Die Bundesregierung hat einen Entwurf für das KRITIS-Dachgesetz beschlossen. Wir beleuchten in aller Kürze den Hintergrund und was bei Verabschiedung des Gesetzes in dieser Form auf Organisationen zukommt.
Warum ein KRITIS-Dachgesetz?
Bisher waren die Anforderungen an die Sicherheit kritischer Infrastrukturen in Deutschland in diversen Gesetzen und Verordnungen geregelt, darunter vor allem das IT-Sicherheitsgesetz aber auch branchenspezifische Regelungen. Diese Fragmentierung hat sich als ungünstig erwiesen.
Mit dem KRITIS-Dachgesetz als Umsetzung der EU-Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER Richtlinie) soll es nunmehr ein zentrales und einheitliches Regelwerk geben. Ziel ist es, Sicherheitsstandards zu harmonisieren und klare Anforderungen an die Resilienz und den Schutz vor Angriffen und Ausfällen festzulegen.
Wer ist vom KRITIS-Dachgesetz betroffen?
Angesprochen und verpflichtet werden nur Betreiber kritischer Anlagen bestimmter Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Ernährung, IT und Telekommunikation, Weltraum sowie Abfallentsorgung und Sozialversicherung.
Der Adressatenkreis des KRITIS-Dachgesetzes ist damit deutlich kleiner als etwa im Zusammenhang mit der NIS2-Richtlinie.
Was fordert das KRITIS-Dachgesetz?
Ziel ist der physische Schutz, also die Widerstandsfähigkeit gegen Naturkatastrophen, Sabotage, Terrorismus oder sonstige Störungen. Es geht also nicht um IT-Systeme, Netzwerke und die Cybersicherheit.
Das KRITIS-Dachgesetz sieht ähnliche Pflichten vor, wie in anderen Regelungen zur Erhöhung der Sicherheit:
- Risikobewertungen und Risikoanalysen: Betreiber müssen Gefahren systematisch erfassen und bewerten.
- Resilienzpläne: Auf Basis der Analysen müssen Resilienzpläne erstellt werden, die Maßnahmen zum Schutz, zur Reaktion und zur Wiederherstellung nach Vorfällen enthalten.
- Resilienzziele und Mindestanforderungen: Das Gesetz definiert sektorenübergreifende Mindeststandards, die per Rechtsverordnung konkretisiert werden können.
- Meldepflichten: Betreiber müssen Störungen melden; die Informationen fließen in nationale Risikoanalysen ein.
- Es wird auch hier ein gestuftes System der Aufsicht mit Prüfungen, Kontrollen und Nachweispflichten geben.
Was kommt auf betroffene Organisationen zu?
Das neue Gesetz wird nicht annähernd so viele Organisationen und Unternehmen betreffen, wie andere neuere Vorgaben, etwa NIS2 oder DORA. Wer nicht als kritische Einrichtung eingestuft wird, ist nicht adressiert.
Wer am Ende angesprochen wird, dürfte jedoch schnell vor großen Herausforderungen stehen. Betroffene Organisationen werden die bestehenden Sicherheitsstrategien und -maßnahmen überarbeiten und neue Prozesse etablieren müssen:
- Investitionen in Sicherheitstechnologien und Prozesse werden unvermeidlich sein.
- Mitarbeiter sind zu schulen und zu sensibilisieren.
- Die Zusammenarbeit mit Behörden und Partnern wird beleuchtet und gegebenenfalls angepasst werden müssen.
- Veränderungen bei Bedrohungen und Technologien sind zu beobachten und es muss auf solche auch reagiert werden.
Typischer Beratungsbedarf für Organisationen
Der Beratungsbedarf dürfte bei vielen KRITIS-Unternehmen steigen:
- Durchführung und Implementierung von Risikoanalysen sowie der Identifizierung und Bewertung von Schwachstellen
- Auswahl, Planung und Umsetzung geeigneter Sicherheitsmaßnahmen
- Entwicklung und Durchführung von Schulungen zur Sensibilisierung der Mitarbeiter hinsichtlich Cybersicherheit und der neuen KRITIS-Vorgaben.
- Notfallmanagement und Krisenreaktion: Entwicklung und Implementierung von Notfallplänen, einschließlich Vorgehensweisen zur schnellen Reaktion auf Sicherheitsvorfälle.
- Compliance und Audit: Sicherstellung der Einhaltung gesetzlicher Anforderungen und Vorbereitung auf Audits, um die erforderlichen Nachweise der KRITIS-Compliance erbringen zu können.
Dass es auch für nicht direkt angesprochene Organisationen aber möglicherweise ebenfalls sehr angebracht ist, über die eigene physikalische Resilienz nachzudenken, steht auf einem anderen Blatt.