Die Bedrohungslage für kritische Infrastrukturen war noch nie so intensiv wie jetzt. Cyberangriffe auf Organisationen und Behörden gehören inzwischen zum Alltag und können ein Unternehmen komplett zum Erliegen bringen. Da dies gerade bei kritischen Infrastrukturen zu Versorgungsengpässen und Gefährdungen für einen ganzen Staat führen kann, geben die NIS2-Gesetzgebung und das KRITIS-Dachgesetz ab sofort vor, mit welchen konkreten Maßnahmen die betroffenen Unternehmen ihre Cyberresilienz zu stärken haben.

Das im Jahr 2024 in Kraft tretende neue KRITIS-Dachgesetz wird in Deutschland zusammen mit dem NIS2-Umsetzungsgesetz realisiert. Damit wird der Kreis der betroffenen Unternehmen auf ca. 40.000 ansteigen. NIS steht für „Network and Information Security“, und die Zahl 2 belegt, dass es sich hierbei bereits um die zweite europäische NIS-Richtlinie handelt, die sich mit dem Thema Informationssicherheit befasst.

Das KRITIS-Dachgesetz soll neben der Erhöhung der Anforderungen an die physische Sicherheit, vor allem auch die Resilienz (die Widerstandsfähigkeit) von Betreibern kritischer Infrastrukturen stärken. Dafür werden konkrete Vorgaben zu Meldepflichten von Vorfällen gemacht, sowie konkrete Bußgelder für Verstöße gegen die Umsetzung von Anforderungen ausgesprochen. Zur Sicherstellung dieser erweiterten Vorgaben wird die Aufsichtsverantwortung des BSI durch das BBK (Bundesamt für Bevölkerungs- und Katastrophenschutz) und regionale Landesbehörden verstärkt.

Konsequenzen bei Nichtbefolgung

Die ordnungsgemäße Einhaltung von KRITIS-Dach und der NIS2-Gesetzgebung wird nicht dem Zufall überlassen. Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) prüft bei sogenannten Tiefenprüfungen, ob Betreiber den KRITIS-Anforderungen nachkommen. Unternehmen, die nicht die erforderlichen Sicherheitsstandards für kritische Infrastrukturen einhalten, können juristischen Maßnahmen unterliegen, einschließlich Geldstrafen, Bußgeldern oder sogar rechtlichen Schritten seitens der staatlichen Aufsichtsbehörden.

Die wesentlichen Inhalte der neuen Gesetze

KRITIS-Unternehmen versorgen mindestens 500.000 Einwohner und überschreiten sektorspezifische Schwellenwerte. Unternehmen, die mehr als 50 Mitarbeiter oder mehr als 10 Millionen Umsatz/Bilanzsumme verzeichnen, werden die NIS2-Anforderungen umsetzen müssen.

Aus regelmäßig stattfindenden Risikobeurteilungen müssen zukünftig die erforderlichen Maßnahmen zur Steigerung der Resilienz gegenüber Angriffen auf die Infrastruktur nachgewiesen werden.

Im Fall eines Angriffs müssen die betroffenen Unternehmen in der Lage sein, diesen zu erkennen und wirkungsvolle Gegenmaßnahmen einzuleiten. Die Vorfälle müssen einer zentralen Meldestelle übermittelt werden, damit die Möglichkeit einer Warnung für andere Unternehmen gegeben ist.

Neben der Bestellung eines internen Beauftragten im Unternehmen, wird es übergeordnete Behörden geben, die die Umsetzung der gesetzlichen Anforderungen koordinieren und überwachen.

Die ersten Schritte für eine erfolgreiche Realisierung von NIS2 und KRITIS-Dachgesetz

Die Stärkung der Cyber-Resilienz soll durch die Umsetzung von Risikomanagement-Maßnahmen erfolgen. Betroffene Unternehmen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der IT-Systeme zu vermeiden bzw. negative Auswirkungen möglichst gering zu halten. Wir haben die ersten notwendigen Schritte für eine erfolgreiche Realisierung für Sie zusammengestellt:

  • Situationsanalyse durchführen: Übersetzen Sie die Anforderungen des KRITIS-Dachgesetzes und der NIS2-Gesetzgebung auf die spezifischen Gegebenheiten Ihres Unternehmens.
  • Projektteam aufstellen: Gründen Sie ein Projektteam bestehend aus allen IT-Verantwortlichen, der Geschäftsleitung und weiteren relevanten Personen und prüfen Sie mit einem Status-Assessment, ob die gesetzlichen Anforderungen beider Gesetze in Ihrem Unternehmen Anwendung finden.
  •  Informationssicherheitsmanagementsystem (ISMS) einführen: Führen Sie ein Informationssicherheitsmanagementsystem (ISMS) ein, z.B. die internationale Norm ISO 27001:2022. So erhalten Sie durch eine fundierte Analyse Klarheit darüber, was zu tun ist.
  • Schutzmaßnahmen dokumentieren und priorisieren: Dokumentieren Sie den Reifegrad Ihrer bisher etablierten Schutzmaßnahmen und fassen Sie die Ergebnisse in einem Protokoll mit priorisierten Maßnahmenempfehlungen zusammen.
  • Lieferanten prüfen: Kontrollieren Sie die Einhaltung von Anforderungen und Verordnungen im Zusammenhang mit IT-Sicherheit bei Ihren Lieferanten.
  • Mitarbeiter schulen: Schulen Sie alle Mitarbeiterebenen und Prozesseigener zur Einhaltung der eingeführten Sicherheitsmaßnahmen.
  • Prozessmanagement sicherstellen: Gewährleisten Sie ein professionelles Prozessmanagement zur Einhaltung aller Vorgaben.
  • Überwachung aller Maßnahmen durch einen Experten: Sichern Sie die Überwachung aller Maßnahmen durch eine fachliche Expertise.

Ihre Ansprechpartner

Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.

Isaac Michael

Informationssicherheit und Datenschutz
Tel.:  +49 173 4112814

csm ESC IsaacMichael 05072023 008 1 f92c6cb2e2
csm HolgerKoeppe ESC 20092023 011 e3cc1dd518

Holger Koeppe

Managementsysteme & Audits
Tel.:  +49 173 4112778