FSO Forum Strategy & Operations

KRITIS-Dachgesetz: Herausforderungen für Unternehmen

Posted on

by

Jürgen Schart

in

, ,

Dachgesetz Kritische Infrastrukturen: Mehr Pflichten für Betreiber

Das KRITIS-Dachgesetz reguliert ab 2024 Kritische Infrastrukturen. Das Gesetz bildet EU-Gesetzgebung (EU RCE) für deutsche Betreiber kritischer Infrastruktur durch zusätzliche Pflichten ab. Neben weiterer Meldepflichten, Geschäftskontinuitätsplänen (BCM, Business Continuity Management, physische Sicherheit, Vorschriften für Personal werden auch die Vorgaben für betriebliches Krisenmanagement erweitert.

Bundesregierung setzt Vorgaben der EU um

Die Bundesregierung stellt mit dem Gesetzesvorhaben die Bedeutung einer resilienten Kritischen Infrastruktur hervor. Die Handlungsfähigkeit von Bevölkerung, Wirtschaft und des Staates sind essentiell.

„Die aktuellen Krisen wie die COVID-19-Pandemie oder die Auswirkungen des Ukraine-Krieges und Sabotageakte wie jüngst bei der Deutschen Bahn und den Gaspipelines Nord Stream haben die Bedeutung und die Verwundbarkeit der Kritischen Infrastrukturen sowie die damit einhergehenden gesamtgesellschaftlichen Auswirkungen verdeutlicht.“

Das KRITIS-Dachgesetz wird gleichzeitig die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) umsetzen.

Ideeller Ansatz

Das neue Gesetz zeigt folgende Architektur:

  • All-Gefahren-Ansatz
  • Schaffung von Mindeststandards
  • Ergänzt bestehenden Regelungen im Bereich der IT-Sicherheit kritischer Infrastrukturen
  • Schutz vor möglichen Gefahren, die von Herstellern von kritischen Komponenten in Kritis ausgeht
  • Definition sektorenübergreifender Ziele: Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherzustellen
  • Kritische Anlagen sind essenziell für die Gesamtversorgung in Deutschland und versorgen mehr als 500.000 Personen
  • Berücksichtigung wechselseitiger Abhängigkeiten der kritischen Infrastrukturen untereinander
  • Verpflichtung zur Aufstellung von Resilienzplänen
  • Branchenverbände können Konzepte für Mitglieder erarbeiten
  • Äquivalenzprüfungen werden möglich
  • Bundesamt für Bevölkerungsschutz (BBK) bekommt koordinierende Rolle

Fazit: Herausforderungen ab Oktober 2024

Neben dem neuen KRITIS-DachG soll die neue EU NIS 2 Direktive für Cybersecurity mit dem NIS2-Umsetzungsgesetz ab Oktober 2024 in Deutschland umgesetzt werden. Effekte: Die Liste Kritischer Infrastrukturen erweitert sich und auf die einzelnen Betreiber kommen mehr Pflichten zu.