KRITIS Dachgesetz und NIS2: Was Sie jetzt wissen müssen

Kritische Infrastrukturen sind essenziell für das Gemeinwesen. Häufig sind sie voneinander abhängig. Der neue Gesetzesentwurf definiert erstmals einheitliche Mindestvorgaben für Sicherheitsmaßnahmen. 

Rund 1.700 Unternehmen zählen in Deutschland zu den KRITIS – den Kritischen Infrastrukturen. Sektoren wie Energie, Ernährung oder Transport und Verkehr haben für das Gemeinwesen enorme Bedeutung. Fallen sie aus oder werden beeinträchtigt, kommt es zu Versorgungsengpässen und einer gestörten öffentlichen Sicherheit. Der Schutz kritischer Infrastrukturen hat für Unternehmen und Behörden daher höchste Priorität. 

Naturkatastrophen, Pandemien, Krieg und Terrorismus: Die KRITIS werden zunehmend durch nicht vorhersehbare Ereignisse gefährdet. Mit dem KRITIS-Dachgesetz nimmt der Gesetzgeber diese Herausforderungen gezielt in Angriff. Der Gesetzesentwurf soll zentrale Versorgungsstrukturen schützen und ihre Resilienz stärken. Denn: Bisher gibt es hierzulande – abseits der IT-Sicherheit – keine sektoren- und gefahrenübergreifenden Regelungen. 

Doch was ist das KRITIS-Dachgesetz genau? Wann tritt es in Kraft und welche Punkte umfasst es? Welche Pflichten für die Betreiber ergeben sich aus dem Gesetz und welche Vorteile können KRITIS erwarten? Der nachfolgende Überblick zeigt, was auf die Unternehmen zukommt. 

Das KRITIS-Dachgesetz – Zielsetzung und Akteure 

Kritische Infrastrukturen sind in Sektoren wie beispielsweise Wasser, Energie oder Gesundheit unterteilt. Diese sind in weiten Teilen voneinander abhängig. Kommt es zum Ausfall in einem Bereich, sind andere KRITIS ebenfalls betroffen. Während es für die IT-Sicherheit von KRITIS bereits Regelungen gibt, fehlen sektoren- und gefahrenübergreifende Vorgaben. Durch das KRITIS-Dachgesetz werden nun die Gefahrenregelungen für alle KRITIS-Sektoren buchstäblich unter ein Dach gebracht. Das Ziel: die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen in Deutschland zu erhöhen. 

Von Naturkatastrophen über menschliches Versagen bis hin zu gezielter Sabotage: Das KRITIS-Dachgesetz berücksichtigt den All-Gefahren-Ansatz – alle denkbaren Risiken, die durch die Natur oder den Menschen verursacht werden können. Das Gesetz legt verbindliche Sicherheitsstandards und Meldepflichten für Betreiber dieser Infrastrukturen fest. Es sieht regelmäßige Risikoanalysen und Sicherheitsüberprüfungen vor, um Gefährdungen frühzeitig zu erkennen und abzuwehren. 

Mit Hilfe des KRITIS-Dachgesetzes wird die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie) umgesetzt.

Der deutsche Rechtsrahmen für den Schutz kritischer Infrastrukturen wird damit in ein einheitliches europäisches System integriert. Einheitliche Mindeststandards und eine verstärkte grenzüberschreitende Zusammenarbeit tragen dazu bei, die Versorgungssicherheit sowohl in Deutschland als auch in Europa zu verbessern. Das KRITIS-Dachgesetz soll am 18. Oktober 2024 in Kraft treten. 

Das KRITIS-Dachgesetz und NIS2 

Parallel zum KRITIS-DachG wird das NIS2-Umsetzungsgesetz die neue EU-Richtlinie NIS 2 für Cyber-Sicherheit in Deutschland realisieren. Die neuen Regelungen ergänzen sich und schaffen einen gemeinsamen Rahmen, um die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen in Deutschland zu stärken. Die NIS2-Richtlinie zielt darauf ab, die Cyber-Sicherheit zu stärken und Sicherheitsstandards in der EU anzugleichen, während das KRITIS-Dachgesetz den Schutz kritischer Infrastrukturen auf nationaler Ebene sowohl vor physischen als auch vor cybertechnischen Bedrohungen sicherstellt. 

Beide Regelungen verpflichten Unternehmen dazu, Sicherheitsvorfälle zu melden und regelmäßig Risiken zu bewerten, um schnell auf neue Bedrohungen reagieren zu können. Die Integration der NIS2-Richtlinie in das KRITIS-Dachgesetz fördert die Zusammenarbeit zwischen europäischen und nationalen Sicherheitsbehörden, was zu einer einheitlichen und widerstandsfähigen Sicherheitsstrategie führt. Beide Gesetze treten im Oktober 2024 in Kraft. Betreiber kritischer Infrastrukturen haben 21 Monate Zeit, die Vorgaben zu erfüllen. 

Wichtig: Die NIS2-Richtlinie betrifft deutlich mehr Unternehmen als die bisherigen der kritischen Infrastrukturen. So werden künftig auch Dienstleister oder Lieferanten von KRITIS-Unternehmen berücksichtigt. Unternehmen müssen sich eigenverantwortlich informieren und einschätzen, ob sie von den neuen Regelungen betroffen sind. 

KRITIS-Dachgesetz: Für wen gilt es und was ändert sich?  

Vom KRITIS-Dachgesetz betroffen ist jedes KRITIS-Unternehmen. Dazu zählen alle Einrichtungen, die entscheidend an der deutschen Gesamtversorgung beteiligt oder zuständig für die Versorgung von mindestens 500.000 Menschen sind. Nach BSI-Angaben gibt es in Deutschland mehr als 1.500 KRITIS-Betreiber mit insgesamt rund 2.000 Anlagen in den bisherigen acht Sektoren: 

• Energie
• Wasser
• Ernährung
• IT und Telekommunikation
• Gesundheit
• Finanz- und Versicherungswesen
• Transport und Verkehr
• Abfallentsorgung

Experten zu Folge werden in Hinblick auf die künftigen KRITIS-Sektoren (Öffentliche Verwaltung und Weltraum) deutlich mehr Betreiber betroffen sein. Mit Inkrafttreten des KRITIS-Dachgesetzes ergeben sich für betroffene Unternehmen neue Pflichten:

1. Verbindliche Sicherheitsstandards: Festlegung einheitlicher Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen.
2. Meldepflichten: Verpflichtung zur Meldung sicherheitsrelevanter Vorfälle an die zuständigen Behörden. 
3. Regelmäßige Risikoanalysen: Durchführung und Dokumentation von Risikoanalysen zur Identifikation potenzieller Bedrohungen (mind. alle vier Jahre). 
4. Sicherheitsüberprüfungen: Regelmäßige Überprüfungen der Sicherheitsmaßnahmen durch interne und externe Audits. 
5. Kooperation zwischen Akteuren: Förderung der Zusammenarbeit zwischen öffentlichen und privaten Akteuren im Bereich der Kritischen Infrastrukturen. 
6. Resilienz Steigerung: Implementierung von Maßnahmen zur Erhöhung der Widerstandsfähigkeit gegen Störungen und Angriffe. 
7. Schulung und Sensibilisierung: Verpflichtung zur regelmäßigen Schulung des Personals und Sensibilisierung für Sicherheitsfragen. 
8. Berichtspflichten: Regelmäßige Berichterstattung über den Sicherheitsstatus und durchgeführte Maßnahmen an die Aufsichtsbehörden. 
9. Notfallpläne: Erstellung und Aktualisierung von Notfallplänen zur Sicherstellung der Betriebsfähigkeit in Krisensituationen. 
10. Datenschutz und Informationssicherheit: Sicherstellung der Einhaltung hoher Datenschutz- und Informationssicherheitsstandards.

Das KRITIS-Dachgesetz: Vorteile für die Betreiber 

Obwohl das KRITIS-Dachgesetz strenge Auflagen mit sich bringt, profitieren die Betreiber kritischer Infrastrukturen von einem erhöhten Schutz ihrer Systeme und einer gesteigerten Resilienz gegenüber Bedrohungen. Durch die verbindlichen Sicherheitsstandards und die verstärkte Zusammenarbeit auf nationaler und europäischer Ebene wird die Widerstandsfähigkeit gegenüber Cyberangriffen und anderen inneren und äußeren Störungen deutlich verbessert. Die eigene Betriebsfähigkeit wird gesichert und das öffentliche Vertrauen in die Zuverlässigkeit der essenziellen Dienstleistungen gestärkt. 

Ein Dachgesetz ist ein übergeordnetes Gesetz, das verschiedene Regelungen zu einem bestimmten Thema in einem einheitlichen Rechtsrahmen bündelt. Es schafft eine zentrale rechtliche Grundlage, auf der spezifische Vorgaben für verschiedene Gebiete basieren. Dachgesetze sind oft in Bereichen von hoher gesellschaftlicher Relevanz anzutreffen, wo eine koordinierte und umfassende gesetzliche Regelung notwendig ist. Im Fall des KRITIS-Dachgesetzes werden damit die unterschiedlichen Anforderungen und Sicherheitsvorschriften für Betreiber kritischer Infrastrukturen zusammengeführt und harmonisiert, um ein konsistentes und effektives Schutzniveau zu gewährleisten.
 

KRITIS-Dachgesetz, NIS2, kritische Infrastrukturen, Sicherheitsmaßnahmen, Unternehmenspflichten, Deutschland, Gesetz 2024, Versorgungsengpässe, öffentliche Sicherheit, Betreiberpflichten