Kritische Infrastrukturen (KRITIS) spielen in unserer vernetzten Gesellschaft eine zentrale Rolle für die Sicherheit und die reibungslose Versorgung der Bevölkerung. Von der Energieversorgung bis zur Wasseraufbereitung - die Stabilität und Sicherheit dieser Sektoren ist für das tägliche Leben unverzichtbar. Mit der fortschreitenden digitalen Transformation wird es aber auch immer wichtiger, diese wichtigen Dienstleistungen vor Cyber-Bedrohungen zu schützen.

Das KRITIS-Dachgesetz und die NIS2-Direktive sind Antworten auf diese wachsenden Herausforderungen. Sie bilden die rechtliche Grundlage, um die Resilienz und Sicherheit kritischer Infrastrukturen zu stärken. Doch was genau beinhalten diese Regelungen und welche Implikationen ergeben sich daraus für die betroffenen Organisationen?

Zur Klärung dieser Fragen stellt Paul Weissmann von OpenKRITIS seine Expertise zur Verfügung. Als Geschäftsführer der Beratungsfirma Insignet GmbH und Gründer der Plattform OpenKRITIS verfügt er über tiefgreifendes Wissen in den Bereichen IT-Sicherheit und kritische Infrastrukturen. Mit seiner langjährigen Erfahrung in der Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie seiner Beratungstätigkeit im kommunalen Sektor hat Weissmann wertvolle Einblicke in die Umsetzung der neuen gesetzlichen Anforderungen bei unserer Veranstaltung „Wie gelingt der Schutz kritischer Infrastruktur? Lösungsansätze für die moderne Kommune“ mit uns geteilt.

Im Folgenden wollen wir gemeinsam die Eckpfeiler des KRITIS-Dachgesetzes und der NIS2-Richtlinie beleuchten und ihre Bedeutung für eine sichere Zukunft unserer Kritischen Infrastrukturen beleuchten.

Die Bedeutung der IT-Sicherheit in kritischen Infrastrukturen hat in den letzten Jahren zunehmend an Bedeutung gewonnen. Dies spiegelt sich in der Entwicklung der gesetzlichen Rahmenbedingungen sowohl in Deutschland als auch auf EU-Ebene wider. In Deutschland markiert das IT-Sicherheitsgesetz von 2015 einen Wendepunkt, indem es konkrete Anforderungen an die Betreiber kritischer Infrastrukturen stellt.

Auf EU-Ebene folgte die NIS-Richtlinie (Network and Information Security Directive), die einen gemeinsamen Mindeststandard für die Cybersicherheit in den Mitgliedsstaaten festlegt.

Mit der NIS2-Richtlinie geht die EU einen Schritt weiter. Sie erweitert den Geltungsbereich der bestehenden Regelungen und zielt darauf ab, in der gesamten Union ein hohes gemeinsames Niveau der Cybersicherheit zu erreichen. Die Richtlinie umfasst nicht nur kritische Infrastrukturen, sondern auch wichtige Sektoren wie digitale Dienstleistungen. Die Ziele der NIS2-Richtlinie sind ehrgeizig: Sie soll die Widerstandsfähigkeit gegen Cyber-Angriffe stärken, die Meldepflichten für Sicherheitsvorfälle ausweiten und eine engere Zusammenarbeit zwischen den Mitgliedstaaten fördern.

Wie Paul Weissmann in seinem Vortrag erläuterte, stehen wir mit der Umsetzung der NIS2-Richtlinie und des KRITIS-Dachgesetzes vor einer umfassenden Erneuerung der rechtlichen Anforderungen an die IT-Sicherheit. Diese Neuerungen sind eine direkte Antwort auf die sich ständig verändernde Bedrohungslandschaft im Cyberraum. Sie erkennen die zentrale Rolle der IT-Sicherheit für die Aufrechterhaltung kritischer Dienste und damit für das Wohl der Gesellschaft an.

Die Umsetzung dieser Richtlinien zeigt das Bestreben, nicht nur reaktiv auf Bedrohungen zu reagieren, sondern proaktiv ein robustes Sicherheitsnetz aufzubauen, das kritische Infrastrukturen auch in Zukunft zuverlässig schützt.

Mit dem KRITIS-Dachgesetz und der NIS2-Umsetzung treten wir in eine neue Phase der IT-Sicherheitsgesetzgebung ein, die umfassendere und strengere Anforderungen an die Betreiber Kritischer Infrastrukturen und bestimmte Organisationen stellt. Diese gesetzlichen Neuerungen bauen auf den bisherigen Regelungen auf, erweitern diese jedoch erheblich. Paul Weissmann betont in seinem Vortrag, wie wichtig diese Schritte sind, um den Schutz kritischer Infrastrukturen in einer zunehmend digitalisierten Welt zu gewährleisten.

KRITIS-Dachgesetz - Ziele und Anforderungen:

• Ziele: Das KRITIS-Dachgesetz zielt darauf ab, die physische Sicherheit und die Resilienz kritischer Infrastrukturen zu stärken. Es adressiert nicht nur die IT-Sicherheit, sondern auch die physische Sicherheit und Notfallvorsorge.
• Anforderungen: Organisationen unterliegen strengeren Registrierungspflichten, müssen umfangreiche Risikoanalysen durchführen und nachweisbare Sicherheitsmaßnahmen implementieren. Darüber hinaus sind sie verpflichtet, Vorfälle zu melden und Nachweise über die Umsetzung der geforderten Maßnahmen zu erbringen.

NIS2-Umsetzung - Ziele, Anforderungen und Neuerungen:

• Ziele: Die NIS2-Direktive fokussiert sich stärker auf die Cybersicherheit und Informationstechnik. Sie verfolgt das Ziel, ein hohes Cybersicherheitsniveau in der gesamten EU zu etablieren.
• Anforderungen: Einführung neuer Meldepflichten für Sicherheitsvorfälle, strengere Vorgaben für das Risikomanagement und die Implementierung von Sicherheitsmaßnahmen.
• Neuerungen gegenüber vorherigen Regelungen: Erweiterung des Geltungsbereichs auf weitere Sektoren und Unternehmen, Erhöhung der Sanktionen bei Nichteinhaltung der Vorschriften.

Betroffene Sektoren und Unternehmen:
Die neuen Regelungen betreffen eine breite Palette von Sektoren und Organisationen:

• Sektoren: Energie, Wasser, Gesundheit, digitale Infrastrukturen, Transport, Finanzwesen, öffentliche Verwaltung und viele mehr.
• Unternehmen: Nicht nur traditionell als KRITIS eingestufte Organisationen sind betroffen, sondern auch kleinere und mittelständische Unternehmen, die bestimmte Schwellenwerte überschreiten (z.B. mehr als 50 Mitarbeiter oder über 10 Millionen Euro Umsatz).

Wie Herr Weissmann betont, bedeutet dies, dass die Zahl der Organisationen, die unter diese Regelungen fallen, erheblich zunehmen wird. Dies erfordert eine umfassende Information und Vorbereitung der betroffenen Organisationen, um den neuen rechtlichen Anforderungen gerecht zu werden. Die Ausweitung des Geltungsbereichs spiegelt die zunehmende Erkenntnis wider, dass die Sicherheit und Resilienz kritischer Infrastrukturen und Dienstleistungen eine gemeinsame Verantwortung aller Beteiligten ist.

Mit der Einführung des KRITIS-Dachgesetzes und der Umsetzung der NIS2-Direktive erweitert sich der Kreis der betroffenen Organisationen erheblich. Paul Weissmann hebt hervor, dass nun nicht nur große Unternehmen mit kritischen Infrastrukturen, sondern auch kleinere und mittelständische Betriebe reguliert werden, sofern sie bestimmte Größenkriterien überschreiten. Diese Unternehmen müssen nun umfassende Sicherheitsmaßnahmen implementieren, um den neuen gesetzlichen Anforderungen gerecht zu werden.

Die Anforderungen reichen von technischen Sicherheitsvorkehrungen bis hin zu organisatorischen Maßnahmen. Organisationen sind verpflichtet, Risikoanalysen durchzuführen, um potenzielle Sicherheitslücken zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen. Dazu gehören die Implementierung von Sicherheitssystemen, die Durchführung regelmäßiger Sicherheitsaudits und die Schulung des Personals in Cybersicherheit.

Ein weiterer zentraler Punkt der neuen Gesetzgebung sind die erweiterten Meldepflichten. Organisationen müssen nun sicherheitsrelevante Vorfälle innerhalb eines bestimmten Zeitrahmens an die zuständigen Behörden melden. Die Nichteinhaltung dieser und anderer Anforderungen kann zu empfindlichen Strafen führen, die bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen können. Diese strengen Strafen unterstreichen die hohe Priorität, die der Schutz kritischer Infrastrukturen in der heutigen Gesellschaft genießt.

Wie Weissmann betont, stellt die Anpassung an diese umfassenden Anforderungen eine große Herausforderung dar, insbesondere für kleinere Organisationen, die bisher möglicherweise weniger Ressourcen in ihre IT-Sicherheitsstrategien investiert haben. Eine proaktive Auseinandersetzung mit den neuen Regelungen ist daher für alle betroffenen Organisationen unerlässlich.

Die Einführung des KRITIS-Dachgesetzes und der NIS2-Direktive setzt Organisationen unter Zugzwang, ihre Sicherheitsstrategien zu überdenken und anzupassen. Hier sind praktische Tipps und Empfehlungen, die eine solide Grundlage für die Vorbereitung und Umsetzung der neuen Anforderungen bieten.

• Bestandsaufnahme und Risikoanalyse: Beginnen Sie mit einer detaillierten Erfassung aller IT-Systeme und Prozesse. Identifizieren Sie kritische Assets und bewerten Sie potenzielle Risiken.
• Schulung der Mitarbeiter: Ein geschultes Team ist eine der besten Sicherheitsmaßnahmen. Regelmäßige Schulungen und Awareness-Programme erhöhen die Wachsamkeit gegenüber Cyberbedrohungen.
• Aktualisierung der Sicherheitsrichtlinien: Passen Sie Ihre internen Richtlinien an die neuen gesetzlichen Anforderungen an. Dies umfasst Datenschutz, Zugriffskontrollen und die Reaktion auf Sicherheitsvorfälle.

• Entwicklung eines Krisenmanagementplans: Ein effektiver Plan legt fest, wie auf Sicherheitsvorfälle reagiert wird, um Schäden zu minimieren und eine schnelle Wiederherstellung zu gewährleisten.
  • Zuständigkeiten klären: Legen Sie fest, wer in Krisensituationen welche Aufgaben übernimmt.
  • Kommunikationsstrategie: Definieren Sie, wie und wann Mitarbeiter, Kunden und Behörden informiert werden.
• Implementierung eines BCM: Ein Business Continuity Management sorgt dafür, dass Ihr Unternehmen auch im Krisenfall funktionsfähig bleibt.
  • Notfallpläne entwickeln: Erstellen Sie spezifische Pläne für unterschiedliche Szenarien, von Naturkatastrophen bis hin zu Cyberangriffen.
  • Regelmäßige Tests und Übungen: Nur durch regelmäßige Überprüfungen und Anpassungen bleibt Ihr BCM aktuell und effektiv.

• Stärkung der Netzwerksicherheit: Implementieren Sie Firewalls, Intrusion-Detection-Systeme und verschlüsselte Verbindungen, um Ihr Netzwerk zu schützen.
• Regelmäßige Sicherheitsüberprüfungen: Führen Sie Penetrationstests und Sicherheitsaudits durch, um Schwachstellen zu identifizieren und zu beheben.
• Datensicherheit und Backup: Sorgen Sie für eine sichere Speicherung sensibler Daten und etablieren Sie zuverlässige Backup-Strategien, um Datenverlust vorzubeugen.

Paul Weissmann betont, dass eine frühzeitige und gründliche Vorbereitung entscheidend ist, um den Übergang zu den neuen Sicherheitsstandards erfolgreich zu meistern. Indem Sie diese Strategien umsetzen, stärken Sie nicht nur die Resilienz Ihrer Organisation gegenüber aktuellen und zukünftigen Bedrohungen, sondern sichern auch seine langfristige Wettbewerbsfähigkeit und Compliance.

Die Einführung des KRITIS-Dachgesetzes und der NIS2-Direktive markiert einen entscheidenden Wendepunkt in der Sicherheitslandschaft kritischer Infrastrukturen. Diese gesetzlichen Neuerungen adressieren die wachsenden Herausforderungen in der Cybersicherheit, die sich aus der zunehmenden Vernetzung und Digitalisierung ergeben. Wie Paul Weissmann herausstellt, unterstreicht die Ausweitung des Geltungsbereichs und die Verschärfung der Anforderungen die hohe Priorität, die der Schutz dieser essenziellen Dienste hat.

• Erweiterte Verantwortlichkeiten: Eine breitere Palette von Organisationen werden nun als Teil kritischer Infrastrukturen angesehen, was die Notwendigkeit unterstreicht, proaktive Sicherheitsmaßnahmen zu ergreifen.
• Ganzheitlicher Sicherheitsansatz: Neben der Cybersicherheit rückt auch die physische Sicherheit in den Fokus, was eine umfassende Betrachtung der Resilienz von kritischen Diensten erfordert.
• Verschärfte Sanktionen: Die erhöhten Strafen bei Nichteinhaltung zeigen die Ernsthaftigkeit, mit der die Gesetzgeber die Einhaltung dieser Sicherheitsstandards betrachten.

Die Zukunft der IT-Sicherheitsgesetzgebung und der Cybersecurity wird zweifellos durch eine kontinuierliche Anpassung an neue Bedrohungsszenarien geprägt sein. Wir können erwarten, dass:

• Dynamische Anpassungen: Die Gesetzgebung wird sich weiterentwickeln müssen, um mit der rasanten Entwicklung der Technologie und den sich ändernden Bedrohungslandschaften Schritt zu halten.
• Internationale Kooperation: Angesichts der globalen Natur von Cyberbedrohungen wird die internationale Zusammenarbeit zwischen Staaten, Organisationen und Unternehmen zunehmend wichtiger.
• Betonung auf Resilienz: Die Fähigkeit, sich von Sicherheitsvorfällen schnell zu erholen und die Dienste aufrechtzuerhalten, wird ein zentraler Aspekt der Cybersicherheitsstrategien.

Die Umsetzung des KRITIS-Dachgesetzes und der NIS2-Direktive stellt lediglich den Anfang eines langfristigen Prozesses dar, in dem Sicherheit und Resilienz ständig neu bewertet und verstärkt werden müssen. Unternehmen und Organisationen stehen vor der Aufgabe, sich kontinuierlich anzupassen und innovative Sicherheitslösungen zu entwickeln, um nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch das Vertrauen ihrer Nutzer und der Gesellschaft in die Zuverlässigkeit ihrer Dienste zu stärken. In diesem dynamischen Umfeld bleibt die fortlaufende Aufmerksamkeit und Investition in Cybersicherheit ein zentraler Pfeiler für die Sicherheit und Stabilität unserer modernen Gesellschaft.

Für alle, die sich weitergehend mit dem Thema des Schutzes kritischer Infrastrukturen und der Umsetzung der neuen gesetzlichen Anforderungen auseinandersetzen möchten, bieten die folgenden Ressourcen wertvolle Informationen und Einsichten:

• Kommune Digital Forum: Auf kommune-digital-forum.de finden Interessierte eine Sammlung von Vorträgen zum Thema "Schutz Kritischer Infrastruktur", die im Re-Live verfügbar sind. Diese bieten eine hervorragende Möglichkeit, Expertenwissen aus erster Hand zu erhalten.

Weitere offizielle Dokumente und Leitfäden:

• Bundesamt für Sicherheit in der Informationstechnik (BSI): Das BSI bietet umfangreiche Leitfäden und Informationen zur IT-Sicherheit, speziell auch für Betreiber Kritischer Infrastrukturen.
• NIS2-Direktive: Der vollständige Text der NIS2-Direktive ist auf der Website der Europäischen Union einsehbar.
• KRITIS-Dachgesetz: Informationen zum KRITIS-Dachgesetz und den spezifischen Anforderungen können auf den Seiten des Bundesministeriums des Innern, für Bau und Heimat gefunden werden.

Diese Ressourcen dienen als Ausgangspunkt für eine tiefere Beschäftigung mit dem komplexen und dynamischen Feld der Cybersicherheit kritischer Infrastrukturen. Sie bieten wertvolle Einblicke und praktische Anleitungen zur Umsetzung der neuen gesetzlichen Rahmenbedingungen und tragen dazu bei, die Resilienz gegenüber digitalen Bedrohungen zu stärken.