Deutsches Bundeskabinett verabschiedet „Eckpunkte für das KRITIS-Dachgesetz“

Physische Sicherheit und deren Regulierung im Fokus

Spätestens seit den „physischen Sabotageattacken“ vom Herbst 2022 auf Nordstream-Pipelines und auf Steuerungskabel der Deutschen Bahn erlangte der Schutz der kritischen Infrastrukturen (KRITIS) eine gesteigerte Aufmerksamkeit in Deutschland, sowohl in der Bevölkerung als auch in der Politik.

Die Politik handelte rasch und so legte das deutsche Bundeskabinett am 7. Dezember 2022 „Eckpunkte für das KRITIS-Dachgesetz“ vor.

Die wichtigsten Eckpunkte für ein KRITIS-Dachgesetz:

  1. Physische Sicherheit soll erstmalig gesetzlich reguliert werden
    • Verpflichtende Umsetzung einheitlicher technischer Schutz-Mindeststandards
    • u.a. mit Detektionssystemen und Systemen zur Überwachung der Umgebung, z.B. durch Videoüberwachung
  2. Betroffene KRITIS definiert und erweitert
    • Öffentliche UND privatwirtschaftliche KRITIS-Betreiber
    • Ein neuer Sektor (Raumfahrt/Weltraum)
    • Klare, einheitliche „Wer gehört zu KRITIS“-Definitionen nach qualitativen und quantitativen Kriterien
  3. Hersteller-Vertrauenswürdigkeitsprüfung
    • Bei kritischen IT-Komponenten: BSI-Gesetz (§ 9b Abs. 3 BSIG) fordert Garantieerklärungen über Vertrauenswürdigkeit des Herstellers
    • Bei anderen kritischen NICHT-IT-Komponenten: Für einen umfassenden Schutz werden Regelungen geprüft, um KRITIS insgesamt vor Einflüssen und Abhängigkeiten von bedenklichen Herstellern aus dem Ausland zu schützen
  4. Ganzheitliche Resilienz als Ziel
    • Physische Sicherheit und Cybersicherheit gemeinsam und übergreifend „denken“, monitoren und prüfen („Security Convergence“)
    • Steigerung der „geopolitischen“ Resilienz durch obigen optionalen Punkt „Prüfung bedenklicher Hersteller aus dem Ausland“
    • Kohärenz beim Cyberschutz und beim physischen Schutz, auch durch enge Zusammenarbeit zweier Aufsichtsbehörden:
      • IT- und Cyberschutz: Bundesamt für Sicherheit in der Informationstechnik (BSI)
      • Physischer Schutz (neu): Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
  5. Einbettung in EU-Rechtsrahmen
    • Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie)
    • Umsetzung der EU NIS-2-Richtlinie (Netz-und Informationssicherheit)
    • Weitere Info zu NIS2- und CER-Richtlinie
  6. Gesetz und gesetzlicher Umsetzungsprozess

Unsere Einschätzung der Eckpunkte aus Herstellersicht

„Physische Resilienz“: Der noch fehlende gesetzliche Baustein für ganzheitliche KRITIS-Resilienz

Unserer Einschätzung nach steckt hinter dem geplanten KRITIS-Dachgesetz die politische Erkenntnis, dass man für den Schutz und die Resilienz von KRITIS keinen „fragmentiert-regulierten“, nicht aufeinander abgestimmten, sondern einen ganzheitlichen und hybriden Ansatz verfolgen muss. Nur eine Art „ganzheitliches Schutzdach“ für KRITIS wäre zielführend.

Es gibt ja aktuell in Gestalt des IT-Sicherheitsgesetzes bzw. BSI-Gesetzes bereits einzelregulatorische Vorschriften für KRITIS-Betreiber bezüglich der Cybersicherheit, aber eben nur für Cybersicherheit.

Es gibt zwar aktuell auch fragmentierte, sektorspezifische, branchenspezifische Regelungen für physische Sicherheit, z.B. im Luftsicherheits-Gesetz mit z.B. den Artikeln 8 und 9“. Aber generelle, sektor- und gefahrenübergreifende bundesweite „Dach-Vorschriften“ bzw. „Dach-Sicherheitsstandards“ für die physische Sicherheit und Absicherung von KRITIS gibt es bis dato noch nicht.

Zudem stellt die Definition in der KRITIS-Verordnung „Wer gehört zu KRITIS“ („Größenklassen“, Schwellenwerte) nur auf den Aspekt der Informations- und Cybersicherheit ab.

Die geplanten Vorschriften und dieser Schritt hin zu mehr physischer Sicherheit mittels eines KRITIS-Dachgesetzes sind aus unserer Sicht in geopolitischer und sicherheitspolitischer Sicht zu begrüßen, auch im Hinblick auf die versorgungstechnische Souveränität, Unabhängigkeit und Continuity der KRITIS.

Daneben wäre ein solches Dachgesetz auch schon alleine aus einfachen Gründen wie gesetzlich klaren, verbindlichen Definitionen von KRITIS-Einrichtungen, von Verantwortlichkeiten und Zuständigkeiten und sektorübergreifenden und bundesweit einheitlichen Schutzstandards wünschenswert.

Videotechnik „Made in Germany“ versus „bedenkliche Hersteller“

Wir stellen in letzter Zeit fest, dass „Made in Europe“ bzw. „Made in Germany“ wieder verstärkt als Gütesiegel für Qualität, Sicherheit und Vertrauen wahrgenommen, wertgeschätzt und nachgefragt wird.

Wenn dann noch neben der „freiwilligen“ Made in Europe/Made in Germany-Tendenz zudem eine im BSI-Gesetz oder in einem kommenden KRITIS-Dachgesetz kodifizierte gesetzliche Regelung für mehr physische Sicherheit, für mehr vertrauenswürdige Hersteller und vertrauenswürdige Produkte und Komponenten hinzukommt, kann das nur positiv im Sinne der KRITIS-Sicherheit sein.

PS: Im KRITIS-Dachgesetz-Vorschlag vom 07.12.22 bietet der Staat den KRITIS-Betreibern die Unterstützung mit Leitfäden an.

Wir bieten Ihnen hiermit auch unseren brandneuen, aus 38-jähriger Erfahrung heraus entstandenen, in Q1/2023 erscheinenden, herstellerneutralen, Praxisleitfaden an:

„Videotechnologie und Sicherheit für Kritische Infrastrukturen“

Themen u.a.:

  • Gesetzlicher und politischer Rahmen
  • Das KRITIS-Resilienzdreieck
  • Welche „Stolpersteine“ sind bei einem KRITIS-Videoprojekt zu erwarten?
  • Keine Angst vor Datenschutz – Höchste Priorität Cybersecurity
  • Planung ist gut – Planung in 3D ist (noch) besser
  • Technologie- und Finanzentscheidungen
  • Praxistipps und Checklisten und vieles mehr

Reservieren Sie jetzt schon Ihr persönliches Exemplar unter kritis@dallmeier.com (*)

(*) Hinweis:
Das Angebot für die Zusendung des Praxisleitfadens richtet sich exklusiv an Verantwortliche aus Organisationen der Kritischen Infrastruktur (KRITIS), sowie an Planer, Channel-Partner, Facherrichter, Behörden und Politik mit dienstlichem Bezug zu KRITIS.
Wir bitten um Ihr Verständnis, dass wir nur E-Mail-Anfragen prüfen, bei denen die Identität des Interessenten, etwa durch eine E-Mail von einer offiziellen Domain, für uns ersichtlich ist. Eine Entscheidung im Einzelfall behalten wir uns ausdrücklich vor.