KRITIS-Schutz: Erste Schritte

Was betroffene Unternehmen jetzt tun sollten

Zu den KRITIS-Pflichten gehört die laufende Überwachung der IT-Systeme

© Zaleman / stock.adobe.com

Bis zum 17. Oktober 2024 muss Deutschland die NIS-2-Richtlinie der EU in deutsches Recht umsetzen. Werden die vorliegenden Gesetzentwürfe zum KRITIS-Dachgesetz und zum NIS2-Umsetzungsgesetz verabschiedet, fallen schätzungsweise 25.000 bis 30.000 Unternehmen neu unter die Klassifizierung als Kritische Infrastruktur. Diese Unternehmen sollten sich bereits jetzt offensiv mit dem benötigten KRITIS-Schutz und den KRITIS-Berichtspflichten auseinandersetzen.

Im ersten Schritt müssen Unternehmen herausfinden, ob sie überhaupt zum Kreis der „wichtigen“ oder „besonders wichtigen“ Einrichtungen zählen.

Unternehmen, die bereits heute zum Kreis der KRITIS-Betroffenen gehören, finden die zu ihrer Branche passenden Anlagekategorien und Schwellenwerte in der „Anlage der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“.

In der Anlage 1 zum geplanten „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ werden die Sektoren „besonders wichtiger“ und „wichtiger“ Einrichtungen benannt.

25.150 Unternehmen in Deutschland sind neu betroffen

Durch die Umsetzung der NIS2-Richtlinie der EU in Deutschland werden nach Einschätzung von OpenKRITIS, einer unabhängigen Plattform für den Schutz Kritischer Infrastrukturen, etwa 25.150 Unternehmen neu von zusätzlichen Sicherungs- und Berichtspflichten betroffen sein. 21.600 Unternehmen fielen bislang nicht unter die aktuell geltende BSI-KRITIS-Verordnung. Laut dem Entwurf des NIS-Umsetzungsgesetzes fallen sie nun unter die sogenannten „wichtigen Einrichtungen“. Unter den „besonders wichtigen Einrichtungen“ kommen außerdem nun voraussichtlich etwa 3.550 Unternehmen neu dazu.

In der Gruppe der „wichtigen Einrichtungen“ werden durch die beiden neuen Gesetze sowohl mittlere als auch große Unternehmen zu zusätzlichen präventiven Cyberabwehrmaßahmen verpflichtet und es entstehen auch neue Nachweispflichten. Dies betrifft Unternehmen wie zum Beispiel ein kommunales Stadtwerk mit 50 Beschäftigten, einen Feinkost-Lieferanten mit 380 Beschäftigten oder auch einen Hersteller von Autositzen mit 65 Beschäftigten.

Registrieren, Risiko minimieren und über Störfälle berichten

Betreiber Kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes sind gemäß BSI-Gesetz (BSIG) und BSI-KRITIS-Verordnung bereits heute dazu verpflichtet,

• eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
• IT-Sicherheit auf dem „Stand der Technik“ umzusetzen
• IT-Störungen oder erhebliche Beeinträchtigungen zu melden,

...und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.

Ähnliche Verpflichtungen wurden in den Entwurf des NIS2-Umsetzungsgesetzes übernommen. Auch alle Unternehmen, die neu unter dieses Gesetz fallen, haben nach dem zweiten Kapitel des Gesetzes (§ 30 ff.) die Pflicht zum Risikomanagement sowie Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten. Das heißt im Einzelnen:

• Wie und wo kann man sich registrieren? Im § 33 steht, was als erstes zu tun ist: Drei Monate nach Inkrafttreten des Gesetzes muss sich ein Unternehmen bei der gemeinsamen Meldestelle von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren.
• Welche Risikomanagementmaßnahmen muss man umsetzen? Der § 30 listet insgesamt zehn „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ auf. Dazu gehören Aspekte wie Risikoanalyse, Zugriffskontrolle oder Kryptographie.
• Was tun bei einem „erheblichen Sicherheitsvorfall!“? Der § 32 regelt dann die Modalitäten, unter denen man erhebliche Sicherheitsvorfälle an das BSI melden muss. Im § 35 wird festgelegt, dass das BSI die Unternehmen dazu verpflichten kann, ihre Kunden unverzüglich von erheblichen Sicherheitsvorfällen zu informieren. Natürlich sind die Unternehmen dazu angehalten, akute Sicherheitslücken zu schließen, die Sicherheitsvorfälle zu analysieren und die Ursachen für die Zukunft nach Möglichkeit abzustellen.
• Die Umsetzung der NIS2-Maßnahmen muss dem BSI von Betreibern kritischer Anlagen alle drei Jahre nachgewiesen werden. Abhängig von der eigenen Registrierung muss es dann alle drei Jahre externe Prüfungen geben, analog zu bisherigen KRITIS-Nachweisprüfungen.

Links zur weiteren Information

• Das Bundesamt für Sicherheit in der Informationstechnik betreibt eine informative Seite zum heutigen Stand der KRITIS-Pflichten.
• Auf der Website des Bundesministeriums des Inneren und für Heimat kann man den Referentenentwurf zum NIS2-Umsetzungsgesetz einsehen.
• Die unabhängige Plattform „OpenKRITIS“ informiert aus ihrer Sicht über die Folgen des NIS2-Umsetzungsgesetzes.
• Diverse IT-Beratungshäuser und auf Cybersicherheit spezialisierte Unternehmen haben Basisinformationen sowie Belege für ihre Beratungskompetenz zum Thema NIS2 auf eigenen Webseiten dokumentiert. Diese Seiten findet man bei einer Suchmaschinenabfrage zum Thema NIS2 unter den gesponsorten Links.

WL (19.07.2024)