KRITIS Dachgesetz Geschäftskunden
Was ist das KRITIS Dachgesetz?
In aller Kürze: Das geplante KRITIS-Dachgesetz legt bundeseinheitliche Mindeststandards für den Schutz kritischer Infrastrukturen fest. Es wurde nötig, da es bisher keine einheitlichen bundesrechtlichen Regelungen für den physischen Schutz kritischer Infrastrukturen gab.
Ziel des Gesetzes ist es, die Widerstandsfähigkeit der Unternehmen zu erhöhen, die für die Versorgungsicherheit essenziell sind. Und zwar so, dass sie ihren Betrieb sogar bei Vorfällen aufrechterhalten können. Auch wenn die Versorgungssicherheit grundsätzlich eine staatliche Aufgabe ist, sind die Unternehmen in erster Linie selbst verantwortlich für ihren Schutz – das künftige KRITIS-Dachgesetz soll nun erstmalig die Zuständigkeiten der unterschiedlichen Beteiligten regeln.
Welche Unternehmen sind KRITIS?
Wenn ein Ausfall oder eine Störung im Betrieb zu dramatischen Folgen für die Bevölkerung und/oder die nationale Sicherheit führen würde, gelten Unternehmen als kritische Infrastruktur.
Das KRITIS-Dachgesetz nennt hier die Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung, Grundsicherung für Arbeitssuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung.
Aber: Ob ein konkretes Unternehmen oder eine konkrete Anlage tatsächlich als KRITIS betrachtet wird, hängt vom Versorgungsgrad ab. Schwellenwerte – wie z.B. die Patientenzahl in einem Krankenhaus oder die produzierte Jahresmenge an Strom – legen fest, ob ein bedeutender Versorgungsgrad vorliegt. Wenn ja, gelten für die Betreiber besondere Melde- und Nachweispflichten. Wenn sich ein Unternehmen als kritische Infrastruktur identifiziert, müsste es sich laut dem künftigen KRITIS Dachgesetz innerhalb von drei Monaten selbstständig registrieren.
Gilt das KRITIS Dachgesetz schon?
Noch nicht. Am 6. November 2024 hat das Bundeskabinett den Entwurf zum KRITIS-Dachgesetz (konkret: dem „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“) beschlossen und ins parlamentarische Verfahren eingebracht.
Das heißt: Das Gesetzgebungsverfahren läuft noch – das Gesetz ist noch nicht rechtsgültig verkündet. Dennoch ist spätestens jetzt der richtige Zeitpunkt für Unternehmen, sich auf das Gesetz vorzubereiten. Die Erstellung eines zukunftsfähigen Sicherheitskonzeptes braucht Zeit – und ist mit Investitionen verbunden.
Welche Pflichten haben KRITIS Unternehmen?
Gesetzgeber den Betreibern kritischer Infrastrukturen nur vor, „geeignete und verhältnismäßige“ Maßnahmen umzusetzen. Welche organisatorischen und technische Vorkehrungen das genau sind, wird voraussichtlich über branchenspezifische Sicherheitsstandards geregelt werden.
Das IT-Sicherheitsgesetz regelt die Pflichten etwas genauer. Laut BSI-Gesetz (BSIG) und BSI-Kritisverordnung sind Betreiber beim Thema „Netzwerk-Sicherheit“ verpflichtet,
- eine Kontaktstelle für die betriebene Kritische Infrastruktur zu benennen,
- IT-Störungen oder erhebliche Beeinträchtigungen zu melden,
- IT-Sicherheit auf dem „Stand der Technik“ umzusetzen
- und dies alle zwei Jahre gegenüber dem BSI nachzuweisen.
Neben dem KRITIS-Dachgesetz hat das Bundesinnenministerium außerdem einen Entwurf für ein Umsetzungs- und Cybersicherheitsstärkungsgesetz für NIS 2 (NIS2UmsuCG) erarbeitet.
Vor welchen Bedrohungen müssen sich KRITIS Unternehmen schützen?
Die Bedrohungslage wird stetig ernster: Damit Unternehmen auf möglichst viele Szenarien vorbereitet sind, soll das neue KRITIS Dachgesetz sowohl natürlich als auch menschengemachte Gefahren abdecken. KRITIS Unternehmen müssen gewappnet sein gegen Bedrohungen wie
- Klimaereignisse und Naturkatastrophen: Stürme, Starkregen, Hochwasser, Dürre, Erdbeben
- Einbruch, Vandalismus
- Sabotage, Spionage, Terroranschläge
- Menschliche Fehler, technische Defekte
Was ist wichtiger: physische Sicherheit oder IT-Sicherheit?
Aufgrund der zunehmenden Angriffe auf IT-Netzwerke dreht sich die Sicherheitsdebatte heute oft um das Thema Cybersecurity. Doch: Der Schutz kritischer Infrastrukturen erfordert nicht nur digitale Sicherheitsmaßnahmen, sondern auch einen starken Fokus auf physische Sicherheit. Sie dient dazu, unbefugten Zutritt, Sabotage und andere Gefahren abzuwehren, die den Betrieb und die Funktionsfähigkeit essenzieller Einrichtungen gefährden könnten.
Was bedeutet KRITIS für die Energie- und Wasserversorgung?
Ohne eine störungsfreie Trinkwasserversorgung und Abwasserbeseitigung würde unser Wirtschafts- und Sozialsystem nicht funktionieren. Wasser- und Energieversorger stehen dabei von zwei Seiten unter Druck: Einerseits sind Privathaushalte, Wirtschaft und andere KRITIS-Sektoren von ihrer Funktionstüchtigkeit abhängig, andererseits sind sie selbst von einer intakten Stromversorgung abhängig, denn ohne Strom laufen Pumpen und Netzdruckanlagen nicht.
Um Betreiber von Energie- und Wasserwerken in dieser komplexen Lage zu unterstützen, hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zwei Empfehlungen zur Sicherheit der Trinkwasserversorgung herausgegeben. Sie befassen sich mit den Themen „Risikoanalyse“ und dabei mit Szenarien wie Naturgefahren, Kriminalität, Terrorismus und Krieg sowie „Notfallvorsorgeplanung“ mit Hinweisen zur Planung einer Ersatz- und Notwasserversorgung.
Die Empfehlungen zur Sicherheit der Trinkwasserversorgung stehen auf der Seite des BBK zum Download bereit.
Wie kann man sein KRITIS Unternehmen vorbereiten?
Damit Ihr Unternehmen den Anforderungen des künftigen KRITIS-Dachgesetzes gerecht werden kann, ist ein strukturiertes Vorgehen entscheidend:
- Überprüfen Sie als erstes, ob Ihr Unternehmen gemäß KRITIS-Dachgesetz als kritische Infrastruktur eingestuft wird.
- Bleibt Ihr Unternehmen unter den im Gesetz festgelegten Schwellenwerten? Eine Risikoanalyse kann trotzdem sinnvoll sein – manchmal wird sie sogar von den Behörden empfohlen.
- Checken Sie, ob bestehende gesetzliche Vorgaben einer Äquivalenzprüfung unterliegen. Sie ermöglicht es KRITIS-Betreibern, vorhandene Maßnahmen und Zertifikate anzurechnen. Die Investitionen für Ihr Unternehmen können sich dadurch reduzieren.
- Sobald die Risikobewertung abgeschlossen ist, geht es an die zügige, rechtskonforme Umsetzung: Die Sicherheits-Fachleute von Schmid Alarm unterstützen Sie gern!