Neue KRITIS-Regelungen (bisher KRITIS-Dachgesetz) betreffen bis zu 30 000 deutsche Unternehmen

Auch wenn der zukünftige Name des nationalen Gesetzes zur Sicherheit kritischer Infrastrukturen noch nicht feststeht, ist der letzte Entwurf des Gesetzes unter dem Namen „KRITIS-Dachgesetz (KRITIS-DachG)“ zu finden. Das Gesetz setzt die EU RCE Directive durch zusätzliche Pflichten für Betreiber kritischer Anlagen in nationales Recht um und regelt die physische Sicherheit und Widerstandsfähigkeit von Betreibern kritischer Infrastrukturen. Es zielt darauf ab, die Resilienz von Unternehmen, die als kritische Infrastrukturen eingestuft sind, zu stärken. Die betroffenen Betreiber verschiedener Sektoren müssen Resilienzmaßnahmen ergreifen sowie zusätzliche Formalien wie Registrierung, Meldungen und Nachweise erfüllen.

Das Gesetz formuliert sektorübergreifende Ziele, fordert regelmäßige Risikoanalysen und -bewertungen und verlangt geeignete sowie verhältnismäßige Maßnahmen von den Betreibern, um die vorgegebenen Ziele zu erreichen. Indem es Zuständigkeiten regelt, die Zusammenarbeit der Akteure strukturiert und sektorübergreifende Regelungen schafft, soll die neue Gesetzgebung das Auftreten von Vorfällen verhindern und einen angemessenen physischen Schutz der Liegenschaften und kritischen Anlagen gewährleisten.

Am 06.11.2024 hat die Bundesregierung den von der Bundesministerin des Innern und für Heimat vorgelegten Entwurf für das KRITIS-Dachgesetz beschlossen. Allerdings kamen die ehemaligen Ampel-Parteien vor den Neuwahlen nicht mehr zu einer Einigung, weshalb das Gesetz nicht verabschiedet wurde. Nun bleibt abzuwarten, wann und unter welchem Namen die von der EU vorgegebene Regelung in nationales Gesetz umgesetzt wird. Sicher ist nur, dass eine zügige Umsetzung erforderlich ist.

Die neue Gesetzgebung führt bundeseinheitliche Regelungen für den physischen Schutz kritischer Infrastrukturen ein und legt Mindeststandards fest. Unter der Federführung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) werden verschiedene Bundes- und Landesbehörden die Aufsicht und Überwachung übernehmen. Das KRITIS-DachG erweitert die bestehende KRITIS-Regulierung um zusätzliche Pflichten für Betreiber kritischer Anlagen, wie Meldepflichten, Krisen- und Risikomanagement, Business Continuity Management (BCM), Personalsicherheit und physische Sicherheit. Bei Verstößen drohen Bußgelder. Das Gesetz erfordert außerdem regelmäßige Risikoanalysen und -bewertungen von den Betreibern.

Die neue Gesetzgebung, ehemals bekannt als KRITIS-Dachgesetz, betrifft Organisationen oder Einrichtungen mit zentraler Bedeutung für das staatliche Gemeinwesen und die Bevölkerung, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu zählen Unternehmen aus folgenden Sektoren: betrifft Organisationen oder Einrichtungen mit zentraler Bedeutung für das staatliche Gemeinwesen und die Bevölkerung, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu zählen Unternehmen aus folgenden Sektoren:

• Energie
• Transport und Verkehr
• Finanzwesen
• Gesundheit
• Wasserversorgung
• Abfallentsorgung
• Telekommunikation und IT
• Ernährung
• Raumfahrt
• Öffentliche Bundesverwaltung

Unternehmen, die bestimmte Kriterien erfüllen, werden im Rahmen der neuen Gesetzgebung, die auf der europäischen EU RCE Directive beruht, als kritische Anlagen eingestuft. Unter diese Kriterien fällt zum Beispiel eine maßgebliche Rolle bei der Gesamtversorgung in Deutschland und die Versorgung von mehr als 500.000 Menschen. Zusätzlich können ggf. besondere Bestimmungen als Einstufungskriterium greifen, beispielsweise nach dem Marktanteil des Betreibers, dem betroffenen geografischen Gebiet oder dem Ausmaß der Abhängigkeit von anderen KRITIS-Sektoren. Die meisten Betreiber potenziell kritischer Infrastrukturen müssen selbst prüfen, ob ihr Unternehmen unter die neue KRITIS-Gesetzgebung fällt und sich gegebenenfalls bei einer Registrierungsbehörde melden.

Gemäß der neuen Gesetzgebung müssen Unternehmen folgende Maßnahmen ergreifen, um die Vorgaben einzuhalten:

– Auf Grundlage einer Risikobewertung konkrete Maßnahmen identifizieren, um das Unternehmen gegen mögliche Risiken abzusichern.

– Maßnahmen zur Stärkung der physischen Sicherheit in einem Resilienzplan festhalten und technisch umsetzen.

– Regelmäßige Risikoanalysen durchführen, um die Sicherheit der kritischen Infrastruktur dauerhaft zu schützen.

Betreiber kritischer Anlagen sind verpflichtet, geeignete und verhältnismäßige technische, sicherheitsrelevante und organisatorische Maßnahmen zur Gewährleistung der erforderlichen Resilienz zu treffen. Diese Maßnahmen sollen dem Stand der Technik entsprechen und sowohl Maßnahmen zur Verhinderung kritischer Vorfälle als auch Maßnahmen zu einer angemessenen Reaktion auf kritische Vorfälle umfassen.

Das KRITIS-Gesetz ergänzt das IT-Sicherheitsgesetz (NIS2-Richtlinie). Während sich die NIS2-Richtlinie in erster Linie auf die IT-Sicherheit konzentriert, zielt die neue KRITIS-Gesetzgebung auf den physischen Schutz von kritischen Anlagen ab. Das Gesetz basiert auf einem "All-Gefahren-Ansatz", der alle denkbaren Risiken abdecken soll, einschließlich Naturkatastrophen, menschlichem Versagen und Sabotage. Es erweitert somit den Fokus auf die physische Sicherheit im Bereich kritischer Infrastrukturen.

Weitere Infos hierzu finden Sie auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI).sowie auf den Seiten des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Betreiber von Organisationen aus dem Bereich der kritischen Infrastrukturen sind dazu verpflichtet, Störungen innerhalb von 24 Stunden an die jeweilige Meldestelle der aufsichtführenden Behörde zu melden. Anschließend sollten schnellstmöglich sämtliche Maßnahmen umgesetzt werden, um Schutz und Sicherheit bzw. das Funktionieren der Infrastruktur zu erhalten oder wiederherzustellen.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) unterstützt die Betreiber kritischer Infrastrukturen bei der Umsetzung zum Schutz ihrer Systeme. Es prüft außerdem, ob die Vorgaben zum Schutz kritischer Infrastrukturen erfüllt wurden. Bei Nichterfüllen können Bußgelder verhängt werden. Unternehmen können sich bereits jetzt durch die Umsetzung entsprechender Maßnahmen auf die Anforderungen des Gesetzes vorbereiten, insbesondere durch eine Risikoanalyse- bzw. Risikobewertung.

Bei Verstößen gegen KRITIS-Regelungen drohen Bußgelder. Die Einhaltung der Vorgaben wird von der jeweiligen aufsichtsführenden Behörde überwacht, und bei Nichterfüllen können entsprechende Sanktionen verhängt werden. Auf welche Beträge sich diese belaufen, wird erst final mit Inkrafttreten der neuen KRITIS-Gesetzgebung definiert.

Unternehmen können sich vorbereiten, indem sie möglichst zeitnah entsprechende Maßnahmen umsetzen. Im ersten Schritt sollten sie ihre Zugehörigkeit zu kritischen Infrastrukturen prüfen. Anschließend erfolgt ein technische Risikoanalyse, um mögliche Schwachstellen zu identifizieren. Basierend auf diesen Erkenntnissen ist ein ganzheitliches Sicherheitskonzept zu entwickeln, mit dem sie die maßgeblichen Standards einhalten können. Betreiber kritischer Infrastrukturen müssen außerdem Notfallpläne erstellen und regelmäßig aktualisieren.

Als Anbieter von ganzheitlicher Gebäudetechnik unterstützt Bosch Energy and Building Solutions Unternehmen bei der Umsetzung der Richtlinien der neuen Gesetzgebung. Unser Co-Creation-Prozess hilft Ihnen dabei, Ihre Liegenschaften zu schützen und die gesetzlichen Anforderungen zu erfüllen. Das Konzept umfasst die Konzeption ebenso wie die Entwicklung von Sicherheitsmaßnahmen, die Umsetzung und die kontinuierliche Überwachung.