Sie beschäftigen sich gerade intensiv mit der Verordnung des BSI zum Schutz Kritischer Infrastrukturen? Zu diesem Thema habe ich meinen Kollegen Matthias Reidans zu mir gebeten. Kannst du ein bisschen Licht ins Dunkel bringen, was die neuesten Entwicklungen angeht?
Matthias Reidans: Das hoffe ich doch, dass uns das gelingt. Denn das Dickicht, der Dschungel nimmt zu. Der Gesetzgeber hat nachgelegt. Es gibt neue Fristen, neue Inhalte, neue Controls. Und auch ein neues DACH-Gesetz, was jetzt im Dezember 2022 im Entwurf veröffentlicht wurde. Hier wird auch noch einiges passieren. Das heißt auch die KRITIS-Verordnung wird sich ausdifferenzieren und auch an anderen Verordnungen orientieren. Sie haben auch den Cyber Resilience Act zum Beispiel, Cyber Security Act. Sie haben noch andere Verordnungen auf EU-Ebene, die dann auch national nochmal durchdekliniert wurden. Diese ganzen Verordnungen sind für sie relevant und eben die neuen Fristen.
Wie sehen die neuen Fristen genau aus? Was hat sich da getan?
Matthias Reidans: Also entscheidend denke ich ist, dass sich für Sie jetzt in Bezug auf KRITIS erstmal an der Tatsache, dass Sie alle 2 Jahre den Stand der Technik nachweisen müssen, nichts geändert hat. Bis auf den Sonderfall, wenn Sie eine Energieanlage betreiben. Die Bundesnetzagentur ist hierfür zuständig. Da gibt es ein hartes Datum, das ist Ende Q1 2024 für Energieanlagenbetreiber. Also, das hat sich an der Stelle geändert. Aber die ISO, auch die ISO 27001 / 002 sind für Sie relevant. Ein wichtiger Baustein auch beim Thema KRITIS. Und die ISO wurde jetzt auch in 2022 zweimal aktualisiert. Das heißt dort sind neue Fristen. Die laufen allerdings mit beiden ISOs dann für Sie, für den Februar 2024 in die Prüfung. Da müssen Sie sich vorbereiten.
Wie sieht dann das Zusammenspiel zwischen der NIS-2 und den ISO 27001 / 27002-Zertifizierungen aus?
Matthias Reidans: Ich möchte Ihnen Mal mit einer Metapher antworten. Stellen Sie sich vor Sie haben die NIS-2, so als Vorderachse. Und haben dann ihre Vorderachse in einem guten Zustand. Sie haben den TÜV vor sich. Und dann gehen Sie jetzt mit der Hinterachse, mit der ISO noch zusätzlich ins Rennen, bereiten sich auf die TÜV-Prüfung vor, kriegen Ihre Plakette, sind durch. Also, das heißt, es sind wichtige Bausteine, Elemente bei Ihrer KRITIS-Prüfung. Die NIS-2, sowohl als auch die ISO 27001.
Für den Finanzsektor kommt dann noch eine weitere Zertifizierung, DORA, dazu. Richtig?
Matthias Reidans: Ja, die DORA, auch wieder eine ganz neue Verordnung, der Digital Operational Resilience Act. Diese auch wieder auf EU-Ebene. Zunächst Mal quasi vorformuliert, aber national auch sehr, sehr wichtig hier für die Finanzbranche. Und diese DORA-Bestimmungen und die UP KRITIS – Sie wissen ja bei der KRITIS-Verordnung haben Sie auch den Finanzsektor mit eigenen Schwellwerten und Kategorien vor sich – die entsprechenden Controls sind noch nicht harmonisiert. Da muss man ein bisschen Geduld haben. Das werden wir dann sehen. In welcher Art und Weise sich das an der Stelle ausdifferenziert.
Weitere Infos zum Thema gesetzeskonform & sicher gemäß KRITIS-Verordnung finden Sie hier.