Liebe Leserinnen und Leser,

herzlich willkommen zur Mai-Ausgabe unseres KRITIS-Newsletters. Wir melden uns wie gewohnt mit Neuigkeiten aus der Welt der kritischen Infrastrukturen. 

Brandaktuell ist in aller Munde der massive Stromausfall auf der iberischen Halbinsel. Frankreich und Portugal waren stark betroffen, Spanien musste sogar den Notstand ausrufen. Die Ursachenanalyse läuft noch, aber es ist schon jetzt anzumerken, dass ein gutes Krisenmanagement im Energiesektor vorhanden war. Es gab eine Netztrennung, sodass der Vorfall lokal eingedämmt werden konnte und es nicht zu einem europaweiten Blackout kam. Das bestehende ENTSO-e-Verbundnetz, in dem sich die ca. 40 Übertragungsnetzbetreiber gemeinsam koordinieren, um ein stabiles Europa-Stromnetz sicherzustellen, konnte in dem Fall erfolgreich genutzt werden. Ebenso funktionierten die notwendigen Abläufe, um schrittweise Regionen wieder in den stabilen Betrieb mit einzugliedern.

Lückenhaft war jedoch leider die Resilienz in der Wirtschaft, bei den kritischen Infrastrukturen und in der Bevölkerung. Es kam zu Ausfällen von Fahrstühlen, Telekommunikation und Mobilfunk, Flughäfen, Zügen, U- und S-Bahnen, aber auch von Ampelanlagen, Geldausgabeautomaten und Rundfunksendern. Supermärkte konnten nur anhand von Bargeld den Verkauf aufrechterhalten, da die elektronischen Kassen nicht mehr funktionierten. Ladenlokale konnten nicht abgeschlossen werden, da elektronische Rolltore nicht funktionsfähig waren, und vieles mehr. Panik-Hamsterkäufe führten wieder zu Toilettenpapiermangel, aber auch andere Produkte wurden in den Supermärkten ausverkauft.

Nach einem Cyberangriff klang das so gar nicht, da ein solch langanhaltender und überregionaler Ausfall mit einem mehrere Sekunden andauernden Oszillieren der Strom-Frequenz eher mit naturbedingten und ggf. technischen Ursachen einhergehen, aber es wurde viel darüber spekuliert – warum eigentlich? Naturereignisse sind erfahrungsgemäß viel gravierender in ihren Auswirkungen, technische Probleme dafür oftmals komplexer und schwieriger zu bewältigen.

Wir lernen mal wieder: Cybersicherheit (wie sie die NIS-2-Richtlinie fordert) und physische Sicherheit (u. a. nach dem KRITIS-Dachgesetz) sind essenziell für die Versorgung der Bevölkerung. Ein wirksames BCM und Krisenmanagement haben für die Kritischen Infrastrukturen daher besondere Bedeutung.

https://www.deutschlandfunk.de/spanien-ruft-wegen-massivem-stromausfall-notstand-aus-102.html

https://www.tagesschau.de/ausland/europa/stromausfall-spanien-portugal-100.html

https://www.br.de/nachrichten/deutschland-welt/bundesnetzagentur-stromausfall-wie-in-spanien-unwahrscheinlich

HiGuide EU CER Directive (KRITIS-Dachgesetz)

In unserem HiGuide zum KRITIS-Dachgesetz erklären wir die wesentlichen Punkte zum physischen Schutz von kritischen Infrastrukturen. Es wird seitens der EU dabei von einer dynamischen Bedrohungslage ausgegangen, die sowohl hybride als auch terroristische Gefahren und hohe physische Risiken durch Naturereignisse und den Klimawandel umfasst. Die Anforderungen und Maßnahmen dazu beschreiben wir in diesem Beitrag.

https://www.hisolutions.com/detail/higuide-eu-cer-richtlinie-eu-2022-2557

Sektorspezifische Fragen und Antworten zu NIS-2

Das BSI hat die sektorspezifischen FAQ zum bisherigen Gesetzesentwurf des NIS2UmsuCG auf die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) umgearbeitet, um weiterhin Hilfestellung zu bieten.

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Sektorspezifische-FAQ/NIS-2-Sektorspezifische-FAQ_node.html

Grund für diese Änderung ist das Scheitern des NIS2UmsuCG aufgrund des Diskontinuitätsprinzips nach der Bundestagswahl. Damit hat der Gesetzesentwurf formal keine Relevanz mehr. Gleiches gilt leider auch für das KRITIS-Dachgesetz, bis die neue Legislatur neue Entwürfe einbringt.

https://www.heise.de/news/NIS2-Umsetzung-und-Kritis-Dachgesetz-endgueltig-gescheitert-10259832.html

HiGuide EU Ai Act

In diesem HiGuide erläutern wir den EU AI Act. Dabei gehen wir auf die unterschiedlichen Umsetzungsfristen,  Festlegungen und den Anwendungsbereich, das Risikomanagementsystem sowie die Anforderungen an Hochrisiko-KI-Systeme ein.

https://www.hisolutions.com/detail/higuide-ai-act

ENISA NIS360 2024

Die ENISA hat einen Bericht zum Reifegrad und der Kritikalität der KRITIS-Sektoren in der EU herausgebracht, der interessante Einblicke bietet.

„The NIS360 is a new ENISA product that assesses the maturity and criticality of sectors of high criticality under the NIS2 Directive, providing both a comparative overview and a more in-depth analysis of each sector. The NIS360 is designed to assist Member States and national authorities in identifying gaps and prioritising resources. Our analysis is based on data from national authorities with a horizontal or sectorial mandate, data from companies within the in-scope sectors, and insights from EU-level sources such as Eurostat.“

https://www.enisa.europa.eu/publications/enisa-nis360-2024

HiWay Podcast: NIS-2: Aus Pflicht wird Kür – Manuel Atug über Chancen, Pflichten und Sicherheit für Unternehmen

„Viele Unternehmen sehen in NIS-2 vor allem zusätzliche Bürokratie – dabei geht es um weit mehr: NIS-2 soll Unternehmen schützen und stärken. Eine Bitkom-Studie zeigt, dass Cybersicherheitsdefizite der deutschen Wirtschaft jährlich 267 Milliarden Euro Schaden zufügen.” 

In Folge 6 unserer Podcast-Serie HiWay diskutiert Moderatorin Valerie Knapp mit dem Experten Manuel Atug, wie gezielte Maßnahmen und Schulungen helfen, Prozesse zu optimieren, Risiken zu minimieren und den digitalen Wandel aktiv mitzugestalten.

https://www.youtube.com/watch?v=4_P8CwtqcIM

Heise Online "NIS-2: Schulungspflicht für Geschäftsleitungen"

Die NIS-2-Regulierung verlangt IT-Risikomanagement-Schulungen für die Geschäftsleitungsebene. In diesem frei verfügbaren Fachartikel erklären wir, was die Anforderungen dafür sind, und wie diese erfüllt werden können.

https://www.heise.de/hintergrund/NIS2-Schulungspflicht-fuer-Geschaeftsleitungen-10302035.html

Wer mehr Details haben möchte, kann diese in der iX 4/2025 auf Seite 92 oder online hier nachlesen: https://www.heise.de/select/ix/2025/4/2504514404945077473

IT-Panne: Hunderte Personen arbeiten mit veralteten Sicherheitschecks an deutschen AKWs

Der Rückbau mehrerer Atomkraftwerke in Schleswig-Holstein wird derzeit offenbar ohne vorgesehene Sicherheitsüberprüfungen vorgenommen. Die Landesregierung teilte mit, dass die Verlängerung von hunderten Überprüfungen teilweise schon seit mehreren Monaten ausstehe. Die Arbeiten an den AKWs laufen dabei anscheinend einfach weiter. Schuld ist eine IT-Panne, bei der das Verfahren und der betroffene Server ausgefallen sind und vom Dienstleister nicht vollständig wiederhergestellt werden konnten.

https://www.heise.de/news/IT-Panne-Hunderte-Sicherheitsueberpruefungen-fuer-norddeutschen-AKW-Rueckbau-fehlen-10356595.html

Cyberangriff führt zu Verzögerungen bei Südafrikas größtem Hühnerproduzenten

Ein Cyberangriff bei Astral Foods verursachte Ausfälle bei der Verarbeitung und bei den Lieferungen an die Kunden, was zu Umsatzeinbußen und Lieferrückständen führte. Insgesamt entgingen Astral Foods nach eigenen Angaben dadurch Gewinne im Wert von etwa 20 Millionen Rand, also rund einer Million Euro.

https://therecord.media/cyberattack-delays-south-african-chicken-producer

BSI-Studie: Zahlreiche Schwachstellen in Krankenhausinformationssystemen

Das BSI hat auf Basis der Ergebnisse einer Studie einen umfangreichen Entwurf für Handlungsempfehlungen zur Sicherheit von Krankenhausinformationssystemen herausgeben. Interessierte können diesen noch bis Ende Juni 2025 kommentieren.

https://www.heise.de/news/BSI-Studie-Zahlreiche-Schwachstellen-in-Krankenhausinformationssystemen-10333354.html

Diagnose Datenleck: Sicherheitslücke bei Rehakliniken legt hunderttausende Patientendaten offen

Patientendaten wie Berichte und Diagnosen sollten nach Stand der Technik in den Krankenhäusern geschützt sein und dieses Vertrauen muss den Patientinnen widergespiegelt werden. Niemand möchte seine Krebserkrankung oder Depressionen öffentlich einsehbar haben. Leider waren bei zahlreichen deutschen Rehakliniken hunderttausende Patientendaten ohne Authentifizierung im Internet abrufbar.

https://www.heise.de/select/ct/2025/5/2503112000914901106

Nach Cyberangriff auf LUP-Kliniken: Offenbar Patientendaten gestohlen

Durch einen Ransomware-Angriff auf die LUP-Kliniken im Landkreis Ludwigslust-Parchim wurden Daten abgegriffen – welche genau, ist allerdings noch unklar. Daten aus dem zentralen Krankenhaus-Kommunikationssystem waren offenbar nicht direkt betroffen.

https://www.ndr.de/nachrichten/mecklenburg-vorpommern/Nach-Cyberangriff-auf-LUP-Kliniken-Offenbar-Patientendaten-gestohlen,lupkliniken102.html

Cyber-Hilfswerk: Version 1.2 des CHW-Konzepts veröffentlicht

Das Konzept zur Steigerung der Bewältigungskapazitäten in Cyber-Großschadenslagen durch ehrenamtliche Digitale Ersthelferinnen wurden von der AG KRITIS auf Version 1.2 gehoben und veröffentlicht. Es wurden primär mögliche Notfall-Szenarien betrachtet und einzelne Szenarien und KRITIS Sektoren dafür mit den vielfältigen Einsatzmöglichkeiten des CHW analysiert und dargelegt, um einen praxisnahen Überblick zu bieten. Das sind die ersten Schritte, um zukünftig konkrete Empfehlungen zur Ausrüstung und den Einsatzaufgaben zu erarbeiten.

https://ag.kritis.info/2025/04/24/version-1-2-des-chw-konzept-veroeffentlicht/

IT-Grundschutz-Profil für kleine und mittlere Flughäfen

Das BSI hat Mindestanforderungen an die Cybersicherheit zur Erhöhung der Resilienz bei kleinen und mittleren Flughäfen definiert.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Profil_kleine_mittlere_Flughaefen.html

HiSolutions Know-how to go: IT-Sicherheitsregulierung in Gegenwart und Zukunft - KRITIS, NIS-2 & DORA

Die IT-Sicherheitsregulierung ist im stetigen Wandel und daher herausfordernd für viele Betroffene. Erfahren Sie alles über die neuesten Entwicklungen und Herausforderungen, um für die Zukunft gut aufgestellt zu sein. Unsere Experten bieten Ihnen wertvolle Einblicke in die aktuellen Cyber-Gesetzgebungen wie NIS-2, KRITIS-Dachgesetz und DORA, und zeigen Ihnen, wie Sie diese effizient umsetzen können. Von der Automatisierung von Cloud Compliance über die Auswirkungen der DORA auf IKT-Drittdienstleister bis hin zu praxisnahen Ansätzen zur Erfüllung der NIS-2-Anforderungen – diese Veranstaltung deckt alle relevanten Themen ab! Seien Sie dabei und bereiten Sie sich optimal auf die Zukunft der IT-Sicherheit vor!

Die Teilnahme an unserem Wissensfrühstück ist kostenfrei.

Wann: 12.06.2025 | Wo: Berlin

https://www.hisolutions.com/knowhow