Mit dem KRITIS-Dachgesetz schafft der Gesetzgeber erstmals eine bundesgesetzliche Regelung für den physischen Schutz von Kritischen Infrastrukturen. Gleichzeitig wird mit dem Gesetz die EU-Richtlinie über die Resilienz kritischer Einrichtungen umgesetzt. Erfahren Sie jetzt alles Wichtige über die kommenden KRITIS-Anforderungen und ob Ihr Unternehmen davon betroffen ist.
Das KRITIS-Dachgesetz soll ab 2024 die Resilienz sowie die physische Sicherheit von Kritischen Infrastrukturen erhöhen. Hieraus ergeben sich Pflichten für Betreiber wie Meldepflichten, Personal- und Krisenmanagement und die Verstärkung physischer Sicherheitseinrichtungen.
Die europäische CER-Richtlinie zur Regulierung Kritischer Infrastrukturen wird mit dem KRITIS-Dachgesetz als nationales Recht umgesetzt. Informationspflichten und andere Regelungen sollen mit dem Gesetz verschärft werden. Im Frühjahr 2024 liegt ein zweiter überarbeiteter Entwurf des KRITIS-Dachgesetzes als sogenannter Referentenentwurf vor. Das Gesetz soll aber erst im Oktober 2024 in Kraft treten.
Das KRITIS-Dachgesetz betrifft verschiedene Betreiber Kritischer Infrastrukturen und Anlagen. Betroffen vom neuen Gesetz sind etwa Betreiber von Anlagen in den Bereichen Energie, Transport und Verkehr, aber auch Betriebe des Finanzsektors oder des Gesundheitswesens.
Die Identifikation als Betreiber Kritischer Infrastrukturen muss durch die betroffenen Unternehmen selbst erfolgen. Nach der Identifikation müssen sich diese innerhalb von drei Monaten als kritische Anlage selbstständig registrieren. Das soll über eine Registrierungsmöglichkeit des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe und des Bundesamtes für Sicherheit in der Informationstechnik geschehen.
Die Einstufung als kritischer Betrieb ist nicht immer einfach. Der Ende 2023 veröffentlichte zweite KRITIS-Dachgesetzentwurf sieht ähnlich wie die KRITIS-Verordnung zusätzlich einen Schwellenwert vor. Dieser betrifft die Einwohner, die der Betreiber versorgen muss. Sobald die Versorgung von 500.000 Personen direkt betroffen ist, erfasst das KRITIS-Dachgesetz diese Betreiber als kritisch.
Die zuständigen Behörden können jedoch auch andere Unternehmen als Betreiber Kritischer Infrastrukturen bestimmen. Das ist möglich, wenn das Unternehmen in mehreren Mitgliedstaaten von Europa tätig ist. Auch andere Betreiber kann der Gesetzgeber per Rechtsverordnung und aufgrund von Risikoanalysen und Risikobewertungen als kritisch einstufen.
Diese Sektoren müssen in Zukunft Anforderungen des KRITIS-Dachgesetzes umsetzen:
Für einige Betreiber soll das KRITIS-Dachgesetz verschiedene Abweichungen und Ausnahmen erlauben. Hierzu gehört etwa der Bereich Entsorgung, für den EU-Vorgaben entfallen sollen. Der Bereich IT und Telekommunikation soll von Risikoanalysen und Resilienzmaßnahmen ausgenommen sein.
Auch im Bereich Bankwesen sollen Abweichungen von Risikoanalysen, Meldewesen oder EU-Vorgaben gelten. Der Sektor Finanzwesen und Versicherung soll ebenso von Risikoanalysen und anderen Maßnahmen befreit sein. Teils weitreichende Sonderregelungen gelten zudem für Bundesbehörden, beispielsweise in den Bereichen Strafverfolgung, Verteidigung und Sicherheit.
Unternehmen, die vom KRITIS-Dachgesetz betroffen sind, müssen eine Reihe von Maßnahmen verpflichtend umsetzen. Hierzu gehören eine umfassende Risikoanalyse und entsprechende Bewertungen von Liegenschaften, die regelmäßig wiederholt werden müssen. Die Risikoanalyse umfasst etwa gebäudetechnische Anlagen, deren Sicherheitsstatus und mögliche Angriffspunkte.
Auch Resilienzmaßnahmen gehören zu den Pflichten, die Betreiber kritischer Anlagen als KRITIS-Anforderungen künftig erfüllen müssen. Die Umsetzung betrifft etwa den angemessenen physischen Schutz von Liegenschaften und Kritischen Infrastrukturen durch Zäune oder andere Sperren. Auch eine Überwachung sowie Zugangskontrollen sind durch geeignete Maßnahmen zu gewährleisten.
Ein Resilienzplan muss sicherstellen, dass sämtliche Maßnahmen zur Erhöhung der Resilienz ausreichend dokumentiert sind. Der Plan soll die Betrachtungen bei der Auswahl geeigneter Maßnahmen sowie Risikoanalysen darlegen. Bezüglich der Resilienzpläne ist eine Nachweisführung durch den Betreiber gegenüber dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe vorgesehen.
Eine Äquivalenzprüfung soll es Betreibern kritischer Anlagen ermöglichen, vorhandene Maßnahmen zur Erhöhung der Sicherheit sowie Zertifikate wirksam anzurechnen. Auf diese Weise können Betreiber bereits vorhandene Risikoanalysen oder Risikobewertungen nachweisen und einbringen. Das ist von Vorteil, wenn Analysen und Maßnahmen aufgrund anderer Verpflichtungen erstellt wurden.
Betreiber kritischer Anlagen können bereits jetzt Maßnahmen ergreifen, um künftige KRITIS-Anforderungen zu erfüllen. Hierzu gehört vor allem der Ausbau der physischen Sicherheitsvorkehrungen in kritischen Sektoren. Das lässt sich beispielsweise mit einer elektronischen Schließanlage von ASSA ABLOY umsetzen, die die Sicherheit bedeutend verbessert und selbst komplexe Berechtigungsstrukturen ermöglicht.
Elektronische Schließanlagen erhöhen den Schutz kritischer Systeme durch verschiedene Eigenschaften. Hierzu gehört die Möglichkeit, individuelle Zugangsrechte flexibel anzupassen. Auch die sofortige Sperrung bei Schlüsselverlust erhöht die Sicherheit in kritischen Bereichen. Zudem schaffen die Anlagen verschiedene Möglichkeiten wie flexible Zugangszeitfenster.
Das schlüsselbasierte elektronische Schließsystem eCLIQ von ASSA ABLOY lässt sich bei Bedarf mit dem Zutrittskontrollsystem SCALA kombinieren. Die Schlüsselausgabe wie auch Zutrittsrechte werden dabei in einer Benutzeroberfläche kombiniert. Wie elektronische Schließanlagen den Schutz kritischer Anlagen gezielt verbessern, erklärt Peter Schippel, Business Development Manager KRITIS: [Video einfügen]
Das KRITIS-Dachgesetz ist Stand Frühjahr 2024 noch nicht in Kraft getreten, sodass noch zahlreiche Unklarheiten bestehen. Verbände und Betreiber kritischer Einrichtungen bemängelten bereits den vorangegangenen KRITIS-Gesetzentwurf bezüglich einiger Regelungen. Ein Kritikpunkt war in etwa die fehlende Abgrenzung zur NIS2-Richtlinie. Zudem nannten die Verbände Punkte wie Doppelregulierung und damit verbundene Rechtsunsicherheiten.
Darüber hinaus bestünden weiterhin unklare Bedingungen bezüglich des Objektschutzes wie etwa den Zugangskontrollen oder der Objektüberwachung. Zwar wird das Dachgesetz voraussichtlich im Oktober 2024 verabschiedet, nationale Risikoanalysen sollen jedoch erst Anfang 2026 erfolgen.
Auch bezüglich der voraussichtlich im Juli 2026 in Kraft tretenden zugehörigen Maßnahmen besteht folglich noch Klärungsbedarf. Unternehmen sind laut Branchenkennern jedoch gut beraten, bereits entsprechende Risikoanalysen zu erstellen und Verbesserungen am physischen Schutz vorzunehmen.
Das KRITIS-Dachgesetz ist ein weiterer wichtiger Baustein für die Sicherheit kritischer Bereiche und zum Schutz kritischer Anlagen. Welche Ausführungen exakt in der fertigen Beschlussfassung im Oktober 2024 stehen werden, ist aktuell noch nicht klar. Für Unternehmen lohnt sich jedoch eine umfassende Vorbereitung wie auch der Blick auf die ebenfalls kommenden NIS2-Anforderungen.
Alles Wichtige zur NIS2-Richtlinie erfahren Sie in unserem Whitepaper. Jetzt herunterladen.