“安全且有韧性”：KRITIS 保护伞法 – 第三部分

fabiha01

在我们的博客系列“安全与弹性”的第三部分中，我们将探讨KRITIS 保护伞法，该法于 2024 年 11 月 6 日作为政府草案通过，但尚未颁布为法律。

KRITIS 总体法律通过扩大对德国关键基础设施安全性和弹性的要求，补充了《NIS 2 实施和网络安全加强法案》（NIS2UmsuCG，政府草案） 。 NIS2UmsuCG 专注于网络安全和组织保护措施，而 KRITIS 保护伞法则更进一步，还整合了物理弹性措施，以防止自然灾害、破坏和停电。

该图显示了受 KRITIS 保护伞法和 NIS2UmsuCG 影响的行业。
图：自己的插图
关键基础设施（KRITIS）包括其故障会对公共安全和供应造成严重后果的部门。其中包括能源供应、供水、运输和交通、医疗保健和金融市场。 KRITIS 总体法进一步区分了这些领域，并增加了数字基础设施、社会保障和废物处理等新领域。

该图为根据 KRITIS 总体法第 13 条所采取的复原力措施概述表。
图：自己的插图
风险分析、恢复力规划和危机准备
该法律的核心要素是进行风险分析和恢复力规划的义务。运营商必须评估威胁情景并制定应急计划来防御物理和数字攻击。这包括通过访问控制、监控系统和关键流程的冗余来保护营业场所的安全。例如，自来水厂必须确保其 SCADA（监控和数据采集）系统免受网络攻击，同时在物理上防止破坏（参见KRITIS 保护伞法草案）。

另一个重点是危机防范。关键基础设施的运营商必须记录并定期测试不同情况下的应急措施。其中包括在遭受攻击时可以激活的备份系统以及 IT 和 OT 系统的恢复策略。定期进行应急演习的义务可确保员工为危机情况做好准备，并确保升级流程顺利进行（请参阅有关 KRITIS 保护伞法的 BMI）。

该法律还要求与当局合作。运营商必须向联邦信息安全局（BSI）或联邦民防和灾害控制局（BBK）以及负责的国家当局报告恢复措施和事件。特别是在发生大规模袭击或灾难时，公司必须与危机团队密切合作。为了能够对人身威胁做出适当的反应，警察和消防队的参与也发挥了作用。

当现有系统融入现代安全概念时，挑战尤其突出。许多 KRITIS 运营商拥有较旧的基础设施，这些基础设施并非针对当前的威胁情景而设计的。这尤其适用于 OT 和 IT 系统的集成，其中安全漏洞通常是通过过时的接口实现的。

因此，KRITIS 总体法的实施需要采取战略方针：首先，公司应对所有相关系统进行盘点，加拿大商业传真列表 并找出物理和数字安全措施中的弱点。随后，必须制定涵盖技术和组织措施的保护概念。例如，这包括使用视频监控、门禁系统和自动报警系统来保护建筑物和设施的安全。

通用标准（例如 ISO/IEC 27001）的整合也可以促进实施。这些标准为制定危机管理策略和确保业务连续性提供了最佳实践。此外，渗透测试和漏洞分析可以提供有关安全概念漏洞的信息。

我们特别重视员工的培训。模拟攻击和实弹演习可以定期测试危机管理并优化升级计划。此外，应加强与外部顾问和安全服务提供商的合作，以便从最佳实践和新技术中受益。

KRITIS 保护伞法不仅仅是一项监管要求——它构成了将物理威胁和数字威胁同等考虑在内的整体安全战略的基础。尽早实施要求的公司不仅可以保护其业务连续性，还可以通过认证和审计赢得客户和合作伙伴的信任。

NIS2UmsuCG 与 KRITIS 保护伞法的结合使运营商能够全面整合安全措施，从而建立强大的抵御复杂威胁场景和攻击媒介的能力。

在我们的博客系列“安全与弹性”的第四篇文章中，我们探讨了《网络弹性法案》（CRA）。

“安全与弹性”博客系列的其他部分：
NIS2UmsuCG、KRITIS 保护伞法和网络弹性法案 (CRA) – 第一部分
NIS2UmsuCG 的要求和实施 – 第 2 部分
网络弹性法案 – 产品安全和制造商义务 – 第四部分
审计、合格评定和合格评定机构（CAB）的作用 - 第 5 部分
新法规带来的挑战与机遇——第六部分