Informationssicherheit nach KRITIS und NIS2

Sind Sie von den neuen KRITIS-Bestimmungen oder der NIS2-Richtlinie betroffen? Als erfahrene Berater für Informationssicherheit unterstützen wir Sie dabei, die komplexen Anforderungen zu verstehen und rechtssicher umzusetzen. 

Was ist KRITIS?

Kritische Infrastrukturen (KRITIS) sind Einrichtungen, Anlagen oder Teile davon, die für das Funktionieren unseres Gemeinwesens von zentraler Bedeutung sind. Dazu zählen Sektoren wie Energie, Informationstechnik, Telekommunikation, Gesundheit, Wasser, Ernährung, Transport, Verkehr sowie das Finanz- und Versicherungswesen. Ein Ausfall oder eine Beeinträchtigung dieser Infrastrukturen kann erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere gravierende Folgen nach sich ziehen.


Wer ist betroffen?
KRITIS-relevant sind Unternehmen und Organisationen, deren Dienstleistungen oder Produkte für die Versorgung der Bevölkerung und das Funktionieren der Wirtschaft unverzichtbar sind, etwa Energieversorger, Krankenhäuser, Wasserwerke, Verkehrsbetriebe, Banken und viele mehr. Ob Ihr Unternehmen von den KRITIS-Regelungen betroffen ist, wird anhand gesetzlicher Schwellenwerte und Sektorzuordnungen geprüft. Die folgende Darstellung bietet Ihnen einen ersten Anhaltspunkt:

Die wichtigsten KRITIS-Pflichten

Betreiber Kritischer Infrastrukturen (KRITIS) in Deutschland unterliegen umfangreichen gesetzlichen Verpflichtungen zur Gewährleistung der IT-Sicherheit. Die rechtlichen Grundlagen haben sich seit 2015 kontinuierlich entwickelt und wurden u. a. durch das IT-Sicherheitsgesetz 2.0 erheblich verschärft. 

Die folgende Tabelle stellt die wichtigsten Pflichten dar, die Organisationen erfüllen müssen, die unter KRITIS fallen:

Pflicht Rechtsquelle Beschreibung Umsetzungsfrist Nachweis Details
IT-Sicherheitsmaßnahmen nach Stand der Technik § 8a Abs. 1 BSIG Angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen Spätestens bis zum ersten Werktag nach Geltung als KRITIS-Betreiber Alle 2 Jahre gegenüber BSI Stand der Technik ist einzuhalten, Aufwand muss verhältnismäßig sein
Systeme zur Angriffserkennung (SzA) § 8a Abs. 1a BSIG Einsatz von Systemen zur kontinuierlichen und automatischen Erfassung und Auswertung von Parametern zur Erkennung von Bedrohungen Ab 1. Mai 2023 verpflichtend Alle 2 Jahre gegenüber BSI (zusammen mit anderen IT-Sicherheitsmaßnahmen) Systeme müssen fortwährend Bedrohungen identifizieren und Beseitigungsmaßnahmen vorsehen
Nachweis der IT-Sicherheitsmaßnahmen § 8a Abs. 3 BSIG Nachweis der ordnungsgemäßen Umsetzung aller IT-Sicherheitsmaßnahmen durch qualifizierte Prüfstellen Alle 2 Jahre Prüfdokument an BSI übermitteln Prüfung durch qualifizierte prüfende Stellen erforderlich
Registrierung beim BSI § 8b Abs. 3 BSIG Registrierung der betriebenen kritischen Infrastrukturen beim BSI Spätestens bis zum ersten Werktag nach Geltung als KRITIS-Betreiber Registrierungsbestätigung BSI kann Registrierung auch selbst vornehmen bei Säumigkeit
Benennung einer Kontaktstelle § 8b Abs. 3 BSIG Benennung einer ständig erreichbaren Kontaktstelle für Kommunikation mit BSI Spätestens bis zum ersten Werktag nach Geltung als KRITIS-Betreiber Kontaktdaten beim BSI hinterlegt Kontaktstelle muss jederzeit erreichbar sein, gemeinsame Kontaktstellen pro Sektor möglich
Meldung erheblicher IT-Störungen § 8b Abs. 4 BSIG Unverzügliche Meldung von Störungen, die zu Ausfall oder erheblicher Beeinträchtigung führen oder führen können Unverzüglich nach Feststellung Störungsmeldung über Kontaktstelle an BSI Meldung muss Angaben zu Störung, Ursache, betroffener IT und Auswirkungen enthalten
Anzeige kritischer Komponenten § 9b Abs. 1 BSIG Anzeige des geplanten erstmaligen Einsatzes kritischer Komponenten beim BMI Vor dem Einsatz Anzeige beim Bundesinnenministerium Derzeit nur für Telekommunikationssektor definiert,  Garantieerklärung des Herstellers erforderlich
Informationserteilung bei Prüfungen § 8b Abs. 3a BSIG Vorlage von Unterlagen und Auskunftserteilung bei BSI-Prüfungen Auf Verlangen des BSI Vorlage der angeforderten Unterlagen Pflicht besteht bei begründetem Verdacht auf fehlende Registrierung

 

Was ist NIS2?

Die NIS2-Richtlinie („Network and Information Security Directive 2“) ist die umfassendste europäische Cybersicherheitsrichtlinie und ersetzt die bisherige NIS1-Richtlinie. Sie legt einheitliche Mindeststandards für die Informationssicherheit in 18 kritischen Sektoren in der gesamten EU fest. Ziel ist es, das allgemeine Niveau der Cybersicherheit in der EU zu verbessern, Risiken von Cyberangriffen zu mindern und die Resilienz kritischer Dienste zu stärken. Sie erfasst deutlich mehr Bereiche als die ursprüngliche NIS-Richtlinie von 2016 und erweitert den Kreis der betroffenen Unternehmen und Institutionen in Deutschland auf schätzungsweise 30.000 Organisationen. Die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen bestimmt dabei das Maß der Aufsicht und die Intensität der Compliance-Anforderungen.
Besonders erwähnenswert ist, dass einige Bereiche wie Vertrauensdienste, TLD-Registries und DNS-Anbieter unabhängig von ihrer Unternehmensgröße immer als wesentliche Einrichtungen gelten.

Wer ist betroffen?
NIS2 betrifft nicht nur klassische KRITIS-Betreiber, sondern viele weitere Organisationen, darunter kleine und mittlere Unternehmen mit besonderer Bedeutung für die Versorgungssicherheit. Die Einstufung erfolgt anhand von Sektorzugehörigkeit und Unternehmensgröße. Auch Lieferketten und Partnerunternehmen außerhalb der EU können betroffen sein, wenn sie mit EU-Unternehmen zusammenarbeiten.

Wesentliche Einrichtungen (Essential Entities):
Unternehmen aus den Sektoren mit hoher Kritikalität ab 250 Mitarbeitern und mehr als 50 Mio. EUR Umsatz oder Jahresbilanzsumme größer als 43 Mio. EUR 

Sektoren mit hoher Kritikalität: 

  1. Energie
  2. Verkehr
  3. Bankwesen
  4. Finanzinfrastrukturen
  5. Gesundheitswesen
  6. Trinkwasser
  7. Abwasser
  8. Digitale Infrastruktur
  9. Verwaltung von IKT-Diensten (B2B)
  10. Öffentliche Verwaltung
  11. Weltraum

Wichtige Einrichtungen (Important Entities):
Unternehmen aus sonstigen kritischen Sektoren ab 50 Mitarbeitern und mehr als 10 Mio. EUR Umsatz oder Jahresbilanzsumme größer als 10 Mio. EUR 

Sonstige kritische Sektoren:

  1. Post- und Kurierdienste 
  2. Abfallbewirtschaftung
  3. Produktion, Herstellung und Handel mit chemischen Stoffen
  4. Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  5. Verarbeitendes Gewerbe/Herstellung von bestimmten Waren
  6. Anbieter digitaler Dienste 
  7. Forschung

Die wichtigsten NIS2-Pflichten

Betroffene Organisationen müssen ein umfassendes Risikomanagement einführen, um Sicherheitsrisiken zu beherrschen und Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten. Die daraus abgeleiteten technischen, operativen und organisatorischen Schutzmaßnahmen müssen mindestens folgende Aspekte umfassen:

Bußgelder bei Verstößen können bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen bzw. bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes für wichtige Einrichtungen betragen!

Gegenüberstellung KRITIS und NIS2

Die folgende Tabelle stellt die Unterschiede und Gemeinsamkeiten von KRITIS und NIS2 dar:

Thema KRITIS NIS2
Geltungsbereich Bestimmte Sektoren, Schwellenwerte, nationale Regelungen 18 Sektoren, EU-weit, Schwellenwerte
Grundlage(n) BSI-Gesetz (BSIG), BSI-Kritisverordnung, KRITIS-Dachgesetz (nur Regierungsentwurf) EU-Richtlinie 2022/2555 (NIS2), NIS2-Umsetzungsgesetz (NIS2UmsuCG; nur Referentenentwurf)
Sicherheitsmaßnahmen ISMS nach ISO 27001/B3S, Stand der Technik, branchenspezifische Vorgaben Umfassende technische und organisatorische Maßnahmen, Risikomanagement, Lieferkettensicherheit, Cyberhygiene, Schulungen, Multi-Faktor-Authentifizierung
Meldepflichten Meldung von Sicherheitsvorfällen an das BSI, alle 2 Jahre Nachweis Strengere und schnellere Meldepflichten (24h/72h/30 Tage), umfassende Berichtspflichten
Nachweise/Audits Regelmäßige Nachweise, Audits durch BSI Registrierungspflicht, Nachweise, Audits und Stichproben durch BSI, Dokumentationspflicht
Risiken bei Nicht-beachtung/ Sanktionen Bußgelder, Reputationsschäden, Haftungsrisiken Deutlich höhere Bußgelder, striktere Durchsetzung und Kontrolle
Zusammenarbeit Nationale Behörden, BSI EU-weite Zusammenarbeit, Informationsaustausch, Harmonisierung

 

Wie können wir Sie unterstützen?

Wir freuen uns darauf, mit Ihnen darüber zu sprechen, welche Ziele Sie haben und wie wir Sie bei der Erreichung unterstützen können. Dazu beantworten wir gerne Ihre Fragen rund um KRITIS und NIS2 und inwiefern Sie davon betroffen sind - oder zukünftig betroffen sein könnten.

1. Bestandsaufnahme: Analyse Ihres aktuellen Status'

Betroffenheitsprüfung: Welche Regelungen gelten für Ihr Unternehmen?
Gap-Analyse: Wo stehen Sie heute bei KRITIS/NIS2-Anforderungen?
Risikobewertung: Identifikation Ihrer größten Schwachstellen

2. Maßgeschneiderte Umsetzung
Compliance-Roadmap: Schritt-für-Schritt-Plan zur Zielerreichung
Risikomanagement-System: Auf Grundlage der Norm DIN EN ISO 27001:2022
Incident Response Plan: Vorbereitung auf den Ernstfall
Dokumentation: Vollständige Nachweisdokumentation (u. a. für Behörden)
 
3. Optional: Langfristige Begleitung und kontinuierliche Weiterentwicklung

Interne Audits: Regelmäßige Überprüfung der Compliance
Schulungen: Training für Ihre Mitarbeiter und Führungskräfte
Continuous Monitoring: Laufende Überwachung der Sicherheitslage
Update-Service: Information über neue Anforderungen und Bedrohungen

Zielgruppenspezifische Lösungen


Für kleine und mittlere Unternehmen: Sie dachten, IT-Sicherheitsgesetze betreffen nur Großkonzerne? Das ist vorbei. Mit NIS2 müssen auch mittelständische Unternehmen umfassende Cybersicherheitsmaßnahmen implementieren.

Unser KMU-Paket beinhaltet:

  • Pragmatische Lösungen ohne "Over-Engineering"
  • Kosteneffiziente Umsetzung in überschaubaren Schritten
  • Berücksichtigung begrenzter Ressourcen

Für Großunternehmen: Als "besonders wichtige Einrichtung" unterliegen Sie den schärfsten NIS2-Anforderungen. Compliance ist nicht optional - bei Verstößen drohen empfindliche Bußgelder.

Unser Enterprise-Ansatz:

  • Skalierbare Lösungen für komplexe Strukturen
  • Integration in bestehende Governance-Prozesse
  • Vorbereitung auf Behördenprüfungen

Starten Sie jetzt mit Ihrer KRITIS/NIS2-Compliance

Wenn Ihr Unternehmen unter die Anforderungen von KRITIS oder NIS2 fällt, gilt es, keine Zeit zu verlieren: Die Umsetzung dauert mehrere Monate. Wer jetzt startet, ist rechtzeitig vorbereitet.

Die nächsten Schritte:

  1. Kostenlose Erstberatung vereinbaren (ca. 30 Minuten per Telefon oder Video-Call)
  2. Betroffenheitsprüfung - sind Sie NIS2/KRITIS-pflichtig?
  3. Gap-Analyse - wo stehen Sie heute?
  4. Umsetzungsplan - Ihr individueller Fahrplan

Kontaktieren Sie uns einfach für ein kostenloses Orientierungsgespräch!