Skip to content Skip to footer
Suche

Menu

Store

Ergebnisse werden geladen

Sicherheit in Kritischen Infrastrukturen

BSI KRITIS-Verordnung und IT-Sicherheitsgesetz 2.0

Ihr Experte für Fragen

André Glenzer

André Glenzer
Partner bei PwC Deutschland
Tel.: +49 211 981-2918
E-Mail

Komplexe Regulatorik und akute Bedrohungslage erhöhen Handlungsdruck

Betreiber Kritischer Infrastrukturen (KRITIS) sehen sich in der aktuellen geopolitischen Lage schlagartig realen Bedrohungsszenarien ausgesetzt. Ihre Anlagen sind beliebte Angriffsziele. Gleichzeitig sind sie mit komplexen regulatorischen Rahmenbedingungen konfrontiert. Dazu gehören die europäischen Direktiven NIS (Directive on security of network and information systems) und RCE (Directive on the resilience of critical entities) sowie das am 23. April 2021 im Deutschen Bundestag verabschiedete und am 7. Mai 2021 im Bundesrat gebilligte IT-Sicherheitsgesetz 2.0. Die Umsetzung der gesetzlichen Anforderungen der IT-Sicherheit und Cyber-Resilienz ist mit weitreichenden Aufwänden verbunden. Bei Nichteinhaltung drohen hohe Bußgelder: Ordnungswidrigkeiten können laut §14 (5) BSIG mit Geldbußen von bis zu 2 Mio. Euro belegt werden. Darüber hinaus wurden die KRITIS-Verordnung und darin definierte Schwellenwerte angepasst. Als Folge der Änderung steigt die Zahl der Betreiber Kritischer Infrastrukturen rapide.

„Angesichts der aktuellen geopolitischen Lage und komplexer Regulatorik sind Betreiber Kritischer Infrastrukturen mit enormen Herausforderungen konfrontiert. Eine umfassende Cyber-Resilienz ist heute wichtiger denn je.“

André Glenzer, Leiter KRITIS Center of Excellence bei PwC Deutschland

Wofür wir stehen

 collaboration black

Interdisziplinärer Ansatz

Von rechtlicher Beratung bis hin zur operativen Unterstützung bei Sicherheitsvorfällen – unsere interdisziplinären Teams unterstützen Sie in allen KRITIS-relevanten Themen.

 research black

KRITIS-Expertise

Mit dem KRITIS Center of Excellence stehen für Sie mehr als 30 speziell ausgebildete Expert:innen bereit, die eine nachgewiesene Prüfverfahrenskompetenz für §8a BSIG mitbringen.

 skills education ideas black

Cyber-Know-how

PwC verfügt über ein Netzwerk mit 400 Cyber-Expert:innen. Wir helfen Ihnen bei Sofortmaßnahmen und beim Aufbau eines nachhaltigen Kontinuitäts- und Krisenmanagements.

 dashboard black

Praxisorientiertes Vorgehen

Wir greifen auf umfassende Best Practices und Erfahrungen aus der Praxis zurück, um gemeinsam mit Ihnen passende Lösungen für individuelle Herausforderungen zu erarbeiten.

Wie PwC KRITIS-Betreiber unterstützt

Herausforderungen der novellierten KRITIS-Verordnung und der geopolitischen Lage bewältigen

Um Unternehmen und Institutionen bei der Absicherung von kritischen Komponenten und Kritischen Infrastrukturen bestmöglich zu unterstützen, hat PwC das KRITIS Center of Excellence gegründet. Es führt in einem interdisziplinären Ansatz das Wissen und die branchenspezifische Kompetenz der PwC-Expert:innen mit sektorübergreifendem Know-how zusammen. So beraten wir Sie beispielsweise rechtlich bei Betroffenheitsanalysen und helfen Ihnen bei der Bewältigung aktueller Sicherheitsvorfälle mit der Cyber Incident Response. Mehr als 30 Expert:innen verfügen zudem über eine nachgewiesene zusätzliche Prüfverfahrenskompetenz für § 8a BSI Gesetz.

Download Flyer (PDF, 0,7 MB)

Rechtsberatung zur Sicherstellung der Cyber Security bei KRITIS

Ist Ihr Unternehmen KRITIS-pflichtig? Die Cybersicherheit für Kritische Infrastrukturen (KRITIS) ist mit einer Vielzahl rechtlicher Fragen und Herausforderungen verbunden. Darf grundsätzlich zur Rückverfolgung eines Cyberangriffs in fremde Systeme eingedrungen werden? Darf ein Hackback/Gegenangriff durchgeführt werden? Wir helfen Ihnen, dass Sie sich im Regelungsdschungel besser zurechtfinden und rechtliche Vorgaben auch pragmatisch umsetzen können.

Mehr erfahren

Prüfungen oder Vorbereitung auf KRITIS-Prüfungen nach §8a Abs. 3 und 4

Prüfungen nach §8a Abs. 3 und 4 BSIG bereiten unsere Expert:innen optimal vor oder führen sie verlässlich durch. Sie verfügen dafür über die zusätzliche Prüfverfahren-Kompetenz nach § 8a BSIG. Mit PwC als Partner profitieren Sie von dem Know-how einer führenden Wirtschaftsprüfungs- und Beratungsgesellschaft, welches IDW Prüfungsstandards wie Prüfberichte gemäß ISAE 3000 in Kombination mit einer tiefgreifenden Cyber-Expertise anbietet.

Cyber Incident Response und Forensik

Im Ernstfall eines Cyberangriffs ist eine schnelle und zielgerichtete Reaktion entscheidend, um den Schaden zu begrenzen. Wir helfen Betreibern Kritischer Infrastrukturen dabei, eine „Incident Response Readiness“ aufzubauen – sprich: bei Vorfällen handlungsfähig zu sein und effektiv reagieren zu können. Darüber hinaus unterstützen wir Sie bei der gerichtsfesten Untersuchung von Vorfällen.

Mehr erfahren

Cyber Transformation: Durchgehende IT-Sicherheit

Wir beraten Sie in allen Facetten rund um den sicheren Einsatz der IT – von der Architektur bis zum Betrieb. Im Ernstfall stehen wir auf Knopfdruck bereit und helfen Ihnen mit Sofortmaßnahmen sowie nachhaltigem Kontinuitäts- und Krisenmanagement. Kurzum: Wir unterstützen Sie dabei, Ihre Werte optimal zu schützen, damit Sie die Chancen der Digitalisierung voll ausschöpfen können.

Unsere Services für die einzelnen KRITIS-Sektoren in der Übersicht

Energie

Zur Sicherstellung einer stabilen Energieversorgung ist der Schutz Kritischer Infrastrukturen und Informationen bereits im Rahmen des IT-Sicherheitsgesetzes sowie des IT-Sicherheitskatalogs der Bundesnetzagentur verankert. Eine Herausforderung ist das Zusammenspiel unterschiedlicher Anforderungen, welche sich beispielsweise aus § 11 Abs. 1 (a) EnWG oder der KRITIS-Verordnung ergeben. Außerdem gilt es, branchenspezifische Security Frameworks wie ISO/IEC 27019:2020 oder B3S Aggregatoren zu berücksichtigen.

Ernährung

Die aktuelle geopolitische Lage wirft neue Fragen und Herausforderungen rund um die Lebensmittelversorgung auf. Sie kann potenziell dramatischen Einfluss auf KRITIS-Betreiber nehmen. Wir helfen Lebensmittelherstellern und -Händlern bei der Erfüllung Ihrer KRITIS-Pflichten und bei der Abwehr von Cyber-Bedrohungen.

Finanz- und Versicherungswesen

Bargeldversorgung, kartengestützter und konventioneller Zahlungsverkehr, Wertpapier- und Derivategeschäfte sowie Versicherungsdienstleistungen unterliegen vielfältigen komplexen regulativen Anforderungen der BAIT, VAIT und der KRITIS-Verordnung. Es gilt vielfältige Schwellenwerte zu berücksichtigen. Banken sind spätestens seit den Sanktionen im Zuge aktueller Konfliktszenarien verstärkt in den Fokus gerückt. Nicht alle Banken verfügen hier über ausreichende Sicherheitsstandards. Diese Lücken gilt es zügig zu schließen.

Mehr erfahren

Gesundheit

Krankenhäuser mit mehr als 30.000 vollstationären Patienten gelten laut BSI-Gesetz (BSIG) seit Jahren als Kritische Infrastrukturen. Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) sind laut § 75c SGB V ab dem 1. Januar 2022 nicht mehr nur KRITIS-Häuser, sondern alle Krankenhäuser in Deutschland zu angemessenen organisatorischen und technischen Vorkehrungen verpflichtet – das bedeutet zur Umsetzung des B3S. Aber auch abseits der stationären medizinischen Versorgung, etwa in der Versorgung mit lebenserhaltenden Medizinprodukten, ist angesichts der aktuellen Lage unverzügliches Handeln nötig.

Mehr erfahren

IT und Telekommunikation

Die Störung oder Manipulation von Kommunikation und Medien rangiert unter den Kerninstrumenten aktueller Konflikte. Informationstechnik und Telekommunikation bedürfen eines besonderen Schutzes, vor allem für 5G/6G. Hier hilft PwC bei der Einrichtung einer nachhaltigen Cyber-Resilienz. Anbieter von Sprach- und Datenübertragung sowie Datenspeicherung und -verarbeitung sehen sich darüber hinaus im Zuge der novellierten KRITIS-Verordnung massiv angepassten Schwellenwerten gegenüber. Eine Aktualisierung von Betroffenheitsanalysen ist dringend erforderlich.

Siedlungsabfallentsorgung

Unternehmen der Siedlungsabfallentsorgung unterliegen erst seit der Neuregelung den KRITIS-Pflichten. Sie werden erhebliche Anstrengungen zur Umsetzung der Anforderungen unternehmen müssen. Zu den konkreten Bestimmungen bleibt die kommende Rechtsverordnung abzuwarten. Nichtsdestotrotz sollten Unternehmen der Entsorgungsbranche, welche noch kein ISMS, BCM und auch keine Cyber-Resilienz implementiert haben, zeitnah handeln. PwC unterstützt Sie schon jetzt dabei, entsprechende Maßnahmen zu implementieren, die auch im Zuge der Veröffentlichung der entsprechenden Verordnung Bestand haben.

Transport und Verkehr

Die Transport- und Verkehrsinfrastruktur ist aktuell ebenfalls gefährdet. Im Bereich der Logistik sollte beispielsweise ein besonderer Schutz von Dual-Use-Gütern und Ausrüstung erfolgen. Dabei geht es insbesondere auch um die weitere Schaffung von Sicherheitsnetzwerken. Wir unterstützen Sie hier in allen Belangen mit branchenspezifischer Kenntnis der unterschiedlichen Verkehrsträger sowie Ihrer kritischen Anlagen.

Wasser

Insbesondere die Wasserversorgung dürfte künftig verstärkt in den Fokus aktueller, realer Bedrohungslagen rücken. Hier unterstützen wir unter anderem bei der Validierung von Information-Security-Management-Systemen (ISMS) und Notfallplänen. Dabei berücksichtigen wir bei KRITIS-Prüfungen sowohl die Überarbeitung des branchenspezifischen Sicherheitsstandards (B3S) Wasser als auch mögliche alternative Prüfgrundlagen.

Mehr erfahren

UBI

Unternehmen von besonderem öffentlichem Interesse (UBI) sind von überragender Bedeutung für die öffentliche Sicherheit und eine gesamtstaatliche Resilienz. Neben dem Schutz wichtiger Unternehmen ist insbesondere eine reibungslose Governance zwischen den Cyber-Behörden des Bundes essenziell. Der noch junge KRITIS-Sektor UBI nimmt innerhalb der KRITIS-Verordnung eine Sonderstellung ein und unterliegt besonderen regulatorischen Rahmenbedingungen. Im Zusammenhang mit UBIs sind Betroffenheitsanalysen herausfordernd, da hier nicht die üblichen Schwellenwerte wie in anderen Sektoren entscheidend sind.

Simulation von Cyberattacken auf KRITIS

Mit dem kürzlich in Frankfurt eröffneten Cyber Security Experience Center lässt sich hautnah erleben, wie sich Cyberangriffe auf die IT-Infrastruktur auswirken und mit welchen Abwehrmaßnahmen sich informationstechnische Systeme wirksam schützen lassen. Die dort simulierten Kritischen Infrastrukturen helfen KRITIS-Betreibern im Umgang mit Cyberattacken in einem sich verändernden Spannungsfeld geopolitischer Rahmenbedingungen.

PwCs Cyber Security Experience Center in Frankfurt

Was bedeutet die geopolitische Lage für den Schutz Kritischer Infrastrukturen?

Vernetzte Hardware, die Abhängigkeit von Daten und Softwarelösungen sowie ständig neue Angriffsvektoren – Kritische Infrastrukturen sind durch potenzielle Cyberangriffe ebenso gefährdet, wie andere Unternehmen. Insbesondere in der aktuellen geopolitischen Lage stellen solche digitalen Angriffsziele eine erhöhte Gefahr dar und es zeigt sich einmal mehr: Der Schutz Kritischer Infrastrukturen wird künftig bedeutender denn je. Doch wie gelingt die Absicherung der hochkomplexen IT-Systeme und worauf kommt es an? Erfahren Sie in unserem Flyer, wie Sie unser interdisziplinäres Team bei den anstehenden Herausforderungen unterstützen kann – und das über alle KRITIS-Sektoren hinweg.

Download Flyer (PDF, 0,7 MB)

Follow us

Contact us

André Glenzer

André Glenzer

Partner, PwC Germany

Tel.: +49 211 981-2918

Hide