Sicherheit in Kritischen Infrastrukturen

Europäische und nationale Regulatorik im stetigen Wandel

Ihr Experte für Fragen

André Glenzer

André Glenzer
Partner bei PwC Deutschland
Tel.: +49 160 94470376
E-Mail

Komplexe Regulatorik und akute Bedrohungslage erhöhen Handlungsdruck

Betreiber Kritischer Infrastrukturen (KRITIS) sehen sich in der aktuellen geopolitischen Lage schlagartig realen Bedrohungsszenarien ausgesetzt. Ihre Anlagen sind beliebte Angriffsziele. Gleichzeitig sind sie mit komplexen regulatorischen Rahmenbedingungen konfrontiert.

Auf nationaler Ebene spielt insbesondere das BSIG − welches bereits mehrfach durch IT-Sicherheitsgesetze aktualisiert und von der BSI-Kritisverordnung konkretisiert wurde − eine zentrale Rolle. Dieses wird durch sektorspezifische Spezialgesetze z. B. dem Energiewirtschaftsgesetz (EnWG) und dem Telekommunikationsgesetz (TKG) flankiert. 

Auf europäischer Ebene kommen die Richtlinien NIS 2 (Directive on security of network and information systems) und RCE (Directive on the resilience of critical entities) hinzu. 

„Angesichts der aktuellen geopolitischen Lage und komplexer Regulatorik sind Betreiber Kritischer Infrastrukturen mit enormen Herausforderungen konfrontiert. Eine umfassende Cyber-Resilienz ist heute wichtiger denn je.“

André Glenzer,Leiter KRITIS Center of Excellence bei PwC Deutschland

Umsetzung der NIS-2-Richtlinie

Zur Umsetzung der NIS-2-Richtlinie, die sich mit der Cybersicherheit von kritischen Infrastrukturen befasst, gibt es bereits einen Referentenentwurf (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG). Hier kommen viele Veränderungen auf Ihre Organisation zu. Die wichtigsten sind unter anderem die folgenden: 

  • Ausweitung des Anwendungsbereichs: Die Anzahl der Organisationen, die von den Regelungen betroffen sind, steigt stetig. Schon NIS 2 sieht eine weitere deutliche Erweiterung des Anwendungsbereichs vor. Der Referentenentwurf des Bundesinnenministeriums lässt erwarten, dass der deutsche Gesetzgeber sogar noch weiter geht, als es von NIS 2 gefordert wurde.Die Regelungen dazu sind teilweise sehr komplex. Zu den Schwellenwerten will die Bundesregierung eine neue Verordnung erlassen, die dann sowohl für die Cybersicherheit (NIS 2 und BSIG), als auch für die physische Sicherheit (RCE und KRITIS-Dachgesetz) gelten soll. Wir unterstützen Sie gerne bei einer Betroffenheitsanalyse.
  • Governance und Organhaftung: NIS 2 sieht vor, dass Leitungsorgane (Vorstand, Geschäftsführung etc.) für die Überwachung der Umsetzung der Risikomanagementmaßnahmen Sorge tragen sollen und fordert, dass ein Verstoß gegen diese Pflicht zur privaten Haftung der Leitungsorgane führt. Diese Vorgaben scheint die Bundesregierung besonders streng umsetzen zu wollen. Der Referentenentwurf sieht vor, dass die Leitungsorgane ihren Verpflichtungen persönlich nachkommen müssen. Außerdem sollen sie gegenüber ihrer Organisation auch für Bußgelder haften, die aufgrund ihrer Pflichtverletzungen verhängt wurden. Dies kann insbesondere für Vorstände und Geschäftsführer von großen Unternehmen fatale Folgen haben. Denn die Obergrenze für Bußgelder wird von bisher 20 Millionen Euro (§ 14 Abs. 5 BSIG i.V.m. § 30 Abs. 2 Satz 3 OWiG) teilweise auf 2 % des globalen Jahresumsatzes des Unternehmens erhöht. Da vorgesehen ist, dass die Organisationen auf die Ersatzansprüche gegenüber den Leitungsorganen nicht verzichten dürfen, sind die neuen Haftungsregeln für Leitungsorgane potenziell existenzgefährdend. 

Die RCE-Richtlinie, die sich insbesondere mit der physischen Sicherheit von kritischen Infrastrukturen auseinandersetzt, wird in Deutschland voraussichtlich durch das sog. KRITIS-Dachgesetz umgesetzt. Die zentrale Aufsichtsbehörde für die physische Sicherheit soll in Deutschland das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) werden.

Wichtiger Hinweis: Gem. des Entwurfs der Bundesregierung werden die Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Die Obergrenze für diese Haftung entspricht 2 % des globalen Jahresumsatzes des Unternehmens.

Entwicklung des IT-Sicherheitsrechts für KRITIS

IT-Sicherheitsgesetz 1.0

Änderungsgesetz zum BSIG, EnWG, TKG, AtG und TMG: Verpflichtet Betreiber Kritischer Infrastrukturen IT angemessen abzusichern und diese Sicherheit überprüfen zu lassen.

BSI-Kritisverordnung

Definition Sektoren: Schwellenwerte (Bedeutung des Versorgungsgrads)

Umsetzungsgesetz NIS 1

Neu: Regelungen für Anbieter Digitaler Dienste

IT-Sicherheitsgesetz 2.0

Einsatz von Systemen zur Angriffserkennung (§ 8a Abs. 1a): Neuer Sektor – Siedlungsabfallentsorgung, Selbsterklärung zur IT-Sicherheit: Unternehmen im besonderen öffentlichen Interesse (§ 8f)

Neue Rechtssetzung durch die EU

NIS 2 & RCE (Resilience of Critical Entities) (Umsetzung bis 17. Oktober 2024)

  • Neue Sektoren: z. B. öffentliche Verwaltung, Weltraum, Forschungseinrichtungen
  • Einführung „size-cap rule“
  • Unternehmen mit >=50 Mitarbeitenden oder Jahresumsatz oder Jahresbilanz >= 10 Mio. €

DORA (Digital Operational Resilience Act) VO und RL (Anwendung / Umsetzung bis 17.1.2025)

  • Betriebsstabilität digitaler Systeme des Finanzsektors

KRITIS-Dachgesetz

  • Umsetzung der RCE Richtlinie

IT Sicherheitsgesetz 3.0 (NIS2UmsuCG)

Umsetzung / Inkrafttreten DORA

Unsere Services für die einzelnen KRITIS-Sektoren in der Übersicht

Energie

Zur Sicherstellung einer stabilen Energieversorgung ist der Schutz Kritischer Infrastrukturen und Informationen bereits im Rahmen des IT-Sicherheitsgesetzes sowie des IT-Sicherheitskatalogs der Bundesnetzagentur verankert. Eine Herausforderung ist das Zusammenspiel unterschiedlicher Anforderungen, welche sich beispielsweise aus § 11 Abs. 1 (a) EnWG oder der KRITIS-Verordnung ergeben. Außerdem gilt es, branchenspezifische Security Frameworks wie ISO/IEC 27019:2020 oder B3S Aggregatoren zu berücksichtigen.
Mehr erfahren

Ernährung

Die aktuelle geopolitische Lage wirft neue Fragen und Herausforderungen rund um die Lebensmittelversorgung auf. Sie kann potenziell dramatischen Einfluss auf KRITIS-Betreiber nehmen. Wir helfen Lebensmittelherstellern und -Händlern bei der Erfüllung Ihrer KRITIS-Pflichten und bei der Abwehr von Cyber-Bedrohungen.

Finanz- und Versicherungswesen

Bargeldversorgung, kartengestützter und konventioneller Zahlungsverkehr, Wertpapier- und Derivategeschäfte sowie Versicherungsdienstleistungen unterliegen vielfältigen komplexen regulativen Anforderungen der BAIT, VAIT und der KRITIS-Verordnung. Es gilt vielfältige Schwellenwerte zu berücksichtigen. Banken sind spätestens seit den Sanktionen im Zuge aktueller Konfliktszenarien verstärkt in den Fokus gerückt. Nicht alle Banken verfügen hier über ausreichende Sicherheitsstandards. Diese Lücken gilt es zügig zu schließen.
Mehr erfahren

Gesundheit

Krankenhäuser mit mehr als 30.000 vollstationären Patienten gelten laut BSI-Gesetz (BSIG) seit Jahren als Kritische Infrastrukturen. Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) sind laut § 75c SGB V ab dem 1. Januar 2022 nicht mehr nur KRITIS-Häuser, sondern alle Krankenhäuser in Deutschland zu angemessenen organisatorischen und technischen Vorkehrungen verpflichtet – das bedeutet zur Umsetzung des B3S. Aber auch abseits der stationären medizinischen Versorgung, etwa in der Versorgung mit lebenserhaltenden Medizinprodukten, ist angesichts der aktuellen Lage unverzügliches Handeln nötig.

Mehr erfahren

IT und Telekommunikation

Die Störung oder Manipulation von Kommunikation und Medien rangiert unter den Kerninstrumenten aktueller Konflikte. Informationstechnik und Telekommunikation bedürfen eines besonderen Schutzes, vor allem für 5G/6G. Hier hilft PwC bei der Einrichtung einer nachhaltigen Cyber-Resilienz. Anbieter von Sprach- und Datenübertragung sowie Datenspeicherung und -verarbeitung sehen sich darüber hinaus im Zuge der novellierten KRITIS-Verordnung massiv angepassten Schwellenwerten gegenüber. Eine Aktualisierung von Betroffenheitsanalysen ist dringend erforderlich.
Mehr erfahren

Siedlungsabfallentsorgung

Unternehmen der Siedlungsabfallentsorgung unterliegen erst seit der Neuregelung den KRITIS-Pflichten. Sie werden erhebliche Anstrengungen zur Umsetzung der Anforderungen unternehmen müssen. Zu den konkreten Bestimmungen bleibt die kommende Rechtsverordnung abzuwarten. Nichtsdestotrotz sollten Unternehmen der Entsorgungsbranche, welche noch kein ISMS, BCM und auch keine Cyber-Resilienz implementiert haben, zeitnah handeln. PwC unterstützt Sie schon jetzt dabei, entsprechende Maßnahmen zu implementieren, die auch im Zuge der Veröffentlichung der entsprechenden Verordnung Bestand haben.

Transport und Verkehr

Die Transport- und Verkehrsinfrastruktur ist aktuell ebenfalls gefährdet. Im Bereich der Logistik sollte beispielsweise ein besonderer Schutz von Dual-Use-Gütern und Ausrüstung erfolgen. Dabei geht es insbesondere auch um die weitere Schaffung von Sicherheitsnetzwerken. Wir unterstützen Sie hier in allen Belangen mit branchenspezifischer Kenntnis der unterschiedlichen Verkehrsträger sowie Ihrer kritischen Anlagen.
Mehr erfahren

Wasser

Insbesondere die Wasserversorgung dürfte künftig verstärkt in den Fokus aktueller, realer Bedrohungslagen rücken. Hier unterstützen wir unter anderem bei der Validierung von Information-Security-Management-Systemen (ISMS) und Notfallplänen. Dabei berücksichtigen wir bei KRITIS-Prüfungen sowohl die Überarbeitung des branchenspezifischen Sicherheitsstandards (B3S) Wasser als auch mögliche alternative Prüfgrundlagen.

Mehr erfahren

UBI

Unternehmen von besonderem öffentlichen Interesse (UBI) sind von besonderer Bedeutung für die öffentliche Sicherheit und eine gesamtstaatliche Resilienz. Neben dem Schutz wichtiger Unternehmen ist insbesondere eine reibungslose Governance zwischen den Cyber-Behörden des Bundes essenziell. Der noch junge KRITIS-Sektor UBI nimmt innerhalb der KRITIS-Verordnung eine Sonderstellung ein und unterliegt besonderen regulatorischen Rahmenbedingungen. Im Zusammenhang mit UBIs sind Betroffenheitsanalysen herausfordernd, da hier nicht die üblichen Schwellenwerte wie in anderen Sektoren entscheidend sind.
Mehr erfahren

HINWEIS: Gem. dem Referentenentwurfs des Bundesinnenministeriums zur Umsetzung der NIS-Richtlinie ist vorgesehen, dass die Regelungen im BSIG zu den UBI aufgehoben werden sollen. UBI werden gem. des Entwurfs in der neuen Einrichtungskategorie „Wichtige Einrichtungen“ aufgehen.

Wie PwC KRITIS-Betreiber unterstützt

Herausforderungen der novellierten KRITIS-Verordnung und der geopolitischen Lage bewältigen

Um Unternehmen und Institutionen bei der Absicherung von kritischen Komponenten und Kritischen Infrastrukturen bestmöglich zu unterstützen, hat PwC das KRITIS Center of Excellence gegründet. Es führt in einem interdisziplinären Ansatz das Wissen und die branchenspezifische Kompetenz der PwC-Expert:innen mit sektorübergreifendem Know-how zusammen. So beraten wir Sie beispielsweise rechtlich bei Betroffenheitsanalysen und helfen Ihnen bei der Bewältigung aktueller Sicherheitsvorfälle mit der Cyber Incident Response. Mehr als 30 Expert:innen verfügen zudem über eine nachgewiesene zusätzliche Prüfverfahrenskompetenz für § 8a BSI Gesetz.

Zusammenhänge der verschiedenen Rechtsquellen ist komplex und kann mit einem vereinfachten Entwurf unscharf dargestellt werden.

Prüfungen oder Vorbereitung auf KRITIS-Prüfungen nach §8a Abs. 3 und 4

Prüfungen nach §8a Abs. 3 und 4 BSIG bereiten unsere Expert:innen optimal vor oder führen sie verlässlich durch. Sie verfügen dafür über die zusätzliche Prüfverfahren-Kompetenz nach § 8a BSIG. Mit PwC als Partner profitieren Sie von dem Know-how einer führenden Wirtschaftsprüfungs- und Beratungsgesellschaft, welches IDW Prüfungsstandards wie Prüfberichte gemäß ISAE 3000 in Kombination mit einer tiefgreifenden Cyber-Expertise anbietet.

Cyber Incident Response und Forensik

Im Ernstfall eines Cyberangriffs ist eine schnelle und zielgerichtete Reaktion entscheidend, um den Schaden zu begrenzen. Wir helfen Betreibern Kritischer Infrastrukturen dabei, eine „Incident Response Readiness“ aufzubauen – sprich: bei Vorfällen handlungsfähig zu sein und effektiv reagieren zu können. Darüber hinaus unterstützen wir Sie bei der gerichtsfesten Untersuchung von Vorfällen.

Cyber Transformation: Durchgehende IT-Sicherheit

Wir beraten Sie in allen Facetten rund um den sicheren Einsatz der IT – von der Architektur bis zum Betrieb. Im Ernstfall stehen wir auf Knopfdruck bereit und helfen Ihnen mit Sofortmaßnahmen sowie nachhaltigem Kontinuitäts- und Krisenmanagement. Kurzum: Wir unterstützen Sie dabei, Ihre Werte optimal zu schützen, damit Sie die Chancen der Digitalisierung voll ausschöpfen können.

Aktuelles zu KRITIS

Systeme zur Angriffserkennung

Die Betreiber Kritischer Infrastrukturen aller Sektoren sowie Betreiber von Energieversorgungsnetzen sind in Deutschland dazu verpflichtet, Angriffserkennung zu leisten, um ihre Informationssysteme zu schützen. Nach einer Neuerung im BSIG und im EnWG müssen ab Mai 2023 Systeme zur Angriffserkennung (SzA) Bestandteil der Nachweise gegenüber dem BSI sein. Machen Sie Ihr Unternehmen fit für die neuen BSI-Anforderungen zur Erkennung von Cyberangriffen! Wir unterstützen Sie bei der Umsetzung der neuen Richtlinien – alle Details dazu finden Sie in unserem Paper!

Download Paper (PDF, 0,5 MB)

Was bedeutet die geopolitische Lage für den Schutz Kritischer Infrastrukturen?

Vernetzte Hardware, die Abhängigkeit von Daten und Softwarelösungen sowie ständig neue Angriffsvektoren – Kritische Infrastrukturen sind durch potenzielle Cyberangriffe ebenso gefährdet, wie andere Unternehmen. Insbesondere in der aktuellen geopolitischen Lage stellen solche digitalen Angriffsziele eine erhöhte Gefahr dar und es zeigt sich einmal mehr: Der Schutz Kritischer Infrastrukturen wird künftig bedeutender denn je. Doch wie gelingt die Absicherung der hochkomplexen IT-Systeme und worauf kommt es an? Erfahren Sie in unserem Flyer, wie Sie unser interdisziplinäres Team bei den anstehenden Herausforderungen unterstützen kann – und das über alle KRITIS-Sektoren hinweg.

Download Flyer (PDF, 0,7 MB)

PwCs Cyber Security Experience Center in Frankfurt

Simulation von Cyberattacken auf KRITIS

Mit dem kürzlich in Frankfurt eröffneten Cyber Security Experience Center lässt sich hautnah erleben, wie sich Cyberangriffe auf die IT-Infrastruktur auswirken und mit welchen Abwehrmaßnahmen sich informationstechnische Systeme wirksam schützen lassen. Die dort simulierten Kritischen Infrastrukturen helfen KRITIS-Betreibern im Umgang mit Cyberattacken in einem sich verändernden Spannungsfeld geopolitischer Rahmenbedingungen.

Mehr erfahren

Follow us

Contact us

André Glenzer

André Glenzer

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 160 94470376

Hide