Infrastrukturen und dem Staat fest. Als Artikelgesetz ändert oder ergänzt es bestehende Gesetze zum Schutz Kritischer Infrastrukturen, wie zum Beispiel das deutsche BSI-Gesetz, das Regelungen in Bezug auf das Bundesamt für Sicherheit in der Informationstechnik enthält. Durch das IT-SiG wurde das BSI-Gesetz so erweitert, dass die Erstellung der KRITIS-Verordnung in den Verantwortungsbereich des BSI fällt. Weitere Gesetze, die durch das IT-SiG geändert werden, sind beispielsweise:
- Atomgesetz
- Energiewirtschaftsgesetz
- Telemediengesetz
- Telekommunikationsgesetz
- Bundesbesoldungsgesetz
- Bundeskriminalamtgesetz
- Gesetz zur Strukturreform des Gebührenrechts des Bundes
Im Mai 2021 wurde das IT-SiG durch das neue IT-Sicherheitsgesetz 2.0 erweitert.
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG2)
Das IT-SiG2 ist seit dem 18. Mai 2021 in Kraft. Ebenfalls ein Artikelgesetz, ändert das IT-SiG2 zusätzlich zu den oben bereits aufgeführten Gesetzen das Außenwirtschaftsgesetz sowie das Zehnte Buch des Sozialgesetzbuchs. Das BSI erhält in der neuen Fassung umfangreiche Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung und Telekommunikationsunternehmen. Darüber hinaus wird seine beratende Rolle in Digitalisierungsprojekten des Bundes ausgebaut. Das IT-Sicherheitsgesetz 2.0 sieht außerdem unter anderem eine Stärkung des Verbraucherschutzes sowie der staatlichen Schutzfunktion gegenüber kritischen IT-Komponenten vor.
Seit Inkrafttreten der Regelung gilt für alle neuen KRITIS-Unternehmen eine angemessene Übergangsfrist, in der sie ihre IT-Systeme den gesetzlichen Anforderungen anpassen und dies durch ein KRITIS-Audit nachweisen müssen.
Änderungen mit dem IT-SiG2
Für Betreiber Kritischer Infrastrukturen enthält die neue Fassung einige relevante Änderungen:
Sektoren und Schwellenwerte
Mehr Sektoren werden im IT-SiG2 als KRITIS-relevant eingestuft, wie beispielsweise der Sektor der Siedlungsabfallentsorgung. Es bestehen dieselben Pflichten wie für Unternehmen der anderen Sektoren. Außerdem sind innerhalb der Sektoren mehr Anlagentypen als KRITIS-Anlagen definiert.
Einige Schwellenwerte sind im IT-SiG2 deutlich niedriger angesetzt als zuvor. Das bedeutet, dass auch kleinere Unternehmen als Kritische Infrastrukturen definiert und somit KRITIS-pflichtig werden. Insbesondere in den Sektoren der Stromerzeugung und des IT-Hostings machen sich die Anpassungen der Schwellenwerte bemerkbar.
Angriffserkennung
Betreiber Kritischer Infrastrukturen werden mit dem IT-SiG2 ausdrücklich aufgefordert, ein System zur Angriffserkennung einzusetzen. Bislang ergab sich diese Vorgabe nur implizit aus dem Erfordernis zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS), z.B. entsprechend der ISO/IEC 27001 bzw. dem Branchenstandard B3S. Mit der neuen Fassung erhöhen sich zudem die Anforderungen an das System zur Angriffserkennung, da das BSI hierzu konkretere Vorgaben macht.
Bußgelder
Die Bußgelder für Nichteinhaltung der gesetzlichen Vorgaben wurden in der neuen Fassung deutlich auf 100.000 bis zu 2 Millionen Euro für juristische Personen erhöht. In speziellen Fällen können Bußgelder sogar verzehnfacht werden, also auf bis zu 20 Millionen Euro steigen.
Sie wollen mehr erfahren?
Unser Experte Vinzent Ratermann ist in seinem Webinar KRITIS - Technischer Schutz kritischer Infrastrukturen detailliert auf Ihre Fragen zu KRITIS eingegangen. Schauen Sie sich die Aufzeichnung auf unserem YouTube-Channel an.
Wenn Sie Unterstützung oder Beratung zu Ihrem KRITIS-Audit benötigen, schauen Sie sich auf unseren Webseiten um, oder kontaktieren Sie uns. Wir helfen Ihnen gerne.