Cybersecurity bei KRITIS gesetzlich reguliert

Gehören Unternehmen zu den sog. Kritischen Infrastrukturen (KRITIS), werden diese hinsichtlich der Cybersicherheit gesetzlich reguliert, z. B.

  • in der Europäischen Union (EU) durch eine verpflichtende Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-1 und NIS-2-Richtlinie) und
  • in Deutschland durch ein nationales Gesetz, das die EU-NIS-Richtlinie in nationales Recht umsetzt.

Verschärfung der Regeln

In Deutschland heißt dieses Gesetz "IT-Sicherheitsgesetz" (Version 2.0 seit 2022), das als Artikelgesetz das für KRITIS relevante "Einzelgesetz" ändert, nämlich das BSI-Gesetz, kurz BSIG.

Mit dem IT-Sicherheitsgesetz 2.0 bzw. dem geänderten BSIG haben sich die Pflichten für deutsche KRITIS-Betreiber nochmals verschärft. Auch der Kreis der betroffenen Unternehmen hat sich durch neue Definitionen und Schwellenwerte erhöht.

Mit dem IT-Sicherheitsgesetz 2.0 ist unserer Einschätzung nach Deutschland wie bereits bei der NIS-1-Richtlinie der NIS-2-Richtlinie als Vorreiter „inhaltlich und zeitlich zuvorgekommen“. Das strenge IT-Sicherheitsgesetz 2.0 dürfte bereits große Teile der neuen NIS-2-Richtlinie umgesetzt haben. Die fehlenden Teile würden dann möglicherweise in einem IT-Sicherheitsgesetz 3.0 respektive im geplanten KRITIS-Dachgesetz in nationales Recht umgesetzt werden. Dasselbe Umsetzungsszenario gilt auch als wahrscheinlich für die EU RCE Directive on the resilience of critical entities, die CER-Richtlinie.

    Aktueller Stand der Technik gefordert

    Es geht bei allen Regularien zur KRITIS-Cybersicherheit immer um die Sicherstellung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse. Diese müssen dem aktuellen Stand der Technik entsprechen, um ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu erreichen.

    In Deutschland: Optionale Garantieerklärung seitens Hersteller / Vorlieferanten

    In Deutschland müssen seit 2022 neben den KRITIS-Betreibern optional auch Hersteller und Vorlieferanten eine Garantieerklärung / Vertrauenswürdigkeitsprüfung bei kritischen Komponenten ablegen gemäß § 9b Absatz (3) BSIG.

    Das Dallmeier Versprechen

    Videosicherheitslösungen und Produkte von Dallmeier verfügen über ein Höchstmaß an technischen Vorkehrungen und Funktionen, mit denen Kunden und KRITIS-Betreiber cybersicherheitskonforme Videosicherheitslösungen implementieren können.

    Dallmeier steht für ein Höchtsmaß an Sicherheit bzgl. Recht und Compliance, Datenschutz und Cybersecurity:

    Weitere Informationen

    EU NIS-2-Richtlinie zur Cybersicherheit seit November 2022 in Kraft:

    EU Richtlinie Resilienz kritischer Infrastrukturen seit November 2022 in Kraft: