NET 6-7/2025

40 www.net-im-web.de 06-07/25 Weißbücher enthalten grundsätzlich Vor- schläge fürMaßnahmen der EU in definierten Bereichen. Es soll damit die Debatte mit allen Beteiligten / Betroffenen inGang gesetzt wer- den. Als Zielsetzung gilt die Konsensfindung für die Lösung anstehender Probleme. Das oben angeführte Weißbuch weist in seiner Struktur folgende Säulen auf: • Schaffung des 3 C [connected collabo- rative computing] – Netzes • Vollendung des digitalen Binnenmarktes • Sichere und resiliente Infrastrukturen in Europa Die für diesen Beitrag relevante dritte Säule umfasst dabei dieThemen Breitband, digitale Konnektivität, Cyber Security und 5G/6G. Aus dieser wurde als Rechtsakt der Digital Infrastructure Act (DIA) abgeleitet, der sys- tembedingt für alle EU-Staaten gilt. Er soll durch Präventionen gegen Cyberangriffe und Stärkung der Stabilität und Cybersicherheit von KRITIS die Sicherheit und Resilienz verbessern, weil dies für die EU aus wirt- schaftlichen und politischen Gründen von größter Bedeutung ist. Dabei geht es auch um Lösungen gegen Risiken, Schwachstellen und Abhängigkeiten im Bereich KRITIS. KRITIS-Dachgesetz Da bei Vorgaben der EU stets die Um- setzung in nationales Recht erforderlich ist, wurde am 5. Dezember 2024 die erste Lesung des „Entwurfs eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ (20/139/61) durchgeführt und mit dem Arbeitstitel „KRITIS-Dachgesetz“ zur weiteren Bearbeitung an die Ausschüsse überwiesen. Federführend ist der Ausschuss für Inneres und Heimat. Das Gesetz soll Ende 2025 in Kraft treten. Bisher gilt bereits folgende KRITIS-Regulierung: BSI-Gesetz Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Ziel- setzung: Förderung der Sicherheit in der Informationstechnik. Die Aufgaben: • Abwehr von Gefahren für die Sicherheit der Informationstechnik. • Sammlung und Auswertung von Infor- mationen über Sicherheitsrisiken und Sicherheitsvorkehrungen. • Anwendung der Informationstechnik sowie Entwicklung von Sicherheits- vorkehrungen. • Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und Bewertung der Sicherheit informations- technischer Systeme. • Prüfung und Bewertung sicherheits- technischer Systeme. • Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheits- managementsystemen. IT-Sicherheitsgesetz (IT-SIG) Gesetz zur Erhöhung der Sicherheit infor- mationstechnischer Systeme. Es stärkt die Arbeit des BSI als Cybersicherheitsbehörde des Bundes durch neue Kompetenzen in folgenden Bereichen: • Detektion und Abwehr • Cybersicherheit in Mobilfunknetzen • Verbraucherschutz • Sicherheit für Unternehmen • Nationale Behörde für Cybersicherheits- zertifizierung KRITIS-Verordnungen Konkretisieren die Vorgaben aus dem BSIG und definieren Schwellenwerte und Anlagen bei KRITIS-Betreibern. Cyber Resilience Act (CRA) Cyber Resilience-Verordnung EU2024/2847 vom 10.12.2024. Es regelt Sicherheitsan- forderungen digitaler Produkte (Hardware und Software) gegen Cyberangriffe. NIS 2 Das NIS 2 (network and information security directive, version 2) regelt Cybersicherheit in Unternehmen und Institutionen. Durch das KRITIS-Dachgesetz soll das Problemfeld der Sicherheit und Resilienz digitaler Netze umfänglich ergänzt werden, um die Regelungsbedarfe für folgende Be- reiche abzudecken: • Software • Hardware • Grundstücke und Gebäude • Zugriff auf Systeme und Anlagen • Zugang in KRITIS-Bereiche Für diese gelten nachfolgende Anmerkun- gen: • Es müssen stets alle aktuellen Versionen der für KRITIS eingesetzten Software bekannt sein. Aus Sicherheitsgründen sollte bei dieser SoftwareVerschlüsselung zum Einsatz kommen und auch ein Backup zur Verfügung stehen. • Die zur KRITIS gehörende Hardware muss präzise dokumentiert sein, um bei Störungen / Ausfällen schnell reagieren zu können. • Es ist für die Grundstücke und Gebäude eine durchgängige Überwachung (also 24/7) erforderlich, um mögliche Sabo- teure frühzeitig identifizieren zu können. • Durch geeignete Verfahren muss sicher- gestellt werden, dass nur autorisiertes Personal auf Systeme und Anlagen der KRITIS zugreifen kann. • Die physische Sicherheit der KRITIS- Bereiche kann durch mechanische, elektronische und/oder automatische Zugangslösungen in Verbindung mit einem leistungsstarken Service realisiert werden. Im KRITIS-Dachgesetz sind auch umfang- reiche Vorgaben für KRITIS-Betreiber vor- gesehen. Dazu gehören: • Risikomanagementprozesse installieren • Cyber-Bedrohungen minimieren • Strenge Verwaltung von Zugriffsrechten • Sensitive Daten verschlüsseln • Notfall-Strategien im Falle von Cyber- Angriffen etablieren, um bei diesen den Betrieb der KRITIS aufrechtzuerhalten. • Meldung sicherheitsrelevanter Vorfälle. Bei der nationalen Umsetzung des DIA in das KRITIS-Dachgesetz fließen auch Er- kenntnisse und Anregungen des Gremiums europäischer Regulierungsstellen für elek- tronische Kommunikation (GEREK) ein. Digital Infrastructure Act für digitale Kabelnetze