Nachricht schreiben an

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf
Sonderzeichen '<', '>' sind im Betreff und in der Nachricht nicht erlaubt
reCaptcha ist ungültig.
reCaptcha ist aufgrund eines Serverproblems gescheitert.

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren mit

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

Vor-Ort-Termin vereinbaren mit

Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.

Portrait Holger Berens
  • Interview
  • KRITIS
  • OT Security

KRITIS-Dachgesetz, NIS2 und Cyber Resilience Act


Holger Berens berät seit über 35 Jahren internationale Unternehmen und Kritische Infrastrukturen im Compliance- und Sicherheitsmanagement.
Er ist Managing Partner der Concepture Gruppe GmbH, verantwortlich für Informationssicherheit und BCM.
Als Vorstandsvorsitzender ist er für den Bundesverband zum Schutz Kritischer Infrastrukturen (BSKI) tätig. In unserem Interview beantwortet er Fragen rund um das Thema KRITIS.


Im IT Security Talk vom 27. Februar 2025 referierte Holger Berens zum Thema KRITIS Gesetzeslage in Deutschland.

Der Beitrag fand so großen Anklang, dass wir Berens für ein zusätzliches Interview zur Beantwortung weiterer Teilnehmer-Fragen gewinnen konnten.

 

Was können Sie Neues aus dem gesetzlichen Umfeld berichten?

Es freut mich sehr, dass so viel Interesse besteht an den ganzen gesetzlichen Rahmenbedingungen, die ja auch wesentlich sind für uns und für alle Kritischen Infrastrukturen und auch KMU. Was gibt's Neues? Am 18. März war die Abstimmung über die Grundgesetzänderung im Bereich von Sondervermögen. Die Schuldenbremse wird gelockert, wenn die Investition über 1% des Bruttoinlandsprodukts liegt. Allerdings hat der aktuelle Bundestag es nicht geschafft, die Richtlinien zur physischen Sicherheit (CER-2) in nationales Gesetz umzusetzen. Das Diskontinuitätsprinzip besagt, dass der neue Bundestag nicht einfach die Arbeit des alten fortsetzen kann, was zu Verzögerungen führen könnte.

 

Wie schätzen Sie die Auflagen für deutsche Unternehmen im Vergleich zum internationalen Umfeld ein? Stichwort Konkurrenzfähigkeit der deutschen Industrie.

Innerhalb der EU sind die Mindestschutzstandards für Sicherheit vergleichbar. Ähnliche Standards existieren auch in den USA, wie der Cyber Resilience Act und die Vorgaben der Börsenaufsicht. Es ist wichtig, dass Unternehmen Risiken abwenden und ein angemessenes Risikomanagement sowie IT-Management aufbauen. Ich sehe die gesetzlichen Auflagen als positiv und notwendig für die Sicherheit und Stabilität der Unternehmen.

 

Die nächste Frage bezieht sich auf die Schwellenwerte für Provider wie Value Added Reseller, Cloud Service Provider und Data Center Provider. Wie passen diese mit den Schwellenwerten zusammen?

Das KRITIS-Dachgesetz bezieht sich auf physische Sicherheit und betrifft nur Betreiber kritischer Anlagen, die bestimmte Schwellenwerte erreichen. Die NIS-2-Richtlinie hingegen hat keine Schwellenwerte, sondern die Size Cap Rule, die ab 50 Mitarbeitern gilt. Unternehmen müssen auch die Sicherheit ihrer Lieferkette gewährleisten, insbesondere wenn sie Kunden aus Kritischen Infrastrukturen haben.


Stichwort Cyber Resilience Act. Werden harmonisierte Standards zum Erfüllen angestrebt?

Ja, harmonisierte Standards werden angestrebt. Produkte mit digitalen Elementen müssen den CRA-Maßnahmen entsprechen, was eine Vereinfachung der Definition des Standes der Technik darstellt. 

 

Sind Unternehmen von der Vielzahl der Gesetze und Verordnungen überfordert?

Viele Unternehmen sind von der Vielzahl der Gesetze und Verordnungen überfordert. Diese Regelungen sind jedoch notwendig, um die Sicherheit und das Überleben der Unternehmen zu gewährleisten. Die Umsetzung der Gesetze basiert auf der ISO 27001-Norm und erfordert ein vernünftiges Managementsystem.

 

Wie werden Konformitätsbewertungsstellen geprüft?

Konformitätsbewertungsstellen wie TÜV und DEKRA werden vom BSI gesteuert und müssen entsprechende Qualifikationen nachweisen. Diese Stellen werden auf Qualität und Können geprüft

 

Können Sie etwas zur NIS-2-Durchführungsverordnung der Kommission über kritische Einrichtungen und Netze berichten?

Die Durchführungsverordnung ist in Kraft und setzt Mindestanforderungen an das Risikomanagement für Anbieter digitaler Infrastrukturen und Dienste. Weitere Informationen finden Sie auf der BSI-Website oder bei Open KRITIS.

 

Was würden Sie zum Stand der Technik sagen hinsichtlich physischen Zugangsschutzes für 60.000 Kilometer Gleisbereich beziehungsweise Anlagen im Gleisbereich?

Es ist unmöglich, Tausende von Kilometern vollständig zu überwachen oder einzuzäunen. Betreiber sollten priorisieren, welche Strecken im Krisenfall am wichtigsten sind, und Redundanzen sicherstellen, um die Versorgung aufrechtzuerhalten.


Gibt es Tools, die eine Cyber-Angriffsstatistik, Bedrohungsanalyse und Risikoquantifizierung in Einem bieten?

Ja, es gibt solche Tools, insbesondere im Bereich der Künstlichen Intelligenz und Predictive Analytics. Ich empfehle, nach solchen Tools zu googeln, da ich keine spezifischen Produkte nennen möchte.


Haben Sie noch abschließende Worte?

Mein großer Appell: Haben Sie keine Angst vor der Umsetzung der Gesetze. Es ist nicht so schlimm, wie es vielleicht im Gesetzestext aussieht. Man kann es angemessen umsetzen. Haben Sie keine Angst und tun Sie es.

Kritische Infrastrukturen in Deutschland

Q&A-Interview mit Holger Berens zum IT Security Talk: KRITIS

Q&A ansehen: Wenn Sie zum vollständigen Interview mit Holger Berens möchten, in dem er Ihre Fragen ausführlich beantwortet, klicken Sie links auf das Video.

Aufzeichnung ansehen: Sie wollen sich den Stream vom IT Security Talk vom Februar on-demand anschauen? Dann folgen Sie dem Link unten: 


Kritische Infrastrukturen absichern: ohne geht nichts

Wie sicher sind unsere Kritischen Infrastrukturen? Welchen Cyber-Bedrohungen stehen KRITIS-Betreiber gegenüber? Wie sehen die Sicherheitsstandards aus und für welche Organisation gelten die Regulierungsanforderungen, die sich beispielsweise aus dem IT-Sicherheitsgesetz ergeben?

Umfassende Informationen und zahlreiche Aufzeichnungen der Vorträge von it-sa Expo&Congress sowie it-sa 365 finden Sie auf der Themenseite KRITIS.

close

Diese Inhalte oder Funktionen stehen der it-sa 365 Community zur Verfügung. 
Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.