7 Fragen und Handlungsempfehlungen für KRITIS-Betreiber

Dieser Blogbeitrag befasst sich mit den regulatorischen Vorgaben für Sicherheit und Resilienz in den einzelnen Ländern dieser aktuell sicherheitsvolatilen Welt („VUCA-Welt“) und den sich daraus ergebenden Fragestellungen.

Unabhängig vom jeweiligen Land geht es dabei immer um die folgenden Themen und Ziele:

  • Regulierung kritischer, wesentlicher und wichtiger Einrichtungen und Infrastrukturen
  • Stärkung von Cybersicherheit, Resilienz und physischer Sicherheit

KRITIS-Regularien unterscheiden sich von Land zu Land
Dieser Blogbeitrag wurde in Deutschland verfasst, mit einigen hilfreichen Verweisen auf die aktuelle deutsche KRITIS-Regulierung zum Verständnis, zielt aber primär auf die internationale Perspektive ab. Sie erhalten hier keinen expliziten Überblick über die aktuellen länderspezifischen Regelungen. Es würde den Rahmen dieses Blogartikels sprengen und auch unsere Ressourcen und Kompetenzen übersteigen, für alle Länder der Welt die entsprechenden KRITIS-Gesetze oder andere ergänzende Gesetze zu kennen. Unsere Kernkompetenz ist die Erhöhung der physischen Sicherheit unserer Kunden durch zukunftsweisende und cybersichere Videosicherheitstechnik „Made in Germany“.
 

Stadt Sonnenuntergang - KRITIS Schutz
Derzeit weltweit in aller Munde: der Schutz Kritischer Infrastrukturen (KRITIS)
Bildnachweis: SeanPavonePhoto – stock.adobe.com

Was wir Ihnen jedoch an die Hand geben können, sind wertvolle Tipps und Handlungsempfehlungen, die sich in der Praxis bewährt haben:

7 Tipps und Handlungsempfehlungen für KRITIS-Verantwortliche

  1. Erkundigen Sie sich, welche Gesetze für Ihr Land gelten.
  2. Klären Sie die Betroffenheit Ihres Unternehmens. Welche Gesetze sind einzuhalten und definieren Ihre Betroffenheit? Nach welchen technischen oder wirtschaftlichen Schwellen- oder Größenkriterien?
  3. Welche personellen oder organisatorischen Pflichten bestehen? Zum Beispiel Melde- und Registrierungs-Pflichten?
  4. Welche technischen Pflichten oder technischen Maßnahmen / Funktionen müssen umgesetzt werden? Zum Beispiel gesetzliche Anforderung an den aktuellen „Stand der Technik“, „Security by Design“ und „Privacy by Design“.
  5. Welche Schutzstandards werden für IT- und Cybersecurity gefordert?
  6. Welche Schutzstandards werden für die physische Resilienz und die physische Sicherheit gefordert? Zum Beispiel Videoüberwachung, Zutrittskontrolle oder Einbruchmeldeanlagen.
  7. Gibt es weitere gesetzliche Anforderungen für ergänzende Sicherheitsanforderungen?
  • Lieferkette: Redundanzen, Technologie, Geopolitik, vertrauenswürdige Hersteller bzw. vertrauenswürdige Herstellerländer
  • Awareness, Prävention, Ereignis- und Alarmmanagement, Business Continuity Management (BCM), Krisenmanagement und Personal

Aus unserer Sicht sind die folgenden drei inhaltlichen Dimensionen zu berücksichtigen, um eine ganzheitliche KRITIS-Resilienz und KRITIS-Sicherheit zu erreichen:

KRITIS-„Resilienz-Dreieck“
Das KRITIS-„Resilienz-Dreieck“ (mit begleitenden, landesspezifischen Gesetzen)
Bildnachweis: Dallmeier

Ihre Aufgaben – heute und morgen

  • Bitte beachten und informieren Sie sich über die aktuelle nationale Gesetzgebung in Ihrem Land: Bin ich betroffen?
  • Bei eigener Betroffenheit: Stärkung der Cybersicherheit, Resilienz und physischen Sicherheit (z.B. durch Videoüberwachung)

Exemplarischer Vergleich zum Verständnis – Deutsche KRITIS-Regulierung
In Deutschland als Beispiel für eine nationale KRITIS-Gesetzgebung (und Umsetzung von EU-Recht) regelt derzeit das IT-Sicherheitsgesetz 2.0 bzw. das BSI-Gesetz die Cybersicherheit der klassischen KRITIS-Sektoren. Ein angekündigtes KRITIS-Dachgesetz soll zukünftig (2023 ff.) auch die allgemeine Resilienz und insbesondere die physische Sicherheit der KRITIS-Sektoren regeln und damit gleichzeitig eine entsprechende EU-Vorgabe (RCE-Richtlinie) umsetzen.

Empfehlungen für landesspezifische Vergleichsinformationen

1. Deutscher Rechtsrahmen

2. EU-Rechtsrahmen

Sie interessieren sich speziell für den EU-weiten KRITIS-Rechtsrahmen (NIS2 / RCE)?
Dann sind sie bei unserem Blogbeitrag „EU Rechtsrahmen KRITIS und andere Schlüsselsektoren“ genau richtig.

Weiterführende Informationen: KRITIS-Expertise und Videotechnik

Perimeterschutz: Sicherheitsrisiken vorbeugen mit KI-basierter Objekterkennung und Panomera®
Wenn Sie externe Videos von YouTube aktivieren, werden Daten automatisiert an diesen Anbieter übertragen.
Mehr Informationen
Perimeterschutz: Sicherheitsrisiken vorbeugen mit KI-basierter Objekterkennung und Panomera®
Wenn Sie externe Videos von YouTube aktivieren, werden Daten automatisiert an diesen Anbieter übertragen.
Mehr Informationen

Diskutieren Sie mit uns auf LinkedIn

Sie haben noch Fragen oder möchten Ihre Gedanken zu diesem Thema mit uns teilen?
Wir freuen uns über Ihre Kommentare und Anmerkungen!

Hier geht's zum LinkedIn-Post >

About the Author: