In unserer Blogreihe „sicher & resilient“ möchten wir Ihnen einen Überblick über die neuen Anforderungen aus dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dem KRITIS-Dachgesetz und dem Cyber Resilience Act (CRA) geben. Wir beleuchten dabei die Synergien dieser Regelwerke und zeigen praktische Herausforderungen für den Umsetzungs- und Auditierungsprozess auf.
Die Sicherheit kritischer Infrastrukturen und digitaler Produkte steht in Deutschland vor einem fundamentalen Wandel. Mit dem NIS2UmsuCG, dem KRITIS-Dachgesetz und dem CRA wird ein umfassender Rechtsrahmen geschaffen, um den Herausforderungen einer zunehmend vernetzten und bedrohten Welt zu begegnen. Cyberangriffe auf Krankenhäuser, Energieversorger sowie andere kritische Infrastrukturen und öffentliche Einrichtungen haben in den letzten Jahren drastisch zugenommen. So meldete das BSI für 2024 einen deutlichen Anstieg schwerer Sicherheitsvorfälle – Schadprogramme um 26 %, hochvolumige DDoS-Angriffe um 13 % – im Vergleich zu den Vorjahren (siehe BSI-Lagebericht 2024). Beispiele wie der Angriff auf die Universität Duisburg-Essen oder der Angriff auf die Wasserversorgung mehrerer Bundeswehreinrichtungen verdeutlichen die Verwundbarkeit und die gesellschaftlichen Auswirkungen solcher Vorfälle (vgl. Ziegler 2024¹).
Nationale Gesetzgebung
Der Gesetzgeber reagiert auf diese Bedrohungen mit Regelwerken, die sowohl organisatorische als auch technische und produktbezogene Sicherheitsanforderungen adressieren. Während das NIS2UmsuCG die Betreiber kritischer und wichtiger Infrastrukturen verpflichtet, ein umfassendes Informationssicherheits-Managementsystem (ISMS) mit Fokus auf Cybersicherheit zu implementieren, zielt das KRITIS-Dachgesetz darauf ab, physische Resilienzmaßnahmen zu etablieren (vgl. Weissmann 2024). Ergänzend stellt der CRA sicher, dass digitale Produkte, insbesondere IoT-Geräte, über ihren gesamten Lebenszyklus hinweg gegen Cyberangriffe geschützt sind (vgl. BSI CRA 2024).
Die Kombination dieser Regelwerke schafft ein mehrschichtiges Sicherheitskonzept: Das NIS2UmsuCG legt organisatorische Grundlagen für Sicherheitsprozesse und Risikomanagement fest. Betreiber müssen Sicherheitsvorfälle innerhalb von 24 Stunden melden und Krisenreaktionspläne bereithalten (siehe EU 2024). Das KRITIS-Dachgesetz erweitert diese Anforderungen um physische Schutzmaßnahmen, wie Zugangskontrollen und Notfallpläne für Versorgungsunterbrechungen (vgl. Weissmann 2024). Parallel dazu sorgt der CRA für die Sicherheit von Technologien, die u. a. in kritischen Infrastrukturen eingesetzt werden, und verpflichtet Hersteller zu regelmäßigen Sicherheits-Updates sowie zu Dokumentationspflichten.
Synergien und Herausforderungen
Die Synergien dieser Regelwerke zeigen sich besonders in sektorspezifischen Anwendungen: Im Wassersektor etwa müssen Betreiber nicht nur ihre SCADA-Systeme gegen Cyberangriffe absichern (NIS2UmsuCG), sondern auch physische Anlagen wie Pumpwerke schützen (KRITIS-Dachgesetz). Gleichzeitig müssen intelligente Zähler und Steuerungssysteme in Zukunft den Anforderungen des CRA entsprechen. Im Gesundheitswesen ergänzen sich die Vorschriften ebenfalls: Krankenhäuser müssen IT-Systeme und Patientendaten schützen, während medizinische Geräte, etwa MRT-Scanner, nach dem CRA ab 2027 sicherheitszertifiziert sein müssen.
Trotz der klaren Struktur ergeben sich für Unternehmen, Konformitätsbewertungsstellen (KBS) und Behörden erhebliche Herausforderungen. Die technologische Komplexität, insbesondere bei der Integration von IT- und OT-Systemen, erfordert spezialisierte Fachkräfte und umfangreiche Ressourcen (vgl. Ziegler 2024¹). Gleichzeitig stellen die unklare politische Situation im Kontext der Neuwahlen und kurze Umsetzungsfristen – der CRA ist z. B. am 10.12.2024 in Kraft getreten und die Verpflichtungen gelten ab dem 11.12.2027 umfassend – Unternehmen vor zeitlichen Druck. Auch die Synchronisierung der Anforderungen, insbesondere bei Audits und Zertifizierungen, verlangt eine klare Strategie.
Dennoch bieten diese Regelwerke auch Chancen. Unternehmen, die frühzeitig in Sicherheitsmaßnahmen investieren, können nicht nur gesetzliche Anforderungen erfüllen, sondern sich auch Wettbewerbsvorteile durch robuste Resilienzstrategien verschaffen. Die Integration der Vorgaben in bestehende Managementsysteme, bspw. im Kontext bestehender Zertifizierungen nach ISO/IEC 27001 oder Anforderungen gemäß §8a BSIG, vereinfacht die Umsetzung (vgl. Mapping-Tabellen von z. B. OpenKRITIS, der British Standards Institution).
Das Zusammenspiel von NIS2UmsuCG, KRITIS-Dachgesetz und CRA legt den Grundstein für eine zukunftssichere Cybersicherheitsarchitektur in Deutschland. Der ganzheitliche Ansatz erfordert von Unternehmen jedoch frühzeitige Investitionen in Prozesse, Technologien und Schulungen.
Im zweiten Beitrag unserer Blogreihe „sicher & resilient“ geht es um die Anforderungen und die Umsetzung des NIS2UmsuCG.
Weitere Teile der Blogreihe „sicher & resilient“:
- Anforderungen und Umsetzung des NIS2UmsuCG – Teil 2
- das KRITIS-Dachgesetz – Teil 3
- Cyber Resilience Act – Produktsicherheit und Herstellerpflichten – Teil 4
- Auditierung, Konformitätsbewertung und die Rolle der Konformitätsbewertungsstellen (KBS) – Teil 5
- Herausforderungen und Chancen durch die neuen Regelwerke – Teil 6
¹Ziegler, N. 2024. Die Umsetzung der NIS-2-Richtlinie in Deutschland. 48. DAFTA, Forum 8, 2024