Bislang lag der Fokus beim Schutz der kritischen Infrastrukturen häufig auf Cybersecurity. Mit der nächsten Gesetzesnovelle rückt nun der physische Zugang stärker ins Bewusstsein. Neben einer erneuten Ausweitung der KRITIS-Definition sollen auch strengere Prüfvorschriften etabliert werden.
Nicht zuletzt aufgrund des Angriffskrieges auf die Ukraine und der daraus resultierenden Folgen für Deutschland und andere europäische Staaten ist der Schutz kritischer Infrastrukturen nochmals stärker in den Fokus staatlicher Stellen gerückt. Schon in den vergangenen Jahren wurden entsprechende Vorschriften immer wieder angepasst. Zum Teil wissen Unternehmen noch gar nicht, dass sie inzwischen unter den Begriff der Kritische Infrastrukturen (KRITIS) fallen.
Wer ist „KRITIS“?
Die Definition des Gesetzgebers klingt zunächst recht allgemein: Kritische Infrastrukturen sind demnach Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Mit dem IT-Sicherheitsgesetz 2.0 vom Mai 2021 und der zweiten Novelle der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) weitete die Bundesregierung den Geltungsbereich einschlägiger Vorschriften und Gesetze zur Sicherung von Unternehmen der kritischen Infrastruktur („KRITIS“) in Deutschland aus. Zehn Wirtschaftssektoren und eine gesonderte Kategorie bildeten seitdem die Grundlage für die Zuordnung zu KRITIS:
- Informationstechnik & Telekommunikation,
- Gesundheit,
- Energie,
- Wasser,
- Ernährung,
- Finanz- & Versicherungswesen,
- Transport & Verkehr,
- Siedlungsabfall-Entsorgung
- Staat & Verwaltung,
- Medien & Kultur, und
- Unternehmen im besonderen öffentlichen Interesse.
Doch auch nach der Ergänzung im vergangenen Jahr blieben noch etliche Fragen offen, etwa die Bestimmung der Betriebsgröße, ab welcher Unternehmen der Abfallentsorgung als „Kritische Infrastruktur“ gelten. Nun sollen mit dem KRITIS-Dachgesetz und weiteren Neuregelungen der Geltungsbereich erneut ausgeweitet und die Anforderungen verschärft werden.
Erstmals KRITIS-Dachgesetz
Die bislang bekanntgewordenen Eckpunkte des neuen KRITIS-Dachgesetzes greifen verschiedene Aspekte auf, die bislang nicht ausreichend berücksichtigt wurden. So verweist der aktuelle Entwurf https://intrapol.org/wp-content/uploads/2022/11/Eckpunkte-fuer-ein-KRITIS-Dachgesetz-Stand-25.11.2022.pdf darauf, dass gesetzliche Regelungen mit explizitem Bezug zum physischen Schutz spezifischer Kritischer Infrastrukturen sich nur vereinzelt und in unterschiedlicher Qualität in Fachgesetzen finden, oft mit unterschiedlichen Zielsetzungen. Teils ergeben sich Schutzvorschriften nur mittelbar aus anderen Regelungen, Normen und Standards, etwa aus bautechnischen Vorschriften.
Mit dem geplanten Gesetz wird nun zum ersten Mal das Gesamtsystem zum physischen Schutz Kritischer Infrastrukturen in den Blick genommen und gesetzlich geregelt, so dass zusammen mit dem Cyberschutz von Kritischen Infrastrukturen ein kohärentes und resilientes System von Vorschriften und Anforderungen entsteht. Auch in die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) wird das Gesetz eingebettet. Aus diesem Grund kommt beispielsweise zu den oben genannten Sektoren noch die Raumfahrt hinzu.
Generell verspricht der Entwurf eine systematische und umfassende Identifizierung aller besonders schützenswerten Kritischen Infrastrukturen. Über die Festlegung von Definitionen, Sektoren, kritischen Dienstleistungen sowie Schwellenwerten soll dieses Ziel erreicht werden. Erstmals wird die Bedeutung eines Unternehmens nicht nur für Deutschland, sondern auch für den europäischen Raum berücksichtigt. Es kann daher davon ausgegangen werden, dass bald noch mehr Unternehmen als bisher als kritische Infrastruktur eingestuft werden.
Systemwechsel bei der Aufsicht
Eine bedeutende Änderung, mit der sich KRITIS-Unternehmen auseinandersetzen müssen, ist die neue Rolle, die künftig die Aufsichtsbehörden einnehmen. Bislang verfolgten diese einen kooperativen Ansatz, geben Hinweise, Richtlinien und Handlungsanweisungen in Form von „Best-Practise“-Leitfäden.
Mit dem KRITIS-Dachgesetz werden verpflichtende Schutzstandards für die physische Sicherheit eingeführt, darüber hinaus ein Meldewesen für Sicherheitsvorfälle. Neben technischen sind von den Unternehmen auch organisatorische Vorkehrungen zu treffen. Unter den möglichen Maßnahmen nennt der Entwurf unter anderem die Errichtung von Zäunen und Sperren, den Einsatz von Detektionsgeräten, Zugangskontrollen und Sicherheitsüberprüfungen.
Die Verantwortung für diesen Bereich wird dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übertragen. Dieses werde die „vorgesehenen Mindestvorgaben für Resilienzmaßnahmen beaufsichtigen und durchsetzen“. Das BBK wird also künftig explizite Kontrollen durchführen und aufgedeckte Verstöße sanktionieren. Dann könnten KRITIS-Unternehmen Bußgelder drohen, wenn sie die physische Sicherheit nicht ausreichend gewährleisten.
Wie sich KRITIS-Unternehmen vorbereiten können
Noch sind das KRITIS-Dachgesetz und die begleitenden Gesetze und Vorschriften erst in Vorbereitung. Sie sollen im Lauf des Jahres 2023 verabschiedet werden und in Kraft treten. Doch angesichts der politischen Weltlage sollten Verantwortliche die Sicherheit des eigenen Unternehmens nicht erst dann auf den Prüfstand stellen.
ASSA ABLOY unterstützt Sie bei der Überprüfung des aktuellen Schutzniveaus mit der „Checkliste: Ist der Zugang zu meiner Kritischen Infrastruktur sicher?“ Diese orientiert sich am Basisschutzkonzept des Bundes, separiert die relevanten Teile und ergänzt diese um einige Fragestellungen, wie etwa zum Thema Zutrittsberechtigungen, der Berücksichtigung besonderer Witterungsverhältnisse oder wie mit einer großen Zahl von Einrichtungen an unterschiedlichen Standorten umzugehen ist. Auf diese Weise können Sie potenzielle Schwachstellen aufdecken und eliminieren.
Eine praxisnahe Beschreibung, wie eine elektronische Schließlösung das Sicherheitsniveau für kritische Infrastrukturen verbessert, bietet das eBook „Zutrittskontrolle für Stadtwerke“. Es zeigt zudem Wege auf, Zutrittskontrolle, Rettungswegtechnik und Barrierefreiheit miteinander in Einklang zu bringen.
Weitere Informationen für KRITIS-Verantwortliche bietet der ASSA-ABLOY-Blog für Kritische Infrastrukturen. Hier finden Fachexperten Informationen zu Normen, Richtlinien, Flucht- und Rettungswege und Gesamtlösungen rund um die Tür.