KRITIS-Dachgesetz (KRITIS-DachG): Resilienz von Kritischen Infrastrukturen

Jetzt beraten lassen
Das KRITIS-Dachgesetz (KRITIS-DachG) ergänzt die bestehenden Regelungen zur Cybersicherheit von Kritischen Infrastrukturen um eine sektorenspezifische Betrachtung der physischen Sicherheit & Resilienz.

Was ist das KRITIS-Dachgesetz?

Das KRITIS-DachG zielt darauf ab, die Widerstandsfähigkeit (Resilienz) kritischer Anlagen in Deutschland gegen physische Angriffe zu stärken. Dafür enthält es Mindestanforderungen an die physische Sicherheit von Kritischen Infrastrukturen (KRITIS) sowie gezielte Unterstützungs- und Aufsichtsmaßnahmen. Hintergrund ist die Umsetzung der EU-Richtlinien zum Schutz Kritischer Infrastrukturen (CER-Richtlinie) in nationales Recht. 

Unter dem Begriff der "kritischen Anlagen" versteht das KRITIS-DachG Anlagen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben und deren Ausfall zu Versorgungsengpässen oder Gefährdungen führen würde. Als Schwellen­wert dafür, ob eine Anlage von dem Gesetz betroffen ist, gilt die Versorgung von 500.000 Personen und mehr.

Wer ist vom KRITIS-Dachgesetz betroffen?

Vom KRITIS-DachG betroffen sind Betreiber kritischer Anlagen in den folgenden 11 Sektoren: 

 

  • Energie
  • Transport & Verkehr
  • Finanz- & Versicherungswesen*
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Ernährung
  • Informationstechnik & Telekommunikation*
  • Siedlungsabfallentsorgung
  • Weltraum
  • Staat

* Diese Sektoren fallen unter den Anwendungsbereich des KRITIS-DachG, werden aber von vielen Pflichten weitgehend ausgenommen.

Wann tritt das KRITIS-Dachgesetz in Kraft?

Der zweite Referentenentwurf des KRITIS-DachG liegt seit Dezember 2023 vor. Er enthält einige Änderungen gegenüber dem ersten Entwurf aus Juli 2023. 

Ursprünglich sollte das Gesetz im Frühjahr 2024 verkündet werden, ein Inkrafttreten scheint sich allerdings zu verzögern.

Generell ist die CER-Richtlinie von den EU-Mitgliedsstaaten bis spätestens zum 17. Oktober 2024 umzusetzen. Folglich ist auch das Inkrafttreten des KRITIS-Dachgesetzes zu diesem Stichtag zu erwarten.
 

Sie benötigen Unterstützung bei der erfolgreichen Umsetzung des KRITIS-Dachgesetzes?

  

Anforderungen des KRITIS-Dachgesetzes

§ 6


Registrierung der kritischen Anlage 

Betreiber kritischer Anlagen sind verpflichtet, diese spätestens 3 Monate nachdem sie erstmals oder erneut als Betreiber kritischer Anlagen gelten beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu melden. In diesem Zuge ist auch eine Kontaktstelle einzurichten und zu benennen. 
  

§ 9


Durchführung von Risikoanalysen & -bewertungen 

Auf Grundlage nationaler Risikoanalysen und Risikobewertungen müssen Betreiber kritischer Anlagen mindestens alle 4 Jahre Risikoanalysen und -be­wer­tungen durchführen. Zu betrachten sind naturbedingte, klimatische und vom Menschen verursachte Risiken, die die Handlungsfähigkeit der Wirtschaft bedrohen. 
 

§ 10


Etablierung von Resilienzmaßnahmen 

Nach Ablauf von 10 Monaten nach Registrierung sind Betreiber kritischer Anlagen dazu verpflichtet geeignete technische, sicherheitsbezogene sowie organi­sa­to­rische Maßnahmen zur Gewährleistung ihrer Widerstandsfähigkeit zu treffen. 
 

§ 10


Erstellung von Resilienzplänen 

Die getroffenen Resilienzmaßnahmen müssen in einem Resilienzplan dargestellt werden, aus dem die den Maßnahmen zugrunde liegenden Erwägungen einschließlich der Risikoanalysen und Risikobewertungen hervorgehen. 

§ 11


Nachweise 

Mit dem Ziel der Überprüfung der Einhaltung von Maßnahmen können durch die zuständige Aufsichtsbehörde entsprechende, erforderliche Nachweise verlangt werden. Der Nachweis kann durch Audits erfolgen. Vorgaben zu den Anforderungen legt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fest. 
 

§ 12


Meldepflicht für Vorfälle 

Erhebliche Störungen, die die Erbringung kritischer Dienstleistungen betreffen, sind innerhalb von 24 Stunden an eine vom BBK und dem BSI eingerichtete gemeinsame Meldestelle zu melden. Spätestens einen Monat nach dem Vorfall ist zudem ein ausführlicher Bericht zu übermitteln.

§ 14


Billigungs -, Überwachungs -, & Schulungspflicht für Geschäftsleiter

Geschäftsleiter von Betreibern kritischer Anlagen sind verpflichtet die Umsetzung der ergriffenen Maßnahmen zu billigen und zu überwachen. Darüber hinaus müssen sie regelmäßig an Schulungen teilnehmen, um Kenntnisse und Fähigkeiten im Risikomanagement auf- und auszubauen.

§ 19


Bußgeldvorschriften

Die genaue Höhe von Bußgeldern ist im Referententwurf des Gesetzes noch nicht definiert. Zu den Ordnungswidrigkeiten zählen beispielsweise die nicht rechtzeitige Registrierung, fehlende Unterlagen oder Risikobewertungen oder nicht geeignete Resilienzmaßnahmen. 
 

KRITIS-Dachgesetz vs. NIS-2-Richtlinie

KRITIS-DachG

Fokus: Physische Sicherheit & Resilienz von kritischen Anlagen
 

  • Das KRITIS-Dachgesetz (KRITIS-DachG) betrifft Betreiber kritischer Anlagen in 11 verschiedenen Sektoren in Deutschland und innerhalb der EU. 
  • Bezieht sich auf die Umsetzung der CER-Richtlinie, die bis spätestens zum 17. Oktober 2024 erfolgen muss.
  • Die zuständige Aufsichtsbehörde ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). 

NIS2UmsuCG

Fokus: Cybersicherheit von Kritischen Infrastrukturen
 

  • Das NIS-2-Umsetzungs- & Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betrifft KRITIS-Betreiber ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren sowie Sonderfälle. 
  • Bezieht sich auf die Umsetzung der NIS-2-Richtlinie, die spätestens bis zum 17. Oktober 2024 erfolgen muss.
  • Die zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). 

Mehr zur NIS-2-Richtlinie erfahren Sie hier

 

Sie haben Fragen? Jetzt Kontakt aufnehmen!

  

Carsten Keil

Senior Sales Manager

+49 160 8885406
c.keil@tuvit.de