Sektoren wie bspw. Energie, Wasser, Ernährung, Transport und Gesundheitswesen sind für unsere Gesellschaft unverzichtbar. Diese kritischen Infrastrukturen (KRITIS) müssen besonders geschützt werden. Dafür wird das KRITIS-Dachgesetz in Deutschland geben, für das Anfang November 2024 ein Regierungsentwurf vorgelegt wurde.
Auch wenn noch offen ist, wann das Gesetz vom Bundestag verabschiedet wird, geben wir bereits einen knappen Überblick darüber, was voraussichtlich auf betroffene Unternehmen zukommt.
Warum ein KRITIS-Dachgesetz?
Bisher waren die Anforderungen an die Sicherheit kritischer Infrastrukturen in Deutschland in diversen Gesetzen und Verordnungen geregelt, darunter vor allem das IT-Sicherheitsgesetz aber auch branchenspezifische Regelungen. Diese Fragmentierung hat sich als ungünstig erwiesen.
Mit dem KRITIS-Dachgesetz als Umsetzung der EU-Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER Richtlinie) soll es nunmehr ein zentrales und einheitliches Regelwerk geben. Ziel ist es, Sicherheitsstandards zu harmonisieren und klare Anforderungen an die Resilienz und den Schutz vor Angriffen und Ausfällen festzulegen.
Eben vor diesem Hintergrund gibt es aber auch an diesem jüngsten Entwurf Kritik, da es insbesondere im Hinblick auf das NIS2-Umsetzungsgesetz noch Überschneidungen und gegebenenfalls mehrere zuständige Behörden gibt.
Was erwartet betroffene Unternehmen unter dem KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz sieht mehrere Anforderungen für Unternehmen, die zur kritischen Infrastruktur gehören, vor. Die wichtigsten davon sind:
Registrierung
Sobald ein Unternehmen als Betreiber kritischer Anlagen gilt, muss es sich innerhalb von drei Monaten registrieren. Hierzu wird es voraussichtlich eine gemeinsame Stelle aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) geben.
Resilienzmaßnahmen
Betreiber kritischer Infrastrukturen müssen angemessene und verhältnismäßige Maßnahmen zum Schutz vor Bedrohungen ergreifen und dies voraussichtlich alle zwei Jahre nachweisen. Nach § 13 des Entwurfs zum KRITIS-Dachgesetz müssen Betreiber kritischer Anlagen Maßnahmen zur Gewährleistung ihrer Resilienz treffen, um
- das Auftreten von Vorfällen zu verhindern,
- einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten,
- auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und
- nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten.
Risikoanalysen
Zentral werden Risikoanalysen der betroffenen Unternehmen sein, die bei Bedarf, spätestens aber alle vier Jahre wiederholt werden müssen. Diese eigenen Risikoanalysen müssen auf der Grundlage der einschlägigen nationalen Risikoanalysen und Risikobewertungen erfolgen, welche von den jeweils zuständigen Ministerien erstellt werden.
Abhängig vom Ergebnis der Risikoanalyse muss das Unternehmen sodann angemessene, aber auch verhältnismäßige Maßnahmen nach dem Stand der Technik ergreifen, um seine Resilienz zu gewährleisten, die Betriebsfähigkeit aufrechtzuerhalten und gegebenenfalls eingeschränkte Dienstleistungen schnell wieder herzustellen.
Gefordert ist also ein Business-Continuity-Managementsystem (BCMS) mit Prozessen sowohl zur Notfallvorsorge als auch zur Bewältigung von Notfällen. Um den geforderten Nachweis erbringen zu können, werden Kontrollen und Audits unvermeidlich sein.
Technische und organisatorische Maßnahmen
Einige gegebenenfalls taugliche Maßnahmen nennt das Gesetz in § 13 auch. Diese fallen allerdings vorhersehbar generisch aus und müssen samt und sonders korrekt interpretiert und umgesetzt werden, etwa:
- Notfallvorsorge
- Objektschutz, Zugangskontrollen, Überwachungsmaßnahmen
- Risiko- und Krisenmanagement
- Maßnahmen zur Aufrechterhaltung des Betriebs (mit hier auch mal einer konkreten Maßnahme: Notstromversorgung)
Im Ergebnis wird vom Unternehmen die Erstellung und Umsetzung eines Resilienzplans erwartet. Selbstverständlich muss dieser auch aktualisiert werden.
Meldefristen
Vorfälle müssen unverzüglich, spätestens aber innerhalb von 24 Stunden, gemeldet werden. Unternehmen müssen also hier gegebenenfalls für ein Incident-Response-Management sorgen, das rund um die Uhr und jeden Tag funktioniert.
Herausforderungen für KRITIS-Unternehmen
Die Umsetzung der Vorgaben des KRITIS-Dachgesetzes dürfte betroffene Unternehmen schnell vor große Herausforderungen stellen. Nicht wenige Organisationen werden die bestehenden Sicherheitsstrategien und -maßnahmen überarbeiten und neue Prozesse etablieren müssen:
- Investitionen in Sicherheitstechnologien und Prozesse werden unvermeidlich sein.
- Mitarbeiter sind zu schulen und zu sensibilisieren.
- Die Zusammenarbeit mit Behörden und Partnern wird beleuchtet und gegebenenfalls angepasst werden müssen.
- Veränderungen bei Bedrohungen und Technologien sind zu beobachten und es muss auf solche auch reagiert werden.
Typischer Beratungsbedarf für Unternehmen
Der Beratungsbedarf dürfte bei vielen neuen KRITIS-Unternehmen steigen:
- Durchführung und Implementierung von Risikoanalysen sowie der Identifizierung und Bewertung von Schwachstellen
- Auswahl, Planung und Umsetzung geeigneter Sicherheitsmaßnahmen
- Entwicklung und Durchführung von Schulungen zur Sensibilisierung der Mitarbeiter hinsichtlich Cybersicherheit und der neuen KRITIS-Vorgaben.
- Notfallmanagement und Krisenreaktion: Entwicklung und Implementierung von Notfallplänen, einschließlich Vorgehensweisen zur schnellen Reaktion auf Sicherheitsvorfälle.
- Compliance und Audit: Sicherstellung der Einhaltung gesetzlicher Anforderungen und Vorbereitung auf Audits, um die erforderlichen Nachweise der KRITIS-Compliance erbringen zu können.