KRITIS / IT-SIG IM ÜBERBLICK
BSI KRITISVERORDNUNG
Die BSI-Kritisverordnung zielt auf den Schutz der Kritischen Infrastrukturen ab. Die Umsetzung (z.B. mithilfe der branchenspezifischen Sicherheitsstandards) ist für Unternehmen, die die jeweiligen Schwellenwerte erreichen, verpflichtend. Die BSI-Kritisverordnung definiert kritische Dienstleistungen und Schwellenwerte. "Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Quelle: Bundesministerium des Inneren (BMI)
❗ Einrichtungen, die per Definition als Kritische Infrastrukturen gelten, sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, ihre informationstechnischen Systeme, Komponenten oder Prozesse gemäß dem aktuellen Stand der Technik abzusichern.❗
IT-SICHERHEITSGESETZ 2.0
NEU AB 1.MAI 2023
Betreiber kritischer Infrastrukturen (KRITIS) und Betreiber von Energieversorgungsnetzen sind gemäß IT-Sicherheitsgesetz 2.0 (IT-SiG) verpflichtet, ab dem 01.05.2023 Systeme zu Angriffserkennung (SzA) einzusetzen und dies gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen. Betreiber müssen dann zukünftig alle zwei Jahre ihre Nachweise gemäß § 8a Absatz 3 BSIG einreichen. NEUE BEREICHE: Versorgung, Transport und Verkehr, Entsorgung Rüstung (UBI 1)
IT-SICHERHEITSGESETZ 3.0 UND NIS 2
SIND SIE BETROFFEN VON NIS2?
Unter die NIS2 fallen auch mittlere und große Einrichtungen aus einer Reihe von Sektoren, die nicht zu den sogenannten kritischen Infrastrukturen (Kritis) zählen. Sie trat am 16.01.2023 in Kraft und soll bis Ende 2024 in nationales Recht umgesetzt sein.
WER IST VON NIS2 BETROFFEN?
Betroffen von NIS2 sind große und mittlere Unternehmen und Organisationen gemäß 2003/361/EC in insgesamt 18 verschiedenen Sektoren. Organisationen innerhalb dieser Sektoren werden als sogenannte Essential Entities oder Important Entities klassifiziert. Betroffen sind auch die sogenannten UBI, hier steht die Klassifizierung und Schwellenwerte noch aus.
Große Organisationen gemäß 2003/361/EC:
- Mehr als 250 Beschäftigte
- Mehr als 50 Mio. EUR Umsatz
- Mehr als 43 Mio. EUR Bilanz
Essential Entities sind große Organisationen in den 11 essenziellen Sektoren:
- Energie
- Transport
- Banken
- Finanzmärkte
- Gesundheit
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- IT Service Management
- Öffentliche Verwaltung
- Raumfahrt
Große Organisationen gemäß 2003/361/EC:
- Mehr als 250 Beschäftigte
- Mehr als 50 Mio. EUR Umsatz
- Mehr als 43 Mio. EUR Bilanz
Essential Entities sind große Organisationen in den 11 essenziellen Sektoren:
- Energie
- Transport
- Banken
- Finanzmärkte
- Gesundheit
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- IT Service Management
- Öffentliche Verwaltung
- Raumfahrt
Neben einer Identifikation nach Unternehmensgröße fordert NIS 2, spezielle Betreiber unabhängig der Größe zu regulieren, was das IT-Sicherheitsgesetz bisher noch nicht vorsieht:
- Rüstung (UBI 1) – ab 01.05.2023
- Wertschöpfung (UBI 2) nach §2 (14) BSIG „Unternehmen von erheblicher volkswirtschaftlicher Bedeutung“
- Zulieferer der Gruppe (UBI2.5) von „wesentlicher Bedeutung“ für die UBI2 Unternehmen sind
- Gefahrstoffe (UBI 3) nach § 2 (14) 3 BSIG Chemie, produzierende Industrie nach Störfallverordnung
Offen sind noch konkretere Definitionen und Methodiken für Unternehmen im besonderen öffentlichen Interesse (UBI).
NIS2: DIESE CYBER SECURITY MASSNAHMEN MÜSSEN BETROFFENE UNTERNEHMEN UND ORGANISATIONEN UMSETZEn
- Sicherheitsrichtlinien etablieren und umsetzen
-
Sicherheitsvorfälle verhindern, erfassen und bewältigen
Infoblox BloxOne Threat Defense >>
Infoblox Dex Tool >> - Backup-Management einführen
- Sicherheit der Lieferkette gewährleisten
- Sicherheit bei der Beschaffung von IT und Netzwerk-Systemen gewährleisten
- Performance-Messungen von Cyber und Risiko Maßnahmen
-
Cyber Security Training
G-Data Awareness Trainings & Phishing Simulation >> - Daten verschlüsseln
- Personalinformationen schützen
-
Zugangskontrolle einführen
IAM von tenfold >>
NAC von macmon >> - Asset Management einführen
- Multi-Factor-Authentisierung und SSO nutzen
- Sicherer Sprach-, Video- und Text-Kommunikation nutzen
- Sichere Notfall-Kommunikations-Systeme bereitstellen
UNSERE STARKEN PARTNER FÜR IHRE SICHERE INFRASTRUKTUR
Anomalie-Erkennung durch IRMA®
KRITIS 2023/2024: Behalten Sie den Durchblick im Vorschriften-Dschungel!
Viele Unternehmen sind zurecht verunsichert und stellen sich folgende Fragen:
Bin ich betroffen? Welche Vorschriften und Gesetze greifen für mein Unternehmen? Wie schütze ich mich und wie erfülle ich die Kritis Vorgaben nachweislich ab 2023? Das erfahren Sie hier:
WEBINAR
Raus aus dem KRITIS Dschungel - Kritis Dachgesetz, IT-SiG 3.0, EU NIS2, ISMS, TISAX & Co ab 2023
Antworten auf diese Fragen erhalten Sie in unserem kostenlosen Webinar mit dem Experten für Datenschutz & IT-Sicherheit Wolfgang Matzke von KLW & Thomas Drechsel von DMN Solutions.
Themen:
- Neue Pflichten für KRITIS-Betreiber
- Zusätzlich betroffene Unternehmen
- rechtliche Rahmengrundlagen
- ISMS nach ISO 27001
- mehr Cyber & Security Pflichten