HomeAllgemeinKRITIS-Dachgesetz: Eine Analyse der neuen Regulierung für kritische Infrastrukturen

KRITIS-Dachgesetz: Eine Analyse der neuen Regulierung für kritische Infrastrukturen

Die Bedrohung kritischer Infrastrukturen nimmt unaufhaltsam zu

Wir haben in den letzten Jahren erlebt, wie Ereignisse mit verheerenden Folgen zunehmend komplexer werden und sich oft gegenseitig verstärken.

Es gibt verschiedene Sektoren im Bereich kritischer Infrastrukturen, von Energie über IT bis hin zur Logistik. Diese Sektoren sind eng miteinander verbunden, so dass Ausfälle in einem Bereich schwerwiegende Auswirkungen auf andere Bereiche und letztendlich auf die gesamte Wertschöpfungskette haben können. Trotz dieser Verflechtungen gibt es in Deutschland bisher keine sektorübergreifende Regelung für kritische Infrastrukturen außerhalb des IT-Sicherheitsbereichs.  

Gerne unterstützen wir euch
Das neue KRITIS Dachgesetz

Die Anforderungen des KRITIS Dachgesetzes

Erstmalig wird mit dem KRITIS-Dachgesetz eine umfassende Regelung für verschiedene Sektoren wie Energie, Transport, Finanzwesen, Gesundheit und weitere eingeführt.  

Dieses Gesetz ergänzt bestehende Regelungen im Bereich der IT-Sicherheit kritischer Infrastrukturen und berücksichtigt alle möglichen Risiken, sei es durch Naturereignisse oder menschliches Versagen (“All-Gefahren-Ansatz”), wie z.B. Unwetter oder Sabotageakte. 

Das KRITIS-Dachgesetz, das ab 2024 in Deutschland in Kraft tritt, ist ein bedeutender Schritt zur Stärkung der Resilienz und physischen Sicherheit dieser entscheidenden Einrichtungen. Es zielt darauf ab, die EU-Direktive EU RCE durch zusätzliche Verpflichtungen für Betreiber kritischer Anlagen zu implementieren, und wird parallel zum NIS2-Umsetzungsgesetz eingeführt, das die neue EU NIS 2 Direktive für Cybersecurity umsetzt. 

Was gibt es Neues?

Das KRITIS-Dachgesetz bringt eine Reihe neuer Verpflichtungen für Betreiber kritischer Anlagen mit sich. Diese umfassen Meldepflichten, Business Continuity Management (BCM), physische Sicherheitsmaßnahmen, Personalanforderungen und Krisenmanagement. Es definiert klar die Sektoren und Einrichtungen, die von den Vorschriften betroffen sind, und erweitert die Zuständigkeiten der Aufsichtsbehörden, einschließlich des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK). 

 

Wer zählt zu den kritischen Anlagen?

Das KRITIS-Dachgesetz betrifft alle kritischen Infrastrukturen und legt fest, welche Unternehmen und Einrichtungen verpflichtet sind, Resilienzmaßnahmen zum physischen Schutz der Gesamtwirtschaft zu ergreifen. Es definiert zwei Kriterien für die Erfassung: 

  • Die Einrichtung ist essenziell für die Gesamtversorgung in Deutschland. 
  • Sie versorgt mehr als 500.000 Personen. 

Wenn diese Bedingungen erfüllt sind, werden sie als “kritische Anlagen” gemäß dem KRITIS-Dachgesetz eingestuft. Das Gesetz berücksichtigt auch die gegenseitigen Abhängigkeiten der kritischen Infrastrukturen. Beispielsweise sind alle anderen Sektoren vom Energiesektor abhängig, und Wasser sowie Transportwege sind für viele andere Sektoren unverzichtbar. 

Ein wichtiger Aspekt des Gesetzes ist die Identifikation und Registrierung von Betreibern kritischer Anlagen. Unternehmen müssen sich selbst identifizieren und beim BBK registrieren, wobei bestimmte Kriterien und Schwellenwerte berücksichtigt werden. Diese Registrierungspflicht geht mit der Verpflichtung einher, innerhalb bestimmter Fristen Risikoanalysen durchzuführen, Resilienzmaßnahmen umzusetzen und Nachweise zu erbringen. 

Schwerpunkte des Gesetzes

Das KRITIS-Dachgesetz legt besonderen Wert auf die Stärkung der Resilienz von Betreibern kritischer Anlagen. Es fordert von ihnen die Durchführung von Risikoanalysen, die Umsetzung geeigneter Resilienzmaßnahmen und die Entwicklung von Resilienzplänen. Betreiber müssen auch Nachweise über ihre Sicherheitsvorkehrungen erbringen und im Falle von Sicherheitsvorfällen unverzüglich Meldung erstatten. 

Was wird also gefordert?

Um die angestrebten Ziele zu erreichen, müssen die Betreiber kritischer Anlagen auf die spezifischen Risiken ihrer Anlagen mit maßgeschneiderten Maßnahmen reagieren und diese in Resilienzplänen festhalten. Eine solide Grundlage dafür bilden Risikoanalysen und -bewertungen, die regelmäßig sowohl von staatlicher Seite als auch von den Betreibern in den relevanten Sektoren durchgeführt werden, wie vom KRITIS-Dachgesetz vorgesehen. 

Das Gesetz fordert von den Betreibern angemessene und verhältnismäßige Maßnahmen zur Zielerreichung. Aufgrund der Vielfalt der Sektoren können diese Maßnahmen stark variieren. Es ermöglicht den Betreibern auch, gemeinsam mit Branchenverbänden Standards festzulegen, um zu klären, was in ihrem jeweiligen Sektor oder ihrer Branche als geeignete Maßnahme gilt. Dadurch werden Mindeststandards festgelegt und Lücken geschlossen, wobei bestehende Regelungen in den Sektoren erhalten bleiben. 

Um Redundanzen und Bürokratie zu vermeiden, sollen bereits vorhandene Maßnahmen, die aufgrund anderer gesetzlicher Vorgaben ergriffen werden müssen, durch eine Äquivalenzprüfung anerkannt werden. 

Das KRITIS-Dachgesetz sieht auch die Einrichtung eines zentralen Meldepunkts für erhebliche Störungen vor, der das bestehende Meldewesen im Bereich der IT-Sicherheit kritischer Infrastrukturen ergänzen soll. 

Des Weiteren soll die Zusammenarbeit aller Beteiligten bei kritischen Infrastrukturen institutionalisiert werden, wobei die Verantwortlichkeiten der verschiedenen Akteure klarer herausgearbeitet werden sollen. Das Bundesamt für Bevölkerungsschutz (BBK) soll eine koordinierende Rolle bei der Umsetzung des KRITIS-Dachgesetzes übernehmen und eng mit den zuständigen Bundesaufsichtsbehörden zusammenarbeiten. 

Wer übernimmt die Aufsicht?

Die Aufsicht über die Einhaltung der Vorschriften obliegt dem BBK, das befugt ist, Audits durchzuführen und bei Verstößen gegen das Gesetz Sanktionen zu verhängen. Bußgelder können bei Nichterfüllung von Pflichten oder Verstößen gegen die Vorschriften verhängt werden, wobei die genaue Höhe der Bußgelder noch festgelegt werden muss. 

Unser Ausblick

Das KRITIS-Dachgesetz wird voraussichtlich im Oktober 2024 in Kraft treten, nachdem es verschiedene Entwurfsstufen durchlaufen hat. Es wird fünf Jahre nach Inkrafttreten evaluiert werden, um seine Wirksamkeit zu überprüfen und gegebenenfalls Anpassungen vorzunehmen. 

Es ist wichtig, dass sich Betreiber kritischer Anlagen frühzeitig auf die neuen Anforderungen vorbereiten. Ein umfassendes Verständnis der Gesetzeslage sowie die rechtzeitige Implementierung erforderlicher Maßnahmen sind entscheidend, um den Schutz kritischer Infrastrukturen zu gewährleisten und potenzielle Risiken zu minimieren. 

Das KRITIS-Dachgesetz markiert einen wichtigen Schritt in Richtung eines ganzheitlichen Ansatzes zum Schutz kritischer Infrastrukturen. Durch die Integration von digitalen und physischen Sicherheitsmaßnahmen wird eine umfassende Resilienz gegenüber modernen Bedrohungen ermöglicht. 

 

Abkürzungen: 

Das Bundesamt für Bevölkerungsschutz (BBK) 

Gerne unterstützen wir Euch

Ich möchte erfahren, was ihr für uns tun könnt

Die wichtigsten Informationen und Meldungen für Ihr Unternehmen? 

Hier. 

Linkedin

Hier unterstützen wir Euch

Security Information and Event Management (SIEM)
Weiterlesen
Penetration Testing
Weiterlesen
Sicherheitsprüfung für Software
Technische Überprüfungen
Weiterlesen
Informationssicherheits Beratung
Weiterlesen
ISMS Managementsysteme
Weiterlesen
Interim Management im Bereich IT
Weiterlesen
Risikomanagement
Weiterlesen
Informationssicherheits­beauftragter
Weiterlesen
Security und IT-Compliance Audits
Weiterlesen
Technische IT-Sicherheitsberatung
Weiterlesen
Systemhärtung
Weiterlesen