Im dritten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf das KRITIS-Dachgesetz, das als Regierungsentwurf am 06.11.2024 verabschiedet, aber als Gesetz bisher noch nicht verkündet wurde.

Das KRITIS-Dachgesetz ergänzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, Regierungsentwurf), indem es die Anforderungen an die Sicherheit und Resilienz kritischer Infrastrukturen in Deutschland erweitert. Während das NIS2UmsuCG den Fokus auf die Cybersicherheit und organisatorische Schutzmaßnahmen legt, geht das KRITIS-Dachgesetz darüber hinaus und integriert auch physische Resilienzmaßnahmen zum Schutz vor Naturkatastrophen, Sabotage und Ausfällen.

Die Grafik zeigt die vom KRITIS-Dachgesetz und NIS2UmsuCG betroffenen Sektoren.
Abb.: eigene Darstellung

Kritische Infrastrukturen (KRITIS) umfassen Sektoren, deren Ausfall gravierende Folgen für die öffentliche Sicherheit und Versorgung hätte. Hierzu gehören u. a. Energieversorgung, Wasserversorgung, Transport und Verkehr, Gesundheitswesen und Finanzmärkte. Mit dem KRITIS-Dachgesetz werden diese Sektoren weiter differenziert und um neue Bereiche wie digitale Infrastruktur, Sozialversicherungen und Abfallentsorgung ergänzt.

Die Grafik zeigt eine Tabelle mit einer Übersicht über die Resilienzmaßnahmen nach § 13 KRITIS-Dachgesetz.
Abb.: eigene Darstellung

Risikoanalyse, Resilienzplanung und Krisenvorsorge

Ein zentrales Element des Gesetzes ist die Verpflichtung zur Risikoanalyse und Resilienzplanung. Betreiber müssen Gefährdungsszenarien bewerten und Notfallpläne entwickeln, um sowohl physische als auch digitale Angriffe abzuwehren. Dazu gehört die Absicherung von Betriebsstätten durch Zutrittskontrollen, Überwachungssysteme und Redundanzen für kritische Prozesse. Beispielsweise müssen Wasserwerke sicherstellen, dass ihre SCADA-Systeme (Supervisory Control and Data Acquisition) gegen Cyberangriffe geschützt und gleichzeitig physisch vor Sabotage gesichert sind (vgl. Entwurf KRITIS-Dachgesetz).

Ein weiterer Schwerpunkt liegt auf der Krisenvorsorge. Betreiber kritischer Infrastrukturen müssen Notfallmaßnahmen für unterschiedliche Szenarien dokumentieren und regelmäßig testen. Hierzu gehören unter anderem Ersatzsysteme, die im Falle eines Angriffs aktiviert werden können, und Wiederherstellungsstrategien für IT- und OT-Systeme. Die Verpflichtung zu regelmäßigen Notfallübungen stellt sicher, dass Mitarbeiter auf Krisensituationen vorbereitet sind und Eskalationsprozesse reibungslos ablaufen (vgl. BMI zum KRITIS-Dachgesetz).

Das Gesetz verlangt zudem die Zusammenarbeit mit Behörden. Betreiber müssen Resilienzmaßnahmen und Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) bzw. das Bundesamt für Bevölkerungsschutz und Katastrophenschutz (BBK) sowie an zuständige Landesbehörden melden. Insbesondere bei großflächigen Angriffen oder Katastrophen müssen Unternehmen eng mit Krisenstäben kooperieren. Dabei spielt auch die Einbindung von Polizei und Feuerwehr eine Rolle, um physischen Bedrohungen angemessen begegnen zu können.

Herausforderungen ergeben sich vor allem bei der Integration bestehender Systeme in moderne Sicherheitskonzepte. Viele KRITIS-Betreiber verfügen über ältere Infrastrukturen, die nicht auf aktuelle Bedrohungsszenarien ausgelegt sind. Dies betrifft insbesondere die Verzahnung von OT- und IT-Systemen, bei der Sicherheitslücken oft über veraltete Schnittstellen realisiert werden.

Die Umsetzung des KRITIS-Dachgesetzes erfordert daher ein strategisches Vorgehen: Zunächst sollten Unternehmen eine Bestandsaufnahme aller relevanten Systeme durchführen und Schwachstellen in den physischen und digitalen Schutzmaßnahmen identifizieren. Anschließend sind Schutzkonzepte zu entwickeln, die sowohl technische als auch organisatorische Maßnahmen abdecken. Hierzu gehört bspw. der Einsatz von Videoüberwachung, Zutrittskontrollsystemen und automatisierten Alarmsystemen zur Sicherung von Gebäuden und Anlagen.

Auch die Integration von gängigen Standards (z. B. ISO/IEC 27001) kann die Umsetzung erleichtern. Diese Standards bieten bewährte Methoden zur Entwicklung von Krisenmanagementstrategien und zur Sicherstellung der Geschäftskontinuität. Ergänzend können Penetrationstests und Schwachstellenanalysen Aufschluss über Lücken im Sicherheitskonzept geben.

Ein besonderes Augenmerk liegt auf der Schulung von Mitarbeitern. Simulierte Angriffe und Live-Übungen ermöglichen es, das Krisenmanagement regelmäßig zu testen und Eskalationspläne zu optimieren. Zudem sollte die Zusammenarbeit mit externen Beratern und Sicherheitsdienstleistern intensiviert werden, um von Best Practices und neuen Technologien zu profitieren.

Das KRITIS-Dachgesetz ist mehr als eine regulatorische Vorschrift – es bildet die Grundlage für eine ganzheitliche Sicherheitsstrategie, die physische und digitale Bedrohungen gleichermaßen berücksichtigt. Unternehmen, die die Anforderungen frühzeitig umsetzen, schützen nicht nur ihre Betriebskontinuität, sondern können durch Zertifizierungen und Audits auch Vertrauen bei Kunden und Partnern gewinnen.

Die Kombination aus NIS2UmsuCG und KRITIS-Dachgesetz ermöglicht es Betreibern, Sicherheitsmaßnahmen umfassend zu integrieren und so eine robuste Resilienz gegenüber komplexen Bedrohungsszenarien und Angriffsvektoren aufzubauen.

Im vierten Beitrag aus unserer Blogreihe „sicher & resilient“ befassen wir uns mit dem Cyber Resilience Act (CRA).

Weitere Teile der Blogreihe „sicher & resilient“:

| | | , , , , , , , , , ,