Informationssicherheit nach KRITIS und NIS2
Sind Sie von den neuen KRITIS-Bestimmungen oder der NIS2-Richtlinie betroffen? Als erfahrene Berater für Informationssicherheit unterstützen wir Sie dabei, die komplexen Anforderungen zu verstehen und rechtssicher umzusetzen.
Was ist KRITIS?
Kritische Infrastrukturen (KRITIS) sind Einrichtungen, Anlagen oder Teile davon, die für das Funktionieren unseres Gemeinwesens von zentraler Bedeutung sind. Dazu zählen Sektoren wie Energie, Informationstechnik, Telekommunikation, Gesundheit, Wasser, Ernährung, Transport, Verkehr sowie das Finanz- und Versicherungswesen. Ein Ausfall oder eine Beeinträchtigung dieser Infrastrukturen kann erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere gravierende Folgen nach sich ziehen.
Wer ist betroffen?
KRITIS-relevant sind Unternehmen und Organisationen, deren Dienstleistungen oder Produkte für die Versorgung der Bevölkerung und das Funktionieren der Wirtschaft unverzichtbar sind, etwa Energieversorger, Krankenhäuser, Wasserwerke, Verkehrsbetriebe, Banken und viele mehr. Ob Ihr Unternehmen von den KRITIS-Regelungen betroffen ist, wird anhand gesetzlicher Schwellenwerte und Sektorzuordnungen geprüft. Die folgende Darstellung bietet Ihnen einen ersten Anhaltspunkt:
- Energie (z. B. Stromversorgung, Gas, Fernwärme)
- Informationstechnik und Telekommunikation
- Transport und Verkehr (z. B. Flughäfen, Bahnhöfe, Häfen, Logistik)
- Gesundheit (z. B. Krankenhäuser, Arzneimittelhersteller)
- Wasser (z. B. Trinkwasserversorgung, Abwasserentsorgung)
- Ernährung (z. B. Lebensmittelproduktion und -verteilung)
- Finanz- und Versicherungswesen
- Digitale Infrastruktur (z. B. Rechenzentren, Cloud-Dienste)
Die wichtigsten KRITIS-Pflichten
Betreiber Kritischer Infrastrukturen (KRITIS) in Deutschland unterliegen umfangreichen gesetzlichen Verpflichtungen zur Gewährleistung der IT-Sicherheit. Die rechtlichen Grundlagen haben sich seit 2015 kontinuierlich entwickelt und wurden u. a. durch das IT-Sicherheitsgesetz 2.0 erheblich verschärft.
Die folgende Tabelle stellt die wichtigsten Pflichten dar, die Organisationen erfüllen müssen, die unter KRITIS fallen:
Pflicht | Rechtsquelle | Beschreibung | Umsetzungsfrist | Nachweis | Details |
IT-Sicherheitsmaßnahmen nach Stand der Technik | § 8a Abs. 1 BSIG | Angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen | Spätestens bis zum ersten Werktag nach Geltung als KRITIS-Betreiber | Alle 2 Jahre gegenüber BSI | Stand der Technik ist einzuhalten, Aufwand muss verhältnismäßig sein |
Systeme zur Angriffserkennung (SzA) | § 8a Abs. 1a BSIG | Einsatz von Systemen zur kontinuierlichen und automatischen Erfassung und Auswertung von Parametern zur Erkennung von Bedrohungen | Ab 1. Mai 2023 verpflichtend | Alle 2 Jahre gegenüber BSI (zusammen mit anderen IT-Sicherheitsmaßnahmen) | Systeme müssen fortwährend Bedrohungen identifizieren und Beseitigungsmaßnahmen vorsehen |
Nachweis der IT-Sicherheitsmaßnahmen | § 8a Abs. 3 BSIG | Nachweis der ordnungsgemäßen Umsetzung aller IT-Sicherheitsmaßnahmen durch qualifizierte Prüfstellen | Alle 2 Jahre | Prüfdokument an BSI übermitteln | Prüfung durch qualifizierte prüfende Stellen erforderlich |
Registrierung beim BSI | § 8b Abs. 3 BSIG | Registrierung der betriebenen kritischen Infrastrukturen beim BSI | Spätestens bis zum ersten Werktag nach Geltung als KRITIS-Betreiber | Registrierungsbestätigung | BSI kann Registrierung auch selbst vornehmen bei Säumigkeit |
Benennung einer Kontaktstelle | § 8b Abs. 3 BSIG | Benennung einer ständig erreichbaren Kontaktstelle für Kommunikation mit BSI | Spätestens bis zum ersten Werktag nach Geltung als KRITIS-Betreiber | Kontaktdaten beim BSI hinterlegt | Kontaktstelle muss jederzeit erreichbar sein, gemeinsame Kontaktstellen pro Sektor möglich |
Meldung erheblicher IT-Störungen | § 8b Abs. 4 BSIG | Unverzügliche Meldung von Störungen, die zu Ausfall oder erheblicher Beeinträchtigung führen oder führen können | Unverzüglich nach Feststellung | Störungsmeldung über Kontaktstelle an BSI | Meldung muss Angaben zu Störung, Ursache, betroffener IT und Auswirkungen enthalten |
Anzeige kritischer Komponenten | § 9b Abs. 1 BSIG | Anzeige des geplanten erstmaligen Einsatzes kritischer Komponenten beim BMI | Vor dem Einsatz | Anzeige beim Bundesinnenministerium | Derzeit nur für Telekommunikationssektor definiert, Garantieerklärung des Herstellers erforderlich |
Informationserteilung bei Prüfungen | § 8b Abs. 3a BSIG | Vorlage von Unterlagen und Auskunftserteilung bei BSI-Prüfungen | Auf Verlangen des BSI | Vorlage der angeforderten Unterlagen | Pflicht besteht bei begründetem Verdacht auf fehlende Registrierung |
Was ist NIS2?
Die NIS2-Richtlinie („Network and Information Security Directive 2“) ist die umfassendste europäische Cybersicherheitsrichtlinie und ersetzt die bisherige NIS1-Richtlinie. Sie legt einheitliche Mindeststandards für die Informationssicherheit in 18 kritischen Sektoren in der gesamten EU fest. Ziel ist es, das allgemeine Niveau der Cybersicherheit in der EU zu verbessern, Risiken von Cyberangriffen zu mindern und die Resilienz kritischer Dienste zu stärken. Sie erfasst deutlich mehr Bereiche als die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen und Institutionen in Deutschland auf schätzungsweise 30.000 Organisationen. Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen bestimmt dabei das Maß der Aufsicht und die Intensität der Compliance-Anforderungen.
Besonders erwähnenswert ist, dass einige Bereiche wie Vertrauensdienste, TLD-Registries und DNS-Anbieter unabhängig von ihrer Unternehmensgröße immer als wesentliche Einrichtungen gelten.
Wer ist betroffen?
NIS2 betrifft nicht nur klassische KRITIS-Betreiber, sondern viele weitere Organisationen, darunter kleine und mittlere Unternehmen mit besonderer Bedeutung für die Versorgungssicherheit. Die Einstufung erfolgt anhand von Sektorzugehörigkeit und Unternehmensgröße. Auch Lieferketten und Partnerunternehmen außerhalb der EU können betroffen sein, wenn sie mit EU-Unternehmen zusammenarbeiten.
Wesentliche Einrichtungen (Essential Entities):
Unternehmen aus den Sektoren mit hoher Kritikalität ab 250 Mitarbeitern und mehr als 50 Mio. EUR Umsatz oder Jahresbilanzsumme größer als 43 Mio. EUR
Sektoren mit hoher Kritikalität:
- Energie
- Verkehr
- Bankwesen
- Finanzinfrastrukturen
- Gesundheitswesen
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Verwaltung von IKT-Diensten (B2B)
- Öffentliche Verwaltung
- Weltraum
Wichtige Einrichtungen (Important Entities):
Unternehmen aus sonstigen kritischen Sektoren ab 50 Mitarbeitern und mehr als 10 Mio. EUR Umsatz oder Jahresbilanzsumme größer als 10 Mio. EUR
Sonstige kritische Sektoren:
- Post- und Kurierdienste
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von bestimmten Waren
- Anbieter digitaler Dienste
- Forschung
Die wichtigsten NIS2-Pflichten
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement ("BCM/Business Continuity Management")
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
Bußgelder bei Verstößen können bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen bzw. bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes für wichtige Einrichtungen betragen!
Gegenüberstellung KRITIS und NIS2
Die folgende Tabelle stellt die Unterschiede und Gemeinsamkeiten von KRITIS und NIS2 dar:
Thema | KRITIS | NIS2 |
Geltungsbereich | Bestimmte Sektoren, Schwellenwerte, nationale Regelungen | 18 Sektoren, EU-weit, Schwellenwerte |
Grundlage(n) | BSI-Gesetz (BSIG), BSI-Kritisverordnung, KRITIS-Dachgesetz (nur Regierungsentwurf) | EU-Richtlinie 2022/2555 (NIS2), NIS2-Umsetzungsgesetz (NIS2UmsuCG; nur Referentenentwurf) |
Sicherheitsmaßnahmen | ISMS nach ISO 27001/B3S, Stand der Technik, branchenspezifische Vorgaben | Umfassende technische und organisatorische Maßnahmen, Risikomanagement, Lieferkettensicherheit, Cyberhygiene, Schulungen, Multi-Faktor-Authentifizierung |
Meldepflichten | Meldung von Sicherheitsvorfällen an das BSI, alle 2 Jahre Nachweis | Strengere und schnellere Meldepflichten (24h/72h/30 Tage), umfassende Berichtspflichten |
Nachweise/Audits | Regelmäßige Nachweise, Audits durch BSI | Registrierungspflicht, Nachweise, Audits und Stichproben durch BSI, Dokumentationspflicht |
Risiken bei Nicht-beachtung/ Sanktionen | Bußgelder, Reputationsschäden, Haftungsrisiken | Deutlich höhere Bußgelder, striktere Durchsetzung und Kontrolle |
Zusammenarbeit | Nationale Behörden, BSI | EU-weite Zusammenarbeit, Informationsaustausch, Harmonisierung |
Wie können wir Sie unterstützen?
Wir freuen uns darauf, mit Ihnen darüber zu sprechen, welche Ziele Sie haben und wie wir Sie bei der Erreichung unterstützen können. Dazu beantworten wir gerne Ihre Fragen rund um KRITIS und NIS2 und inwiefern Sie davon betroffen sind - oder zukünftig betroffen sein könnten.
1. Bestandsaufnahme: Analyse Ihres aktuellen Status'
Betroffenheitsprüfung: Welche Regelungen gelten für Ihr Unternehmen?
Gap-Analyse: Wo stehen Sie heute bei KRITIS/NIS2-Anforderungen?
Risikobewertung: Identifikation Ihrer größten Schwachstellen
2. Maßgeschneiderte Umsetzung
Risikomanagement-System: Auf Grundlage der Norm DIN EN ISO 27001:2022
Incident Response Plan: Vorbereitung auf den Ernstfall
Dokumentation: Vollständige Nachweisdokumentation (u. a. für Behörden)
3. Optional: Langfristige Begleitung und kontinuierliche Weiterentwicklung
Interne Audits: Regelmäßige Überprüfung der Compliance
Schulungen: Training für Ihre Mitarbeiter und Führungskräfte
Continuous Monitoring: Laufende Überwachung der Sicherheitslage
Update-Service: Information über neue Anforderungen und Bedrohungen
Zielgruppenspezifische Lösungen
Für kleine und mittlere Unternehmen: Sie dachten, IT-Sicherheitsgesetze betreffen nur Großkonzerne? Das ist vorbei. Mit NIS2 müssen auch mittelständische Unternehmen umfassende Cybersicherheitsmaßnahmen implementieren.
Unser KMU-Paket beinhaltet:
- Pragmatische Lösungen ohne "Over-Engineering"
- Kosteneffiziente Umsetzung in überschaubaren Schritten
- Berücksichtigung begrenzter Ressourcen
Für Großunternehmen: Als "besonders wichtige Einrichtung" unterliegen Sie den schärfsten NIS2-Anforderungen. Compliance ist nicht optional - bei Verstößen drohen empfindliche Bußgelder.
Unser Enterprise-Ansatz:
- Skalierbare Lösungen für komplexe Strukturen
- Integration in bestehende Governance-Prozesse
- Vorbereitung auf Behördenprüfungen
Starten Sie jetzt mit Ihrer KRITIS/NIS2-Compliance
Wenn Ihr Unternehmen unter die Anforderungen von KRITIS oder NIS2 fällt, gilt es, keine Zeit zu verlieren: Die Umsetzung dauert mehrere Monate. Wer jetzt startet, ist rechtzeitig vorbereitet.
Die nächsten Schritte:
- Kostenlose Erstberatung vereinbaren (ca. 30 Minuten per Telefon oder Video-Call)
- Betroffenheitsprüfung - sind Sie NIS2/KRITIS-pflichtig?
- Gap-Analyse - wo stehen Sie heute?
- Umsetzungsplan - Ihr individueller Fahrplan
Kontaktieren Sie uns einfach für ein kostenloses Orientierungsgespräch!