In einer Zeit, in der die Bedrohungen für kritische Infrastrukturen sowohl in ihrer Häufigkeit als auch in ihrer Komplexität zunehmen, bietet das KRITIS-Dachgesetz einen wichtigen Handlungsrahmen für Unternehmen.
Betroffene Unternehmen müssen proaktiv handeln, um Compliance sicherzustellen und die Integrität der kritischen Dienstleistungen zu schützen. Durch Best-Practices-Realisierung und die kontinuierliche Anpassung an die dynamische Sicherheitslandschaft können Sie für Ihr Unternehmen die Resilienz gegenüber Bedrohungen stärken und einen wesentlichen Beitrag zum Schutz nationaler und wirtschaftlicher Interessen leisten.
Was versteht man unter KRITIS und dem KRITIS-Dachgesetz?
KRITIS steht für kritische Infrastrukturen. Damit sind Einrichtungen, Anlagen und Teile davon gemeint, die für das Funktionieren unserer Gesellschaft essenziell sind und eine störungsfreie Versorgung von lebensnotwendigen Gütern wie Dienstleistungen sichern.
Das KRITIS-Dachgesetz umfasst ein Bündel von Gesetzen und Verordnungen, die darauf abzielen, die Sicherheit und Resilienz dieser essenziellen Infrastrukturen zu gewährleisten. Dieses Dachgesetz ist dabei kein eigenstehendes Gesetz. Es ist eine Regelung, um den Umgang mit relevanten Gesetzen sektorübergreifend anwenden zu können.
Im Folgenden die Sektoren und ihre Relevanz:
• Energie: Zu diesem Sektor zählen die Strom-, Gas- und Fernwärmeversorgung. Eine Unterbrechung der Energieversorgung hätte weitreichende Folgen für nahezu alle Lebensbereiche und Wirtschaftszweige.
• Informationstechnik und Telekommunikation: Dieser Sektor umfasst die Bereitstellung und Verteilung von Informations- und Kommunikationstechnologien. Er ist grundlegend für die Funktionsfähigkeit moderner Gesellschaften, ermöglicht die digitale Vernetzung und ist essenziell für den Betrieb anderer kritischer Infrastrukturen.
• Transport und Verkehr: Hierzu gehören der Güter- und Personenverkehr auf der Straße, der Schiene, in der Luft sowie auf Wasserwegen. Der Sektor ist entscheidend für die Mobilität von Personen und Waren und damit für die Aufrechterhaltung der wirtschaftlichen Aktivitäten und Versorgungsketten.
• Gesundheit: Krankenhäuser, Arztpraxen, Apotheken und Einrichtungen zur Herstellung von Medikamenten und medizinischen Geräten sind in diesem Sektor zusammengefasst. Seine Funktionsfähigkeit ist essenziell für die medizinische Versorgung der Bevölkerung.
• Wasser: Die Versorgung mit Trinkwasser und die Abwasserentsorgung sind hier verortet. Eine sichere Wasserversorgung ist fundamental für das öffentliche Wohlergehen und die Hygiene.
• Ernährung: Dieser Sektor umfasst die Lebensmittelproduktion, -verarbeitung und -verteilung und somit die Versorgung der Bevölkerung.
• Finanz- und Versicherungswesen: Zu diesem Sektor zählen Banken, Börsen und Versicherungen. Sie sind entscheidend für die Stabilität des Wirtschaftssystems, die Abwicklung des Zahlungsverkehrs und die Bereitstellung finanzieller Dienstleistungen.
• Staat und Verwaltung: Hierunter fallen Einrichtungen der öffentlichen Verwaltung, Parlamente, Justizeinrichtungen und Notdienste. Sie sind wesentlich für das Funktionieren des Staates und die Aufrechterhaltung der öffentlichen Ordnung und Sicherheit.
Warum ist das KRITIS-Dachgesetz für Ihr Unternehmen relevant?
Digitale Sicherheit, Bedrohungen durch Naturkatastrophen, Sabotage, Terrorismus oder politische Unruhen – diese Themen haben in den vergangenen Jahren für die Gesellschaft im Allgemeinen und Unternehmen mit kritischer Infrastruktur im Besonderen stark an Bedeutung gewonnen. Die einzelnen Teilsektoren greifen in vielen Bereichen ineinander und sind voneinander abhängig.
Daher ist die Sicherstellung der Integrität und Verfügbarkeit der kritischen Infrastrukturen mehr als nur eine rechtliche Verpflichtung – sie ist eine Notwendigkeit zum Schutz nationaler Interessen und dient zur Sicherung der Unternehmenskontinuität.
Ist Ihr Unternehmen als Betreiber kritischer Infrastrukturen klassifiziert oder auf dem Weg, diesen Status für sich zu sichern, sind spezifische Sicherheitsmaßnahmen von Relevanz. Diese müssen sowohl physische als auch digitale Sicherheit bieten.
Welche Unternehmen sind vom KRITIS-Dachgesetz betroffen?
Die Zugehörigkeit zu KRITIS wird in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen des IT-Sicherheitsgesetzes und basierend auf der BSI-Kritisverordnung (BSI-KritisV) bestimmt. Die Einstufung hängt von verschiedenen Faktoren ab, einschließlich der Bedeutung des Unternehmens für die jeweilige Versorgungskette und der potenziellen Auswirkungen eines Ausfalls. Ist das Unternehmen in einem der relevanten Sektoren tätig und für die Versorgung von mehr als 500.000 Personen zuständig, greifen die Regelungen aus dem KRITIS-Dachgesetz.
KRITIS: Implementierung von sektorspezifischen Regelungen
Die Implementierung von sektorspezifischen Regelungen ist ein mehrstufiger Prozess. Diese Regelungen sind maßgeschneidert, um den einzigartigen Anforderungen und Risikoprofilen jedes Sektors gerecht zu werden.
Identifikation und Klassifizierung von KRITIS-Unternehmen: Zunächst werden Unternehmen, die zu den kritischen Sektoren gehören, identifiziert und hinsichtlich ihres Beitrags zur Versorgungssicherheit bewertet.
Risikoanalyse und Sicherheitsanforderungen: In einem identifizierten KRITIS-Unternehmen muss eine Risikoanalyse durchgeführt werden. So lassen sich potenzielle Bedrohungen und Schwachstellen konkret benennen. Auf Basis dieser Analysen werden sektorspezifische Sicherheitsanforderungen entwickelt. Sowohl präventive als auch reaktive Maßnahmen sind zu beachten.
Implementierung von Schutzmaßnahmen: KRITIS-Unternehmen sind dann verpflichtet, die festgelegten Sicherheitsmaßnahmen umzusetzen. Diese können technischer, organisatorischer oder personeller Natur sein.
Meldewesen und Informationsaustausch: Ein zentraler Aspekt der Regelungen ist die Etablierung eines effektiven Meldewesens für Sicherheitsvorfälle. Auch der Austausch von Informationen über Bedrohungen und Best-Practice zwischen den Unternehmen, Branchenverbänden und staatlichen Behörden ist relevant.
Überprüfung und Auditierung: Regelmäßige Überprüfungen und Auditierungen durch die zuständigen Behörden oder externe Prüfer stellen sicher, dass die implementierten Schutzmaßnahmen effektiv sind und den aktuellen Bedrohungen entsprechen.
Fortbildung und Sensibilisierung: Die stetige Fortbildung der Mitarbeiter und die Sensibilisierung für Sicherheitsrisiken sind wesentliche Bestandteile der Regelungen.
Notfall- und Wiederherstellungspläne: KRITIS-Unternehmen müssen Notfall- und Wiederherstellungspläne entwickeln, die im Falle eines Sicherheitsvorfalls oder einer anderen Beeinträchtigung ihrer Dienste aktiviert werden können.
Welche Unternehmen sind vom KRITIS-Dachgesetz betroffen?
Setzen Sie die physische und digitale Sicherheit für Ihr Unternehmen im Rahmen des KRITIS-Dachgesetzes um. Passende Maßnahmen agieren nicht nur nach den gesetzlichen Vorgaben, sondern adressieren auch die individuellen Anforderungen Ihres Unternehmens:
• Schwachstellenanalyse
• Risikoüberwachung und Risikominderung
• Umsetzung branchentypischer Sicherheitsbestimmungen und Sicherheitsstandards
• Konzeption, Projektierung und Umsetzung von Lösungen
• Technische, personelle und organisatorische Überwachung
• Kontrolle von Anlagen und Einrichtungen
• Echtzeit-Erkennung und schnelle Reaktion auf Vorfälle
