KRITIS: Diese EU-Richtlinien sollten Unternehmen kennen
In diesem Artikel haben wir den Stellenwert sicherer und zuverlässiger IT-Strukturen zur Verbesserung der Resilienz von Unternehmen erläutert. Um ein Unternehmen bestmöglich vor Cyber-Angriffen zu schützen, muss Cyber-Sicherheit als ganzheitlicher Ansatz verstanden werden, der die gesamte Informationstechnologie (IT) und operative Technologie (OT) einbezieht.
Mit den EU-Richtlinien EU 2022/2557 und EU 2022/2555 hat die Europäische Union Anfang 2024 zwei zentrale Beschlüsse auf den Weg gebracht. Die EU 2022/2557 befasst sich mit der Umsetzung der EU-Direktive EU-RCE in das so genannte KRITIS-Dachgesetz. Hier werden zusätzliche Pflichten (Meldepflichten, BCM, physische Sicherheit, Personal und Krisenmanagement) für Betreiber kritischer Anlagen definiert. Parallel zum KRITIS-Dachgesetz setzt das NIS2-Umsetzungsgesetz die neue EU NIS2 Direktive (EU 2022/2555) für Cybersecurity in Deutschland um. Die bestehende KRITIS-Regelung wird abgelöst; die beiden neuen Gesetzte treten im Oktober 2024 in Kraft.
KRITIS relevante Begriffe
Was sind KRITIS Unternehmen? Wer wird als KRITIS-Betreiber eingestuft?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sagt: „Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
Zwei Begriffe werden im Kontext von IT-Sicherheit häufig genannt:
Was ist Cyberresilienz?
Unter Cyber-Resilienz werden alle Präventivmaßnahmen in KRITIS-Unternehmen gegen Cyberangriffe und angemessene Reaktionen zur Begrenzung oder Vermeidung negativer Folgen zusammengefasst. Speziell für KRITIS-Betreiber meint das alle Maßnahmen, die dazu beitragen, den Betrieb nach einem Cyber-Zwischenfall aufrechtzuerhalten oder schnell wieder aufzunehmen. So sind z. B. Unternehmen, deren Logistik einen bestimmten Schwellenwert (vgl. Anhang 7 KRITISV) überschreitet, nach dem IT-Sicherheitsgesetz zum Schutz ihrer IT-Systeme, IT-Komponenten und IT-Prozesse verpflichtet – und haben eine Nachweispflicht gegenüber dem BSI. Darüber hinaus besteht für alle KRITIS Betreiber eine Meldepflicht im Falle eines Vorfalls, auch um diesen zu begrenzen. Wirksame Schutzmaßnahmen sind Business-Continuity-Strategien sowie Backup- und Recovery-Systeme, wie sie auch von ASTRUM IT realisiert werden.
Was versteht man unter Cybersecurity?
Alle Maßnahmen zum Schutz von Netz- und Informationssystemen fallen unter den Begriff Cyber-Security. Dazu gehören organisatorische Themen wie die Harmonisierung von Sicherheitsanforderungen, personelle Themen wie die Bereitstellung von geeignetem IT-Fachpersonal und technische Themen wie gehärtete Netzwerkarchitekturen mit gesicherten Zugängen und ein Patch- und Update-Management, wie es bei ASTRUM IT Standard ist. Diese Maßnahmen sind im Kontext entsprechender Compliance-Vorgaben und definierter Prozesse und Verantwortlichkeiten umzusetzen. Cybersecurity bei KRITIS-Betreibern verfolgt ein übergeordnetes Ziel: den Schutz des Unternehmens und die Aufrechterhaltung seiner Handlungsfähigkeit und damit die weitere Absicherung der Lieferketten.
Warum wurden KRITIS und NIS2 ausgeweitet? Die Hintergründe.
Kritische Infrastrukturen (KRITIS) sind in der Vergangenheit immer häufiger Opfer von Cyberattacken geworden. Der weltweit steigende Digitalisierungsgrad und die zunehmende Vernetzung erhöhen und verstärken die Dynamik und Komplexität von Cyber-Vorfällen. Der Bericht des BSI zur „Lage der IT-Sicherheit in Deutschland 2023“ spricht von fast 70 neuen Schwachstellen in Softwareprodukten, die täglich (!) entdeckt werden. Das sind rund 25 Prozent mehr als im vergangenen Berichtszeitraum. Vor allem kleine und mittlere Unternehmen (KMU) sowie insbesondere Kommunen und kommunale Betriebe waren überproportional häufig betroffen.
Auch deshalb wurde das KRITIS-Dachgesetz und die EU NIS2 Umsetzung nun ausgeweitet und beziehen Unternehmen nahezu aller Branchen unter Berücksichtigung möglicher Verknüpfungen in der Wertschöpfungskette ein.
Ist KRITIS für unsere Firma verpflichtend?
Wir beraten gerne unter Tel. 0911/81510-0.
Mögliche Schnittstelle für eine solche Verknüpfung ist auch ein Besuchermanagement, das sich in der Forschung, der Rüstungsindustrie, der Finanzwirtschaft, der Pharmaindustrie längst etabliert hat. ASTRUM IT erhöht die Cyberresilienz durch eine Verknüpfung der operativen und physischen Bereiche dieser Unternehmens unter Einsatz der Applikation VISIT. Sie ermöglicht Unternehmen das strenge Monitoring von Besuchern, erfasst und prüft deren Ausweisdokumente und erhöht durch eigens entwickelte firmenspezifische Genehmigungsverfahren für z. B. besonders sensible Bereiche die Cyberresilienz in Unternehmen.
Aber auch das Yard Management, mit dem viele Unternehmen ihre logistischen Aktivitäten verwalten, überwachen und steuern, ist eine solche Schnittstelle.
KRITIS schafft den Rahmen für die Herstellung von Cyber-Resilienz und Cyber-Security in diesen Unternehmen. Die angepassten Bedingungen des KRITIS-Dachgesetzes und des NIS2-Umsetzungsgesetzes erhöhen gleichzeitig die Zahl der betroffenen Unternehmen in Deutschland signifikant: Waren es bisher geschätzte 2.000 Unternehmen, für die KRITIS verpflichtend ist, steigt die Zahl jetzt auf geschätzte 30.000.
Wie erhöhe ich meine Cyberresilienz?
Unter 0911/81510-0 geben wir Antworten.
KRITIS: Was ist neu bei Sektoren, Branchen und Unternehmen?
Nachzulesen in der Gesetzgebung beim Bundesamt für Justiz1 betrifft das KRITIS-Dachgesetz nun diese Unternehmen, die auf der unabhängigen Plattform OpenKRITIS wie folgt geclustert werden:
1. KRITIS-Betreiber2 evaluieren die Betroffenheit einzelner Anlagen nach der KRITIS Verordnung.
Betroffen sind: Energie, Transport und Verkehr, Finanzen und Versicherungen, Gesundheit, Trinkwasser und Abwasser, Ernährung, IT und TK, Weltraum, Entsorgung.
- 2. Besonders wichtige Einrichtungen (nach Größe des Unternehmens) in NIS2-Sektoren (Nr. 1)
- Unternehmen ab 250 Mitarbeiter oder
- Unternehmen ab 50 Mio. € Umsatz und Bilanz ab 43 Mio. €
- Sonderfälle (Auszug): TK-Anbieter, kritische Anlagen, Zentralregierungen
Betroffen sind: Großunternehmen aus Energie, Transport und Verkehr, Finanzen und Versicherungen, Gesundheit, Trinkwasser und Abwasser, IT und TK, Weltraum sowie Sonderfälle wie z. B. Zentralregierungen oder TK-Netze/Dienste
- 3. Wichtige Einrichtungen (nach Größe des Unternehmens in NIS2-Sektoren (1 und 2)
- Unternehmen ab 50 Mitarbeiter oder
- Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
- Vertrauensdienste
Betroffen sind: Mittlere Unternehmen aus Energie, Transport und Verkehr, Finanzen und Versicherungen, Gesundheit, Trinkwasser und Abwasser, IT und TK, Weltraum und aus Post und Kurier, Entsorgung, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste und Forschung.
Abhängigkeiten durch Digitalisierung
Digitalisierung steht heute für die zunehmende Verflechtung der verschiedenen Sektoren. Das führt zu Abhängigkeiten. So ermitteln Energieversorger die Verbräuche beim Nutzer oft per Fernauslesung. Wasserversorger arbeiten eng mit Energieversorgern zusammen, um das Wasser überhaupt verteilen zu können. Solche Abhängigkeiten erhöhen das Ausfallrisiko kritischer Infrastrukturen. Mehr noch: Ausfälle in einem Sektor führen zu Ausfällen in anderen Sektoren – der Dominoeffekt3 setzt ein. Führt der Ausfall in einem Sektor zu weitaus größeren Auswirkungen in einem anderen Sektor, spricht man von einem Kaskadeneffekt.
Vor diesem Hintergrund fasst das KRITIS-Dachgesetz erstmals alle Sektoren unter einem Dach zusammen und formuliert in einem „All-Gefahren-Ansatz“4 Rahmenbedingungen für Risiken, die durch Naturereignisse, menschliches Versagen oder Sabotage verursacht werden können.
Mit dem UP KRITIS hat sich eine öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen, Verbänden und den zuständigen staatlichen Stellen etabliert. AutorInnen aus verschiedenen Gremien des UP KRITIS publizieren regelmäßig wertvolle Informationen auf der Webseite des BSI. So gibt es z. B. Checklisten zu möglichen Vertragsgestaltungen und inhaltlichen Regelungen bei der Nutzung von Cloud-Diensten, wie sie von IT Unternehmen wie ASTRUM IT angeboten werden.
Sie möchten mehr darüber erfahren?
- Lesen Sie, wie sich Cybersicherheit und Cyberresilienz auch in Ihrem Unternehmen bei viel Publikumsverkehr und beim Zugang vieler Fremddienstleister realisieren lassen. Details hier.
- Lernen Sie die Cybersecurity Schwachstellen innerhalb Ihrer Logistikprozesse kennen und welche Lösungen es gibt. Details hier.
- Warum KRITIS für uns einen so hohen Stellenwert hat, erfahren Sie hier.
Quellen:
1https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
2KRITIS Betreiber evaluieren die Betroffenheit einzelner Anlagen nach der KRITIS Verordnung. Ob ein Unternehmen KRITIS Betreiber ist, lässt sich über die so genannte KRITIS-Methodik feststellen.
3https://www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/KRITIS-Gefa…
4All-Gefahren-Ansatz: Berücksichtigung aller Gefahrenarten (z. B. Naturgefahren, technologische Gefahren, etc.) im Rahmen des Risiko- und Krisenmanagements.