Glossar
KRITIS-Dachgesetz: Ab wann gilt es und wirkt es sich auf Unternehmen aus?
Aufgrund der Digitalisierung und der damit verbundenen Vernetzung wächst die Bedrohung für kritische Infrastrukturen (KRITIS) stetig. Nicht nur nehmen Zwischenfälle an Häufigkeit und Komplexität zu, auch sind die unterschiedlichen Infrastrukturen wie Energie- und Wasserversorgung so miteinander verflochten, dass ein Ausfall bei einer von ihnen sich meist auf andere KRITIS auswirkt – mit bisweilen weitreichenden Folgen für Gesellschaft und Unternehmen. Dass eine robuste Sicherheit in diesem Kontext unabdingbar ist, ist offensichtlich. Dennoch existiert in Deutschland bisher keine umfassende, sektor- und gefahrenübergreifende gesetzliche Regelung diesbezüglich. Genau hier kommt das neue KRITIS-Dachgesetz (KRITIS-DachG-E) ins Spiel.
☝ Schon gewusst?
Sowohl die EU als auch Deutschland haben im Jahr 2022 legislative Initiativen ergriffen, um für eine höhere Sicherheit kritischer Infrastrukturen zu sorgen. So zielt etwa die EU-Richtlinie NIS2 auf die gesteigerte Cybersicherheit von KRITIS ab. Die ebenfalls EU-weit gültige RCE-Richtlinie (CER) wiederum soll Widerstandsfähigkeit von KRITIS gegen alle Arten von Gefährdung stärken. Dasselbe gilt für das KRITIS-Dachgesetz, das die RCE-Richtlinie in nationales Recht umsetzen soll. Für Betreiber kritischer Infrastrukturen bedeutet dies: Änderungen und Neuerungen in puncto Sicherheitsanforderungen.
Keyfacts
- Das KRITIS-Dachgesetz ist die nationale Umsetzung der EU-weiten RCE-Richtlinie (CER Directive).
- Das KRITIS-Dachgesetz soll kritische Infrastrukturen in Deutschland gegenüber allen denkbaren Bedrohungen robuster machen: Cyberattacken, Naturkatastrophen, menschliche Aktivitäten, Personalmangel und unterbrochene Lieferketten.
- KRITIS-Betreiber müssen nach KRITIS-Dachgesetz bis 17. Juli 2026 Maßnahmen treffen, um sich gegen Gefahren aller Art abzusichern.
- Bei Nichteinhaltung des KRITIS-Dachgesetzes drohen empfindliche Bußgelder und Betriebsverbote seitens des BBK.
In unserem Whitepaper„Datensicherheit“ zeigen wir Ihnen, wie Sie sensible und geschäftskritische Daten schützen.
Das KRITIS-Dachgesetz zielt darauf ab, einen umfassenden Schutz für Deutschlands kritische Infrastrukturen gegen alle denkbaren Gefahren zu etablieren sowie deren Widerstandsfähigkeit gegen solche Bedrohungen zu stärken. Als nationale Umsetzung der EU-Critical-Entities-Resilience-Richtlinie (CER-Richtlinie) verpflichtet das KRITIS-Dachgesetz KRITIS-Betreiber in Deutschland zu umfangreichen Maßnahmen:
- von der Einrichtung von Meldeprozessen über
- Vorkehrungen zur Aufrechterhaltung ihres Geschäftsbetriebs (Business Continuity Management) und
- das Gewährleisten der physischen Sicherheit
- bis hin zu Personal- und Krisenmanagementstrategien.
Das KRITIS-Dachgesetz ergänzt das BSI-Gesetz und schafft erstmalig bundeseinheitliche Definitionen von KRITIS sowie Vorschriften zum physischen Schutz kritischer Infrastrukturen, was nicht nur die Resilienz der Wirtschaft in Deutschland erhöht, sondern auch zu einer gestärkten Versorgungssicherheit der Bevölkerung beiträgt.
Stichtag für die Umsetzung der CER-Richtlinie in den EU-Mitgliedstaaten ist der 18. Oktober 2024. Die Betreiber kritischer Infrastrukturen haben dann bis 17. Juli 2026 Zeit, entsprechende Maßnahmen zu ergreifen, um die Vorgaben des KRITIS-Dachgesetzes zu erfüllen. Erst ab dann drohen Bußgelder bei Nichteinhaltung.
Übergangsfristen im Überblick:
in Kraft ab 18. Oktober 2024
Nationale Resilienzstrategie der Bundesregierung
Verabschiedung bis 17. Januar 2026
Registrierungspflicht für Betreiber
in Kraft ab 17. Juli 2026
Verpflichtung der Betreiber zu Risikoanalysen
in Kraft ab 17. Juli 2026
Verpflichtung der Betreiber zu Resilienzmaßnahmen
in Kraft ab 17. Juli 2026
Nachweispflicht der Betreiber
in Kraft ab 17. Juli 2026
Meldepflicht von Sicherheitsvorfällen
in Kraft ab 17. Juli 2026
Geschäftsleiterpflichten im Rahmen des KRITIS-Dachgesetzes
in Kraft ab 17. Juli 2026
in Kraft ab 17. Juli 2026
Definieren von Sektorstandards durch Landesregierungen
umzusetzen bis 1. Januar 2029
Vom KRITIS-Dachgesetz betroffen ist jedes Unternehmen, das folgende zwei Kriterien erfüllt:
- es ist elementarer Bestandteil für Deutschlands Gesamtversorgung
- es ist zuständig für die Versorgung von mindestens 500.000 Menschen.
Da ein Ausfall eines KRITIS (wie etwa eines Energieversorgungsunternehmens) meist auch andere wichtige Sektoren betrifft, berücksichtigt das KRITIS-Dachgesetz auch die gegenseitigen Abhängigkeiten der einzelnen kritischen Infrastrukturen.
☝ Schon gewusst?
Die Bezeichnung „KRITIS-Dachgesetz“ kommt nicht von ungefähr: Mit ihm gibt es erstmals eine übergeordnete gesetzliche Regelung (also ein „Dach“) für die Sicherheit aller Sektoren und kritischer Anlagen in Deutschland. Durch Mindeststandards für Sicherheit und Resilienz bietet das KRITIS-Dachgesetz einen ganzheitlichen Schutzansatz für lebenswichtige Infrastrukturen gegen physische und cybertechnische Bedrohungen.
Das KRITIS-Dachgesetz betrifft folgende Sektoren:
- Energieversorgung
- Transport- und Verkehrswesen
- Bankwesen
- Finanzmarktinfrastrukturen und Versicherungen
- Gesundheitswesen
- Trinkwasserversorgung
- Abwasserversorgung
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Weltraum
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln.
Expertentipp
Unternehmen, die zu den KRITIS zählen, müssen sich strengen Vorgaben zum Datenschutz und zur Einhaltung regulatorischer Bestimmungen stellen. Für sie ist es unabdingbar, Technologien zu nutzen, die effektiv gegen unerlaubte Zugriffe gefeit sind und dies auch durch Zertifikate von unabhängiger Seite belegen können. Zudem sollte der Dienstleister eigene Serverinfrastrukturen betreiben (Housing anstelle von Hosting) – in sicheren, zertifizierten Rechenzentren.
idgard – die Technologie der Sealed Cloud
Welche Technologie hinter unserem Datenraum idgard steckt und wie er Daten vor unbefugtem Zugriff schützt, verraten wir in unserem Whitepaper.
Anders als NIS2 konzentriert sich das KRITIS-Dachgesetz nicht allein auf die Cybersicherheit. Vielmehr zwingt es die betroffenen KRITIS-Unternehmen dazu, sich gegen alle denkbaren Risiken abzusichern, die zu erheblichen Störungen der öffentlichen Sicherheit führen können (All-Gefahren-Ansatz). Hierzu gehören neben der IT-Security auch der Schutz gegen Terror- und Sabotageakte, menschliches Versagen, Pandemien, Naturkatastrophen und selbst gegen den Personalmangel und den Zusammenbruch von Lieferketten.
☝ Schon gewusst?
Wie schnell es zu signifikanten Unterbrechungen der weltweiten Lieferketten kommen kann, zeigte nicht zuletzt die Corona-Pandemie. Abrupte Lockdowns, Grenzschließungen und Produktionsstopps führten zu erheblichen Engpässen und leeren Supermarktregalen. Daher verpflichtet das KRITIS-Dachgesetz nun private Unternehmen wie lokale Versorger dazu, kritische Rohstoffe und Schlüsselkomponenten ihrer Produkte aus mindestens zwei Quellen zu beziehen. Somit betrifft es weit mehr Unternehmen als nur diejenigen, die landläufig zu KRITIS gezählt werden. Ziel des KRITIS-Dachgesetzes ist es, sektorübergreifend Störungen und Ausfälle kritischer Infrastrukturen zu verhindern, Schadensbegrenzung von deren Folgen zu betreiben und die Betriebsfähigkeit nach einem solchen Vorfall rasch wiederherzustellen.
Versäumnisse beim Datenschutz können schnell teuer werden. In diesem Whitepaper erfahren Sie:
• welche essenziellen Datenschutz-Maßnahmen es für Unternehmen gibt
• welche davon für Ihr Unternehmen relevant sind und
• wie Sie bei der Umsetzung am besten vorgehen.
Das KRITIS-Dachgesetz verlangt von den Betreibern kritischer Infrastrukturen die Umsetzung von Maßnahmen, die die Sicherheit ihrer Anlagen gewährleisten sollen. Hierzu gilt es insbesondere, die folgenden Pflichten zu erfüllen:
- Einzelne Betreiberpflichten
Betreiber kritischer Infrastrukturen müssen angemessene und verhältnismäßige Maßnahmen treffen, um gegen Bedrohungen aller Art gewappnet zu sein. Dies umfasst die Durchführung detaillierter Risikoanalysen (wie etwa die Bewertung des Schutzbedarfs von Unternehmensdaten und die Klassifizierung von Daten) und das Erstellen darauf basierender Resilienzpläne. Dass ein KRITIS-Unternehmen diese Anforderungen an seine Widerstandsfähigkeit erfüllt, muss es alle zwei Jahre dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gegenüber nachweisen.
- Registrierungspflichten
Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Anlagen, ihr Unternehmen bei einer gemeinsam vom BBK und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verwalteten Registerstelle zu registrieren. Kommt ein KRITIS-Betreiber seiner Pflicht zur Registrierung nicht nach, kann das BBK letztere auch selbst vornehmen.
Zudem muss jeder Betreiber eine Kontaktstelle benennen, die als Ansprechpartner für das BBK dient.
- Meldepflichten
Im Falle kritischer Vorfälle sind Betreiber gemäß KRITIS-Dachgesetz in der Pflicht, diese unverzüglich den zuständigen Behörden zu melden. Diese Meldungen müssen Informationen über die Anzahl der betroffenen Nutzer, die prognostizierte Dauer der Störung und die betroffenen geographischen Regionen enthalten.
☝ Schon gewusst?
Risikoanalyse und Bewertung
Jeder KRITIS-Betreiber muss erstmals neun Monate nach der Registrierung und im Anschluss im 4-Jahres-Rhythmus eigene Risikoanalysen und -bewertungen vornehmen. Folgende Aspekte sind dabei abzuklopfen:
- Risiken, die die Stabilität der Wirtschaft beeinträchtigen und durch natürliche und klimatische Ereignisse sowie menschliches Handeln verursacht werden (wie Terror- oder Sabotageakte, Cyberangriffe oder menschliche Fehler wie das Öffnen von Phishing-Mails),
- Bedrohungen, die sektoren- und länderübergreifend auftreten,
- die Gefahr eines gezielten Kombinierens verschiedener Bedrohungen (hybride Bedrohungen) und anderer aggressiver Handlungen sowie
- das Risiko terroristischer Aktivitäten.
Expertentipp
Um den Anforderungen des KRITIS-Dachgesetzes gerecht zu werden, müssen Betreiber kritischer Infrastrukturen ein umfassendes Sicherheitskonzept implementieren und idealerweise unterschiedliche Schutzmaßnahmen kombinieren. Hierzu gehören sowohl physische Barrieren wie Zäune, Sperren und Rund-um-die-Uhr-Überwachung im genutzten Rechenzentrum als auch digitale Vorkehrungen wie Zugangskontrollen, Authentifizierungsverfahren und andere Technologien zum Schutz der Daten wie etwa Confidential Computing. ☝ Achtung: Hierbei gilt es, für Sicherheit der Daten sowohl während ihrer Speicherung und Übertragung als auch ihrer Verarbeitung zu sorgen! Gerade letztere bleibt bei vielen Anbietern unberücksichtigt. Bei der Wahl des richtigen Dienstleisters gilt es also im Blick zu haben, ob dieser auch für sichere „Data in Use“ sorgt und somit Secure Content Collaboration ermöglicht.
So gelingt die reibungslose und hochsichere Content Collaboration.
In dieser Checkliste erfahren Sie, wie Sie
– die passende Datenraum-Lösung finden,
– den richtigen Anbieter auswählen,
– einen Datenraum eröffnen,
– die Zusammenarbeit gestalten und
– die Datenraum-Nutzung stetig optimieren.
Bei der Überwachung und Durchsetzung von Maßnahmen, die Betreiber kritischer Anlagen im Rahmen des KRITIS-Dachgesetzes umsetzen, sind verschiedene Behörden involviert. Federführend ist dabei das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), im Geschäftsbereich des Bundesministeriums des Innern und für Heimat (BMI). Die Aufgaben teilen sich wie folgt unter den Behörden auf:
- Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Das BBK übernimmt eine zentrale Koordinierungsfunktion im Rahmen des KRITIS-Dachgesetzes. Seine Aufgabe ist es, in Zusammenarbeit mit anderen fachlichen Aufsichtsbehörden die Konformität der von den KRITIS-Betreibern umgesetzten Resilienzmaßnahmen mit den Mindeststandards des KRITIS-Dachgesetzes sicherzustellen. Dabei wird es in enger Abstimmung mit den relevanten Bundesaufsichtsbehörden wie BNetzA, BSI, BNetzA und BaFin agieren. Dazu ist das BBK befugt, auch die Räumlichkeiten des KRITIS-Unternehmens zu betreten und Einsicht in dessen Unterlagen zu nehmen. Ebenso ist es berechtigt, Mängelbeseitigungen durchzusetzen und Maßnahmen zur Behebung von Verstößen gegen das KRITIS-Dachgesetz anzuweisen.
- Landesbehörden
Auch die Landesbehörden sollen im Umgang mit dem KRITIS-Dachgesetz eine Rolle spielen. Diese umfasst etwa die Einbindung bei der Überprüfung von Nachweisen und der Annahme von Meldungen.
- Europäische Kommission
Als Umsetzung der EU-Richtlinie RCE ist das KRITIS-Dachgesetz ebenfalls in einen europäischen Kontext eingebunden. In diesem Zusammenhang steht das BBK im Austausch mit der Europäischen Kommission etwa in Bezug auf aufgetretene Sicherheitsvorfälle. Ziel ist es, eine effektive Vernetzung von Aufsichtsbehörden zu fördern, grenzüberschreitende Bedrohungen zu bewältigen und deren Folgen einzudämmen. Das BBK liefert der Europäischen Kommission regelmäßige Berichte zu nationalen Risikoanalysen, kritischen Anlagen und Dienstleistungen sowie gemeldeten Vorfällen und ergriffenen Maßnahmen.
☝ Schon gewusst?
Nachweisforderungsrecht des BBK
Betreiber kritischer Infrastrukturen sind verpflichtet, dem BBK die Umsetzung dieser Resilienzmaßnahmen zu belegen, insofern die Behörde spezifisch danach fragt. Falls die bereitgestellten Informationen nicht ausreichen, kann das BBK weitere Nachweise anfordern. Bei erheblichen Zweifeln an der Umsetzung der Anforderungen hat das BBK das Recht, eigenständige Überprüfungen durchzuführen. Dies schließt die Forderung nach Dokumentationen, Plänen zur Mängelbeseitigung und Belegen zur tatsächlichen Behebung ein.
☝ Schon gewusst?
Während das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) künftig die Einhaltung des KRITIS-Dachgesetzes kontrolliert, ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Überwachung von Cyberangriffen zuständig.
Bei Verstößen gegen das KRITIS-Dachgesetz hat das Bundesamt für Bevölkerungsschutz (BBK) die Befugnis, Bußgelder zu verhängen – vorausgesetzt, der Betreiber kommt nicht innerhalb einer zuvor gesetzten und angemessenen Frist seinen Verpflichtungen nach. Auch der Entzug der Betriebsgenehmigung ist eine mögliche Sanktion.
Als Ordnungswidrigkeit und sanktionsbewehrt gelten u. a.:
- die nicht oder nicht rechtzeitig erfolgte Registrierung
- das Versäumnis, Auskunft zu erteilen oder Nachweise vorzulegen
- das Versäumnis, Risikoanalysen durchzuführen oder Resilienzpläne zu erstellen
- die Verweigerung des Zutritts zu den Geschäftsräumen (für das BBK)
- das Versäumnis, dem BBK einen Plan zur Beseitigung von Mängeln vorzulegen.
Die Höhe der Bußgelder ist jedoch jeweils noch zu definieren.
Bei der CER Directive (zu Deutsch „Richtlinie über die Resilienz kritischer Einrichtungen“, RCE-Richtlinie) handelt es sich um eine EU-weite Richtlinie, die am 16. Januar 2023 in Kraft getreten ist. Sie verpflichtet die Mitgliedsstaaten dazu, zu definieren, welche Unternehmen und Einrichtungen zu den sogenannten „kritischen Infrastrukturen“ (KRITIS) zählen und diese gegen Bedrohungen aller Art abzusichern. Die RCE-Richtlinie müssen die EU-Länder nun bis 17. Oktober 2024 in nationales Recht umwandeln. In Deutschland geschieht dies durch das KRITIS-Dachgesetz.
Betroffene Unternehmen sollten baldmöglichst damit beginnen, das KRITIS-Dachgesetz umzusetzen, da es bereits am 18. Oktober 2024 in Kraft tritt. Die gute Nachricht: Die KRITIS-Unternehmen haben noch bis zum 17. Juli 2026 Zeit, entsprechende Maßnahmen zu ergreifen.
Das KRITIS-Dachgesetz erlegt den Betreibern kritischer Infrastrukturen einige Aufgaben auf:
- Identifikation
KRITIS-Betreiber müssen sich selbst als solche identifizieren.
- Registrierungspflicht
Innerhalb von drei Monaten nach Feststellung der eigenen Identität als KRITIS-Betreiber muss sich das Unternehmen bei der gemeinsamen Registrierstelle des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) registrieren. Dabei sind folgende Angaben zu machen:
- Unternehmensname und -rechtsform, Handelsregisternummer
- Kontaktdaten, IP-Adressbereiche
- Sektor, Branche und Art der kritischen Dienstleistung
- Angaben hinsichtlich Anzahl, Kennzahlen, Standorten und versorgtem Gebiet der Anlagen
- Länder der EU, in denen das KRITIS-Unternehmen Dienstleistungen erbringt. Zwei Wochen nach der Registrierung erhalten KRITIS-Unternehmen die Information, welche Behörde im Sinne des KRITIS-Dachgesetzes für sie zuständig ist.
- Risikoanalysen
KRITIS-Unternehmen sind verpflichtet, Risikoanalysen durchzuführen – erstmals neun Monate nach Registrierung, dann im 4-Jahres-Rhythmus.
- Resilienzpläne und -maßnahmen
Zehn Monate nach Registrierung müssen Betreiber kritischer Anlagen laut KRITIS-Dachgesetz „geeignete und verhältnismäßige“ Maßnahmen zur Stärkung der Widerstandsfähigkeit von KRITIS umgesetzt haben und dies auch nachweisen können. Hierzu gehören u. a.:
- physischer Schutz der Anlage durch Zäune, Sperren, Zugangskontrollen, Überwachung etc.
- technische Sicherheitsvorkehrungen
- Maßnahmen zur Eindämmung der negativen Auswirkung von Vorfällen
- Einrichten von Systemen zum Risiko- und Krisenmanagement
- Erstellen von Krisenreaktionsplänen
- Beziehen von systemrelevanten Rohstoffen und Materialien von mindestens zwei Quellen
- Kontrollierte Zugangsrechte zu kritischen Informationen
- Kontrollieren der Zuverlässigkeit des Personals
- Schulung und Sensibilisierung der Mitarbeiterinnen und Mitarbeiter
- Dokumentation der Maßnahmen in einem Resilienzplan.
- Melden von Bedrohungen
Das KRITIS-Dachgesetz erfordert die Meldung kritischer Sicherheitsvorfälle an die zuständigen Behörden. Auch die Meldepflicht beginnt nach Ablauf von zehn Monaten nach der Registrierung.
- Pflichten der Geschäftsleitung
Die Geschäftsleitung ist gemäß KRITIS-Dachgesetz verpflichtet, die zu treffenden Resilienzmaßnahmen abzusegnen deren Umsetzung zu kontrollieren. Zudem ist sie angehalten, sich in Sachen Risikomanagement schulen zu lassen und dies auf Anfrage auch nachzuweisen.