KRITIS-Betreiber sollten sich jetzt vorbereiten

Das KRITIS-Dachgesetz wird ab Oktober 2024 als zusätzliches KRITIS-Gesetz erstmalig auch die physische Sicherheit und Resilienz von KRITIS-Betreibern regulieren. Das BSI-Gesetz reguliert bereits die IT-Sicherheit von KRITIS-Betreibern. Das KRITIS-Dachgesetz setzt die europäische CER-Richtlinie („Critical Entities Resilience“) in Deutschland um. Der physische Schutz der KRITIS-Liegenschaften und kritischen Anlagen soll u. a. mit Detektionssystemen und Systemen zur Umgebungsüberwachung erfolgen, zum Beispiel durch Videoüberwachung.

Über den zeitlichen und inhaltlichen Stand der Dinge zum KRITIS-Dachgesetz und die sich daraus ergebenden Umsetzungspflichten für Betreiber informiert Sie unser Blogartikel, basierend auf dem 2. Referentenentwurf zum KRITIS-Dachgesetz vom 21.12.2023.

KRITIS-Dachgesetz zielt auf ganzheitliche Resilienz

Die wichtigsten Inhalte und Ziele des KRITIS-Dachgesetzes (gemäß 2. Referentenentwurf vom 21.12.2023):

1. Inhalte und Zielsetzung des Gesetzes

  • Titel: Dachgesetz zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen
    (KRITIS-Dachgesetz – KRITIS-DachG)
  • Das KRITIS-DachG wird im Hinblick auf physische Maßnahmen zur Stärkung der Resilienz kritischer Anlagen erstmals verpflichtende, einheitliche, bundesgesetzliche sektorenübergreifende Mindeststandards normieren
  • Die physische Sicherheit wird also erstmals gesetzlich reguliert (Schutz der IT-Sicherheit bereits durch BSIG reguliert)
  • Der physische Schutz der KRITIS-Liegenschaften und kritischen Anlagen soll u. a. mit Detektionssystemen und Systemen zur Umgebungsüberwachung erfolgen, zum Beispiel durch Videoüberwachung
  • Schätzungen und vereinfachte Annahmen lt. Entwurf:
    • 1.300 Betreiber kritischer Anlagen verfügen über keine ausreichende physische Resilienz
    • Die Kosten für Resilienz seien zehn Mal so hoch wie für IT-Sicherheit
    • Geschätzter jährlicher Erfüllungsaufwand für die Wirtschaft im hohen dreistelligen Millionenbereich

 

2. Betroffene Unternehmen

  • Sektoren:
    • Betreiber kritischer Anlagen in den bisherigen KRITIS-Sektoren (Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Siedlungsabfallentsorgung
    • zzgl. Sektor Weltraum (neu)
    • zzgl. Bundesverwaltung (Ministerien, Kanzleramt)
    • teilweise Ausnahmeregelungen und Ausschlüsse für Sektoren ITK, Finanz- und Versicherungswesen und Bundesverwaltung
  • Kritische Dienstleistungen:
    • Im Entwurf teilweise definiert in §3 (3)
    • z. B. für den Sektor „Transport und Verkehr“: Luftverkehr, Eisenbahnverkehr, See- und Binnenschifffahrt, Straßenverkehr, Wettervorhersage
    • Neben kritischen Dienstleistungen auch „wesentliche Dienste“ für EU-weite Betreiber nach CER-Richtlinie definiert
  • Kritische Anlagen:
    • Im Entwurf grob definiert in §4
    • Die genauen Anlagen und technischen Schwellenwerte in den Sektoren müssen noch in einer neuen KRITIS-Verordnung nach §16 definiert werden (ähnlich der jetzigen Kritis-Verordnung KritisV)
    • Der Regelschwellenwert von 500.000 zu versorgenden Einwohnern ist dabei zugrunde zu legen
    • Der besseren Übersichtlichkeit und der Kohärenz wegen ist geplant, eine gemeinsame Rechtsverordnung zur Bestimmung von Betreibern kritischer Anlagen sowie wichtiger und besonders wichtiger Einrichtungen nach dem KRITIS-DachG und dem BSI-Gesetz (geändert durch NIS2-Umsetzung) zu verabschieden 
  • Betroffenheit GESAMT (Schätzung durch Gesetzgeber):
    • 2.000 betroffene Unternehmen (die jetzigen KRITIS-Betreiber)

3. Pflichten und Vorgaben

  • Wichtigste „Resilienzpflichten“: Risikoanalysen,  Resilienzpläne und neben der physischen Sicherheit (siehe 1) weitere Resilienzmaßnahmen (u. a. Personalsicherheit, Krisen- und Katastrophenmanagement, Business Continuity); Beachtung Risiken bzgl. „Wirtschaftsstabilität“
  • Wichtigste „Formalpflichten“: (Selbst-)Identifikation und Registrierung, Meldepflicht von Sicherheitsvorfällen, Nachweise (auf Nachfrage, nicht mehr festgelegter Zeitraum), Sanktionen und Bußgelder, Pflichten der Geschäftsleitung (à la NIS2)

4. „Vertrauenswürdigkeitsprüfung“ von Herstellern

  • Bei kritischen IT-Komponenten: BSI-Gesetz (§ 9b Abs. 3 BSIG) fordert Garantieerklärungen über Vertrauenswürdigkeit des Herstellers
  • Bei kritischen Nicht-IT-Komponenten: Für einen umfassenden Schutz werden Regelungen geprüft, um KRITIS vor Einflüssen und Abhängigkeiten von bedenklichen Herstellern aus dem Ausland zu schützen. Im zweiten Referentenentwurf wurde dieser Passus (vorerst?) gestrichen.

5. Kohärente Aufsicht für ganzheitliche Resilienz

  • Physische Sicherheit und Cybersicherheit gemeinsam und übergreifend „denken“, überwachen und prüfen („Security Convergence“)
  • Kohärente Aufsicht: KRITIS-Aufsicht wird um das BBK erweitert, gemeinsam mit dem BSI und teilweiser Einbindung von Landesbehörden, sektorspezifisch auch Bundesnetzagentur und Bundesanstalt für Finanzdienstleistungsaufsicht
  • BBK nicht nur Aufsicht, auch optionales Vorschlagsrecht für sektorübergreifende Resilienzstandards
  • Betreiber kritischer Anlagen und deren Branchenverbände können branchenspezifische Resilienzstandards vorschlagen

6. Umsetzung europarechtlicher Vorgaben

  • Umsetzung der EU CER-Richtlinie („Critical Entities Resilience“) über die Resilienz kritischer Infrastrukturen in Deutschland per KRITIS-Dachgesetz
  • Zum Verständnis: Umsetzung der EU NIS-2-Richtlinie („Netzwerk- und Informationssicherheit“) über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in Deutschland per „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG). Das NIS2UmsuCG ist ein Änderungsgesetz, das bestehende Gesetze ändert – primär die KRITIS-Teile des BSI-Gesetzes.

7. Gesetzgeberischer Umsetzungsprozess und Roadmap

  • Politischer Umsetzungsprozess: im Laufe des Jahres 2024
  • Das Dachgesetz tritt am 18. Oktober 2024 in Kraft, einige der verbindlichen Maßnahmen treten erst am 17. Juli 2026 in Kraft (Artikel 3 (1)(2))

8. Der wichtige Einzelparagraph §10 „Resilienzmaßnahmen“ (u. a. Videosicherheitstechnik)

  • Betreiber kritischer Anlagen sind nach Ablauf von 10 Monaten nach Registrierung verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen, die erforderlich sind, um…
    • einen angemessenen physischen Schutz ihrer Liegenschaften und kritischen Anlagen zu gewährleisten
    • u .a. „Instrumente und Verfahren für die Überwachung der Umgebung“ und „Detektionsgeräte“
    • also auch Videoüberwachung als eine Maßnahme zur Stärkung der physischen Sicherheit und Resilienz
    • nach „Stand der Technik“

Weiterführende KRITIS-Links:

Diskutieren Sie mit uns auf LinkedIn

Sie haben noch Fragen oder möchten Ihre Gedanken zu diesem Thema mit uns teilen?
Wir freuen uns über Ihre Kommentare und Anmerkungen!