Der EU-Rechtsrahmen für Kritische Infrastrukturen und andere Schlüsselsektoren

DSGVO

Das bringen die EU-Richtlinien NIS2 und RCE/CER:

  • Regulierung kritischer (critical), wesentlicher (essential) und wichtiger (important) Einrichtungen
    und Infrastrukturen in der Europäischen Union
  • Stärkung von Cybersicherheit, Resilienz und physischer Sicherheit 

Dieser Blogbeitrag befasst sich mit den EU-Sicherheits- und Resilienz-Richtlinien NIS2 und RCE/CER.

Diese internationalen EU-Regelungen zielen auf Kritische Infrastrukturen und andere essentielle und wichtige Unternehmen und Einrichtungen in der EU ab.

Dieser Blogbeitrag wurde in Deutschland verfasst, mit einigen hilfreichen Verweisen auf die aktuelle deutsche KRITIS-Regulierung zum eigenen Verständnis, zielt aber primär auf den aktuellen internationalen EU-Rechtsrahmen ab.

Sie erhalten einen groben inhaltlichen Überblick über die im Dezember 2022 verabschiedeten zwei EU-Richtlinien:

  • RICHTLINIE (EU) 2022/2555:
    Netz-und Informationssicherheit 2 = NIS2
  • RICHTLINIE (EU) 2022/2557:
    Resilienz kritischer Einrichtungen = RCE (Resilience of critical entities) = CER (Critical entities reslilience)  (*)

(*) CER im deutschsprachigen Sprachraum oft verwendet

Lyon, France
Derzeit in aller Munde: Der Schutz Kritischer Infrastrukturen (KRITIS), wie etwa Energieversorgung (im Bild die Stadt Lyon, Frankreich).

Gesteigerte Awareness für Sicherheit und Resilienz durch geopolitische Veränderungen
Spätestens seit der veränderten geopolitischen Sicherheitslage erlangte der Schutz Kritischer Infrastrukturen (KRITIS) und anderer systemkritischer Unternehmen gesteigerte Aufmerksamkeit in der Europäischen Union: Bei den KRITIS-Betreibern in der EU, in der EU-Bevölkerung, aber auch bei den politischen Akteuren in der EU und den einzelnen EU-Ländern.

Die KRITIS-Regulierung und die Regulierung anderer essentieller und wichtiger und systemkritischer Unternehmen („essential/important/critical entities“) wird sich von daher in den nächsten Jahren in der EU deutlich weiterentwickeln und verschärfen. Mehr Pflichten, mehr technische und organisatorischen Anforderungen, mehr Betroffenheit (niedrigere Schwellenwerte bzw. andere Einteilungs- bzw. Betroffenheitskriterien wie Mitarbeiteranzahl und Umsatz) und neben Cybersecurity-Vorschriften erstmalig auch verpflichtende Schutzstandards für die physische Sicherheit und Resilienz werden auf die betroffenen EU-Unternehmen zukommen.

In vielen Fällen schließen diese Vorschriften auch Hersteller und Vorlieferanten mit ein, Stichwort Vertrauenswürdigkeit und Sicherheit in der Lieferkette.

21 (d) „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“

Unsere Interpretation zu Artikel 21 (d): Sicherheit in der Lieferkette / Supply Chain

  • Sicherheit bzgl. Technik: Vertrauenswürdige und „technisch (cyber-)sichere“ Anbieter, Hersteller, Dienstleister
  • Sicherheit bzgl. Geopolitik: Vertrauenswürdige Herstellerländer
KRITIS Praxistipp

Cybersecurity, Resilienz und physische Sicherheit gemeinsam und übergreifend „denken“
Ziel der neuen EU-Richtlinien NIS2 und RCE/CER ist nicht nur die Cybersicherheit, sondern – v.a. durch RCE gefordert – die Resilienz und die ganzheitliche Sicherheit inkl. physischer Sicherheit von Kritischen Infrastrukturen und weiteren wesentlichen und wichtigen und systemrelevanten Unternehmen. 

Die drei Dimensionen von KRITIS-Resilienz
Bezugnehmend auf diese gesetzliche EU-Regulatorik sind aus unserer Sicht folgende inhaltlichen drei Dimensionen von Resilienz zu beachten, um ganzheitliche KRITIS-Resilienz zu erreichen:

Das KRITIS-Resilienzdreieck
Das KRITIS-Resilienzdreieck
(mit begleitenden, landesspezifischen Gesetzen, welche die EU-Richtlinien wie NIS2 und RCE/CER in nationales Recht umsetzen)

 

Rechtlicher Regulierungsrahmen HEUTE
Beispiel einer nationalen Umsetzung von EU-Recht: In Deutschland reguliert aktuell das IT-Sicherheitsgesetz 2.0 respektive das BSIG die Cybersecurity von klassischen KRITIS-Sektoren. 

Es geht bei allen Regularien zur KRITIS-Cybersicherheit immer um die Sicherstellung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse. Diese müssen dem aktuellen Stand der Technik entsprechen, um ein hohes Sicherheitsniveau von Netz- und Informationssystemen zu erreichen. Ein angekündigtes KRITIS-Dachgesetz soll in Deutschland künftig (2023ff) neben der Cybersecurity auch die generelle Resilienz und speziell die physische Sicherheit von KRITIS-Sektoren regulieren. 

In den anderen EU-Ländern wird die Cybersecurity (und eventuell bereits Teilaspekte von Resilienz) durch entsprechende Landesgesetze reguliert, welche die europäische NIS-Richtlinie in nationales Recht umsetzen.

In Österreich beispielsweise heißt das Pendant zum deutschen IT-Sicherheitsgesetz / BSIG in Anlehnung an die EU-Richtlinie „NISG“.

Ihre Aufgaben HEUTE:

  • Bitte die analog geltenden Gesetze für Ihr EU-Land selbständig eruieren und beachten
  • Bei eigener Betroffenheit: Cybersecurity, Resilienz und physische Sicherheit (z. B. durch Videoüberwachung) stärken

Rechtlicher Regulierungsrahmen MORGEN (Jahr 2023ff)
Mit der Richtlinie zur Netz- und Informationssicherheit (NIS2) werden neue Regeln eingeführt, um ein hohes gemeinsames Niveau der Cybersicherheit in der EU zu fördern – sowohl für Unternehmen als auch für Länder. Durch die Richtlinie werden auch die Cybersicherheitsanforderungen für mittlere und große Unternehmen, die in Schlüsselsektoren tätig sind und Dienstleistungen anbieten, verschärft.

Mit der RCE Richtlinie werden neue Regeln eingeführt, um die RESILIENZ und auch die physische Sicherheit von kritischen Einrichtungen zu stärken.

Neben der bestehenden EU- bzw. nationalen Cyber-Regulierung von klassischen Kern-KRITIS-Sektoren stehen im Zeitraum 2023 bis 2024 folgende neuen und erweiterten Anforderungen im Fokus der europaweiten Sicherheits-Regulierung:

1) Inhaltliche Erweiterung

  • Ganzheitliche Sicherheit 
  • Neben Cybersecurity sollen erstmals auch die mehrschichtige RESILIENZ (u. a. auch Personal) und explizit die physische Sicherheit reguliert werden (CER)

2) Scope und Betroffenheit 

  • Bis jetzt (zumindest in Deutschland) Regulierungsfokus auf spezifische Anlagen, Betriebsstätten und kritische Prozesse nach technischen Schwellenwerten (KRITIS)
  • Ausweitung auf ganze Unternehmen (NIS2/CER)
  • Quantität: viel mehr betroffene Unternehmen (auch abseits klassischer KRITIS) durch andere und niederschwelligere Kriterien 
  • Anstatt technischer Schwellenwerte (wie z. B. Tonnen im Transportsektor) kaufmännische Werte wie Mitarbeiteranzahl, Umsatz, Bilanzsumme (NIS2)

3) Entities 

  • Jenseits der klassischen „Kern-KRITIS-Sektoren“
    • neue „wesentliche, wichtige, systemkritische Unternehmen“
    • „essential“ und „important entities“ (NIS2)
    • Achtung Betroffenheit „important entities“: bereits mittlere Betreiber mit > 50 Mitarbeiter > 10 Mio Umsatz/Bilanzsumme aus der (herstellenden) Industrie, z. B. Herstellung von Medizinprodukten, Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, Kraftwagen und Kraftwagenteilen, Maschinenbau (NIS2)
  • In Deutschland gibt es z. B. im BSIG (Artikel 8f) || Artikel 2 (14) bereits die sog. UBI = Unternehmen von besonderem öffentlichen Interesse, z. B. Herstellung oder Entwicklung Rüstungsgüter (UBI1) oder Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (UBI2) oder Betreiber der oberen Klasse der Störfallverordnung wie z.B. Gefahrstoffe / Chemie (UBI3)
  • „Critical entities“ (CER) Fast deckungsgleich z. B. in Deutschland mit den bestehenden KRITIS-Sektoren, zzgl. neuem Sektor „Raumfahrt“ in CER

Der EU-Rechtsrahmen nachfolgend in der Schnellübersicht

KRITIS Rechstentwicklung

 

 

KRITIS Rechtsentwicklung
Inhaltliche und zeitliche Roadmap KRITIS-Vorschriften EU

 

Die EU-Richtlinien im Wortlaut (Original)

  • NIS2-Richtlinie „Netz-und Informationssicherheit“
    • Offizielles Dokument RICHTLINIE (EU) 2022/2555 „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (Sprachauswahlseite | Deutsche Fassung PDF)
    • EU-Staaten müssen NIS2 bis Oktober 2024 in nationales Recht überführen; in Deutschland z. B. womöglich mit einem IT-Sicherheitsgesetz 3.0 (Update 07_2023: Nicht IT-Sicherheitsgesetz 3.0, sondern NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG))
       
  • RCE/CER-Richtlinie „Resilienz kritischer Einrichtungen“
    • Offizielles Dokument RICHTLINIE (EU) 2022/2557 „Über die Resilienz kritischer Einrichtungen“ (Sprachauswahlseite | Deutsche Fassung PDF)
    • EU-Staaten müssen NIS2 bis Oktober 2024 in nationales Recht überführen; in Deutschland z. B. womöglich mit dem KRITIS-Dachgesetz

Komplexe EU-Regulierung „schreit“ nach Harmonisierung
Bei den EU-Richtlinien zeigt sich leider neben dem Urproblem der EU, die Interessen von 27 Einzelstaaten „unter einen Hut zu bringen“, die detailreiche und heterogene EU-Bürokratie und die „föderale nationale Umsetzungsfreiheit mit diversen nationalen Öffnungsklauseln“ mit der berechtigten hörbaren Meinung aus dem Markt:

„Die ganze Regulierung ist sehr komplex und unübersichtlich, sie schreit direkt nach Harmonisierung.“


Unser Versuch der „Entmystifizierung“ und „Harmonisierung“ in einfachen Worten:

  • Trotz einiger Überschneidungen, Abgrenzungsschwierigkeiten und Vorrangsfragen bzgl. Betreiber, Sektoren und Betroffenheit
  • sind der Großteil der betroffenen Unternehmen die klassischen „Kern-KRITIS-Sektoren“
    • Energie
    • Wasser
    • ITK
    • Transport & Verkehr
    • Gesundheitswesen
    • Finanzwesen
    • Ernährung
  • und eben weitere essentielle, wichtige, systemkritische Unternehmen (von öffentlichem Interesse für die nationale Sicherheit und Versorgungssicherheit)

Noch viele Detail- und Umsetzungsfragen offen
Die einzelnen Definitionen, Einteilungen und Abgrenzungen am „EU-Papier“ werden in der Realität und der nationalen Umsetzung zu Überschneidungen oder Mehrfachbetroffenheit oder Abgrenzungsschwierigkeiten und Fragen zum Vorrang einzelner Vorschriften führen und noch spannende Detail-Fragen offen lassen, die der jeweilige nationale Gesetzgeber bzw. die zuständigen nationalen Behörden zu klären haben.

Ihre Aufgaben MORGEN:

  • Auf EU-Regulierung (NIS2/RCE-Richtlinie) ab 2023 vorbereiten und eigene Betroffenheit bzw. die Betroffenheit Ihrer Kunden prüfen
  • Die geltenden und durch NIS2/RCE bis 10/2024 geänderten oder neuen nationalen Gesetze für Ihr EU-Land selbständig eruieren und beachten
  • Bei eigener Betroffenheit: Cybersecurity, Resilienz und physische Sicherheit (z. B. durch Videoüberwachung) stärken

Unsere KRITIS-Expertise und Kernkompetenz Videotechnik

KRITIS Praxisleitfaden

Nachfolgend noch drei Informationen in eigener Sache bzw. für Ihr KRITIS-Video-Projekt:

Info 1 / Top Tipp: KRITIS Praxisleitfaden Videotechnik

  • Der KRITIS Praxisleitfaden Videotechnik von Dallmeier schafft Überblick für Sicherheitsverantwortliche
  • 80 Seiten Orientierung für Entscheider zum Thema Videotechnik
  • Fordern Sie hier ihr persönliches Exemplar an

Info 2 / Tipp 2:

  • Case Study – KRITIS – Transport und Verkehr
  • Reale, funktionierende KI-basierte Videoanalyse für KRITIS-Perimeterschutz
Dallmeier Logistik
KRITIS-Sektor „Transport und Verkehr – Straßen-und Schienenverkehr – Binnenschifffahrt – Logistik“

 

Container Terminal Herne
KRITIS-Sektor „Transport und Verkehr – Straßen-und Schienenverkehr – Binnenschifffahrt – Logistik“

 

Info 3 / Tipp 3: Externe unabhängige Infoquelle

Diskutieren Sie mit uns auf LinkedIn

Sie haben noch Fragen oder möchten Ihre Gedanken zu diesem Thema mit uns teilen?
Wir freuen uns über Ihre Kommentare und Anmerkungen!

Hier geht's zum LinkedIn-Post >

About the Author: