Betreiber Kritischer Infrastrukturen (KRITIS) sehen sich in der aktuellen geopolitischen Lage schlagartig realen Bedrohungsszenarien ausgesetzt. Ihre Anlagen sind beliebte Angriffsziele. Gleichzeitig sind sie mit komplexen regulatorischen Rahmenbedingungen konfrontiert. Dazu gehören die europäischen Direktiven NIS (Directive on security of network and information systems) und RCE (Directive on the resilience of critical entities) sowie das am 23. April 2021 im Deutschen Bundestag verabschiedete und am 7. Mai 2021 im Bundesrat gebilligte IT-Sicherheitsgesetz 2.0. Die Umsetzung der gesetzlichen Anforderungen der IT-Sicherheit und Cyber-Resilienz ist mit weitreichenden Aufwänden verbunden. Bei Nichteinhaltung drohen hohe Bußgelder: Ordnungswidrigkeiten können laut §14 (5) BSIG mit Geldbußen von bis zu 2 Mio. Euro belegt werden. Darüber hinaus wurden die KRITIS-Verordnung und darin definierte Schwellenwerte angepasst. Als Folge der Änderung steigt die Zahl der Betreiber Kritischer Infrastrukturen rapide.
„Angesichts der aktuellen geopolitischen Lage und komplexer Regulatorik sind Betreiber Kritischer Infrastrukturen mit enormen Herausforderungen konfrontiert. Eine umfassende Cyber-Resilienz ist heute wichtiger denn je.“
Um Unternehmen und Institutionen bei der Absicherung von kritischen Komponenten und Kritischen Infrastrukturen bestmöglich zu unterstützen, hat PwC das KRITIS Center of Excellence gegründet. Es führt in einem interdisziplinären Ansatz das Wissen und die branchenspezifische Kompetenz der PwC-Expert:innen mit sektorübergreifendem Know-how zusammen. So beraten wir Sie beispielsweise rechtlich bei Betroffenheitsanalysen und helfen Ihnen bei der Bewältigung aktueller Sicherheitsvorfälle mit der Cyber Incident Response. Mehr als 30 Expert:innen verfügen zudem über eine nachgewiesene zusätzliche Prüfverfahrenskompetenz für § 8a BSI Gesetz.
Ist Ihr Unternehmen KRITIS-pflichtig? Die Cybersicherheit für Kritische Infrastrukturen (KRITIS) ist mit einer Vielzahl rechtlicher Fragen und Herausforderungen verbunden. Darf grundsätzlich zur Rückverfolgung eines Cyberangriffs in fremde Systeme eingedrungen werden? Darf ein Hackback/Gegenangriff durchgeführt werden? Wir helfen Ihnen, dass Sie sich im Regelungsdschungel besser zurechtfinden und rechtliche Vorgaben auch pragmatisch umsetzen können.
Prüfungen nach §8a Abs. 3 und 4 BSIG bereiten unsere Expert:innen optimal vor oder führen sie verlässlich durch. Sie verfügen dafür über die zusätzliche Prüfverfahren-Kompetenz nach § 8a BSIG. Mit PwC als Partner profitieren Sie von dem Know-how einer führenden Wirtschaftsprüfungs- und Beratungsgesellschaft, welches IDW Prüfungsstandards wie Prüfberichte gemäß ISAE 3000 in Kombination mit einer tiefgreifenden Cyber-Expertise anbietet.
Im Ernstfall eines Cyberangriffs ist eine schnelle und zielgerichtete Reaktion entscheidend, um den Schaden zu begrenzen. Wir helfen Betreibern Kritischer Infrastrukturen dabei, eine „Incident Response Readiness“ aufzubauen – sprich: bei Vorfällen handlungsfähig zu sein und effektiv reagieren zu können. Darüber hinaus unterstützen wir Sie bei der gerichtsfesten Untersuchung von Vorfällen.
Wir beraten Sie in allen Facetten rund um den sicheren Einsatz der IT – von der Architektur bis zum Betrieb. Im Ernstfall stehen wir auf Knopfdruck bereit und helfen Ihnen mit Sofortmaßnahmen sowie nachhaltigem Kontinuitäts- und Krisenmanagement. Kurzum: Wir unterstützen Sie dabei, Ihre Werte optimal zu schützen, damit Sie die Chancen der Digitalisierung voll ausschöpfen können.
Zur Sicherstellung einer stabilen Energieversorgung ist der Schutz Kritischer Infrastrukturen und Informationen bereits im Rahmen des IT-Sicherheitsgesetzes sowie des IT-Sicherheitskatalogs der Bundesnetzagentur verankert. Eine Herausforderung ist das Zusammenspiel unterschiedlicher Anforderungen, welche sich beispielsweise aus § 11 Abs. 1 (a) EnWG oder der KRITIS-Verordnung ergeben. Außerdem gilt es, branchenspezifische Security Frameworks wie ISO/IEC 27019:2020 oder B3S Aggregatoren zu berücksichtigen.
Die aktuelle geopolitische Lage wirft neue Fragen und Herausforderungen rund um die Lebensmittelversorgung auf. Sie kann potenziell dramatischen Einfluss auf KRITIS-Betreiber nehmen. Wir helfen Lebensmittelherstellern und -Händlern bei der Erfüllung Ihrer KRITIS-Pflichten und bei der Abwehr von Cyber-Bedrohungen.
Bargeldversorgung, kartengestützter und konventioneller Zahlungsverkehr, Wertpapier- und Derivategeschäfte sowie Versicherungsdienstleistungen unterliegen vielfältigen komplexen regulativen Anforderungen der BAIT, VAIT und der KRITIS-Verordnung. Es gilt vielfältige Schwellenwerte zu berücksichtigen. Banken sind spätestens seit den Sanktionen im Zuge aktueller Konfliktszenarien verstärkt in den Fokus gerückt. Nicht alle Banken verfügen hier über ausreichende Sicherheitsstandards. Diese Lücken gilt es zügig zu schließen.
Krankenhäuser mit mehr als 30.000 vollstationären Patienten gelten laut BSI-Gesetz (BSIG) seit Jahren als Kritische Infrastrukturen. Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) sind laut § 75c SGB V ab dem 1. Januar 2022 nicht mehr nur KRITIS-Häuser, sondern alle Krankenhäuser in Deutschland zu angemessenen organisatorischen und technischen Vorkehrungen verpflichtet – das bedeutet zur Umsetzung des B3S. Aber auch abseits der stationären medizinischen Versorgung, etwa in der Versorgung mit lebenserhaltenden Medizinprodukten, ist angesichts der aktuellen Lage unverzügliches Handeln nötig.
Die Störung oder Manipulation von Kommunikation und Medien rangiert unter den Kerninstrumenten aktueller Konflikte. Informationstechnik und Telekommunikation bedürfen eines besonderen Schutzes, vor allem für 5G/6G. Hier hilft PwC bei der Einrichtung einer nachhaltigen Cyber-Resilienz. Anbieter von Sprach- und Datenübertragung sowie Datenspeicherung und -verarbeitung sehen sich darüber hinaus im Zuge der novellierten KRITIS-Verordnung massiv angepassten Schwellenwerten gegenüber. Eine Aktualisierung von Betroffenheitsanalysen ist dringend erforderlich.
Unternehmen der Siedlungsabfallentsorgung unterliegen erst seit der Neuregelung den KRITIS-Pflichten. Sie werden erhebliche Anstrengungen zur Umsetzung der Anforderungen unternehmen müssen. Zu den konkreten Bestimmungen bleibt die kommende Rechtsverordnung abzuwarten. Nichtsdestotrotz sollten Unternehmen der Entsorgungsbranche, welche noch kein ISMS, BCM und auch keine Cyber-Resilienz implementiert haben, zeitnah handeln. PwC unterstützt Sie schon jetzt dabei, entsprechende Maßnahmen zu implementieren, die auch im Zuge der Veröffentlichung der entsprechenden Verordnung Bestand haben.
Die Transport- und Verkehrsinfrastruktur ist aktuell ebenfalls gefährdet. Im Bereich der Logistik sollte beispielsweise ein besonderer Schutz von Dual-Use-Gütern und Ausrüstung erfolgen. Dabei geht es insbesondere auch um die weitere Schaffung von Sicherheitsnetzwerken. Wir unterstützen Sie hier in allen Belangen mit branchenspezifischer Kenntnis der unterschiedlichen Verkehrsträger sowie Ihrer kritischen Anlagen.
Insbesondere die Wasserversorgung dürfte künftig verstärkt in den Fokus aktueller, realer Bedrohungslagen rücken. Hier unterstützen wir unter anderem bei der Validierung von Information-Security-Management-Systemen (ISMS) und Notfallplänen. Dabei berücksichtigen wir bei KRITIS-Prüfungen sowohl die Überarbeitung des branchenspezifischen Sicherheitsstandards (B3S) Wasser als auch mögliche alternative Prüfgrundlagen.
Unternehmen von besonderem öffentlichem Interesse (UBI) sind von überragender Bedeutung für die öffentliche Sicherheit und eine gesamtstaatliche Resilienz. Neben dem Schutz wichtiger Unternehmen ist insbesondere eine reibungslose Governance zwischen den Cyber-Behörden des Bundes essenziell. Der noch junge KRITIS-Sektor UBI nimmt innerhalb der KRITIS-Verordnung eine Sonderstellung ein und unterliegt besonderen regulatorischen Rahmenbedingungen. Im Zusammenhang mit UBIs sind Betroffenheitsanalysen herausfordernd, da hier nicht die üblichen Schwellenwerte wie in anderen Sektoren entscheidend sind.
Mit dem kürzlich in Frankfurt eröffneten Cyber Security Experience Center lässt sich hautnah erleben, wie sich Cyberangriffe auf die IT-Infrastruktur auswirken und mit welchen Abwehrmaßnahmen sich informationstechnische Systeme wirksam schützen lassen. Die dort simulierten Kritischen Infrastrukturen helfen KRITIS-Betreibern im Umgang mit Cyberattacken in einem sich verändernden Spannungsfeld geopolitischer Rahmenbedingungen.