KRITIS-Dachgesetz zum Schutz kritischer Infrastrukturen

KRITIS-Dachgesetz zum Schutz kritischer Infrastrukturen
© Anna - Fotolia.com

Was verbirgt sich hinter dem Begriff KRITIS?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert kritische Infrastrukturen als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden". (BSI - Allgemeine Informationen zu KRITIS)

Worum geht es bei KRITIS bzw. der CER-Richtlinie?

Das KRITIS-Dachgesetz richtet sich an alle kritischen Infrastrukturen und definiert, welche Unternehmen und Einrichtungen verpflichtende Resilienzmaßnahmen ergreifen müssen [weitere Informationen vom BMI zu KRITIS bzw. CER (Critical Entities Resilience)].

Zwei Kriterien müssen erfüllt sein:

Die kritischen Infrastrukturen sind

  1. essenziell für die Gesamtversorgung in Deutschland und
  2. für die Versorgung von mehr als 500.000 Personen relevant.

Nach § 2.2 handelt es sich bei „kritischen Infrastrukturen“ um Organisationen oder Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Störungen der öffentlichen Sicherheit zur Folge hätte.

Was müssen KRITIS-Betreiber tun?

Unternehmen können anhand ihrer Zugehörigkeit zu bestimmten Branchen (z. B. Energie) und anhand von Schwellwerten feststellen, ob sie als „KRITIS-Betreiber“ gelten und somit diverse Pflichten erfüllen müssen:

  • Eine Kontaktstelle für die betriebene kritische Infrastruktur benennen,
  • IT-Störungen oder erhebliche Beeinträchtigungen melden,
  • IT-Sicherheit auf dem „Stand der Technik“ gewährleisten,
  • und dies alle zwei Jahre gegenüber dem BSI nachweisen.

KRITIS-Dachgesetz – Was sind die wesentlichen Änderungen des neuen Referentenentwurfs?

Im Jahr 2024 treten gesetzliche Änderungen und Verschärfungen im Bereich der IT- und physischen Sicherheit kritischer Infrastrukturen in Kraft, die viele Unternehmen betreffen. Nach Einleitung der Ressortabstimmung sowie der Länder- und Verbändebeteiligung im Juli 2023 wurde der Referentenentwurf angepasst. Die IHKs nutzten die Gelegenheit, um ihre Mitgliedsunternehmen zu beteiligen. Der aktualisierte Referentenentwurf wurde Ende 2023 veröffentlicht.

Fazit der aktuellen Stellungnahme der DIHK zum Referentenentwurf vom 24.01.2024

  • Umsetzung der EU-Richtlinie zur Regulierung kritischer Anlagen
  • Bedeutungszuwachs der Sicherheit kritischer Infrastrukturen durch geopolitische Spannungen
  • Weiterentwicklung des Cyberschutzes durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
  • Verbesserung des Schutzniveaus und Unterstützung der Sicherheitsbemühungen durch Unternehmen
  • Überarbeitung der Registrierung kritischer Anlagen und Meldungen von Vorfällen

Bitte beachten Sie, dass es sich hierbei um vorläufige Informationen im laufenden Gesetzgebungsverfahren handelt.