KRITIS-Dachgesetz, NIS2 und Cyber Resilience Act

Im IT Security Talk vom 27. Februar 2025 referierte Holger Berens zum Thema KRITIS Gesetzeslage in Deutschland.

Der Beitrag fand so großen Anklang, dass wir Berens für ein zusätzliches Interview zur Beantwortung weiterer Teilnehmer-Fragen gewinnen konnten.

Was können Sie Neues aus dem gesetzlichen Umfeld berichten?

Es freut mich sehr, dass so viel Interesse besteht an den ganzen gesetzlichen Rahmenbedingungen, die ja auch wesentlich sind für uns und für alle Kritischen Infrastrukturen und auch KMU. Was gibt's Neues? Am 18. März war die Abstimmung über die Grundgesetzänderung im Bereich von Sondervermögen. Die Schuldenbremse wird gelockert, wenn die Investition über 1% des Bruttoinlandsprodukts liegt. Allerdings hat der aktuelle Bundestag es nicht geschafft, die Richtlinien zur physischen Sicherheit (CER-2) in nationales Gesetz umzusetzen. Das Diskontinuitätsprinzip besagt, dass der neue Bundestag nicht einfach die Arbeit des alten fortsetzen kann, was zu Verzögerungen führen könnte.

Wie schätzen Sie die Auflagen für deutsche Unternehmen im Vergleich zum internationalen Umfeld ein? Stichwort Konkurrenzfähigkeit der deutschen Industrie.

Innerhalb der EU sind die Mindestschutzstandards für Sicherheit vergleichbar. Ähnliche Standards existieren auch in den USA, wie der Cyber Resilience Act und die Vorgaben der Börsenaufsicht. Es ist wichtig, dass Unternehmen Risiken abwenden und ein angemessenes Risikomanagement sowie IT-Management aufbauen. Ich sehe die gesetzlichen Auflagen als positiv und notwendig für die Sicherheit und Stabilität der Unternehmen.

Die nächste Frage bezieht sich auf die Schwellenwerte für Provider wie Value Added Reseller, Cloud Service Provider und Data Center Provider. Wie passen diese mit den Schwellenwerten zusammen?

Das KRITIS-Dachgesetz bezieht sich auf physische Sicherheit und betrifft nur Betreiber kritischer Anlagen, die bestimmte Schwellenwerte erreichen. Die NIS-2-Richtlinie hingegen hat keine Schwellenwerte, sondern die Size Cap Rule, die ab 50 Mitarbeitern gilt. Unternehmen müssen auch die Sicherheit ihrer Lieferkette gewährleisten, insbesondere wenn sie Kunden aus Kritischen Infrastrukturen haben.

Stichwort Cyber Resilience Act. Werden harmonisierte Standards zum Erfüllen angestrebt?

Ja, harmonisierte Standards werden angestrebt. Produkte mit digitalen Elementen müssen den CRA-Maßnahmen entsprechen, was eine Vereinfachung der Definition des Standes der Technik darstellt. 

Sind Unternehmen von der Vielzahl der Gesetze und Verordnungen überfordert?

Viele Unternehmen sind von der Vielzahl der Gesetze und Verordnungen überfordert. Diese Regelungen sind jedoch notwendig, um die Sicherheit und das Überleben der Unternehmen zu gewährleisten. Die Umsetzung der Gesetze basiert auf der ISO 27001-Norm und erfordert ein vernünftiges Managementsystem.

Wie werden Konformitätsbewertungsstellen geprüft?

Konformitätsbewertungsstellen wie TÜV und DEKRA werden vom BSI gesteuert und müssen entsprechende Qualifikationen nachweisen. Diese Stellen werden auf Qualität und Können geprüft

Können Sie etwas zur NIS-2-Durchführungsverordnung der Kommission über kritische Einrichtungen und Netze berichten?

Die Durchführungsverordnung ist in Kraft und setzt Mindestanforderungen an das Risikomanagement für Anbieter digitaler Infrastrukturen und Dienste. Weitere Informationen finden Sie auf der BSI-Website oder bei Open KRITIS.

Was würden Sie zum Stand der Technik sagen hinsichtlich physischen Zugangsschutzes für 60.000 Kilometer Gleisbereich beziehungsweise Anlagen im Gleisbereich?

Es ist unmöglich, Tausende von Kilometern vollständig zu überwachen oder einzuzäunen. Betreiber sollten priorisieren, welche Strecken im Krisenfall am wichtigsten sind, und Redundanzen sicherstellen, um die Versorgung aufrechtzuerhalten.

Gibt es Tools, die eine Cyber-Angriffsstatistik, Bedrohungsanalyse und Risikoquantifizierung in Einem bieten?

Ja, es gibt solche Tools, insbesondere im Bereich der Künstlichen Intelligenz und Predictive Analytics. Ich empfehle, nach solchen Tools zu googeln, da ich keine spezifischen Produkte nennen möchte.

Haben Sie noch abschließende Worte?

Mein großer Appell: Haben Sie keine Angst vor der Umsetzung der Gesetze. Es ist nicht so schlimm, wie es vielleicht im Gesetzestext aussieht. Man kann es angemessen umsetzen. Haben Sie keine Angst und tun Sie es.

Kritische Infrastrukturen absichern: ohne geht nichts

Wie sicher sind unsere Kritischen Infrastrukturen? Welchen Cyber-Bedrohungen stehen KRITIS-Betreiber gegenüber? Wie sehen die Sicherheitsstandards aus und für welche Organisation gelten die Regulierungsanforderungen, die sich beispielsweise aus dem IT-Sicherheitsgesetz ergeben?

Umfassende Informationen und zahlreiche Aufzeichnungen der Vorträge von it-sa Expo&Congress sowie it-sa 365 finden Sie auf der Themenseite KRITIS.