Resilienz kritischer Infrastrukturen: Was Unternehmen jetzt über das KRITIS-Dachgesetz wissen müssen

In Deutschland sind kritische Infrastrukturen von der Stromversorgung über die Wasserversorgung bis hin zu Kommunikationsnetzwerken entscheidend für das tägliche Leben und das Funktionieren der Gesellschaft. Um diese Infrastrukturen vor zunehmenden Bedrohungen beispielsweise durch Sabotageakte, Terroranschläge oder auch den Klimawandel zu schützen, wurde das KRITIS-Dachgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen) eingeführt. 

Doch was genau regelt das Gesetz? Wer ist betroffen, und was müssen Unternehmen jetzt tun, um den neuen Anforderungen gerecht zu werden? In diesem Beitrag werfen wir einen Blick auf die wesentlichen Aspekte des KRITIS-DachG und geben praxisnahe Antworten auf wichtige Leitfragen.

Hintergründe des KRITIS-DachG und seine Regelungen 

Die Bundesregierung hat das KRITIS-DachG im November beschlossen, um den Schutz und die Resilienz kritischer Infrastrukturen in Deutschland zu stärken. Kritische Infrastrukturen sind Einrichtungen, deren Störung oder Zerstörung gravierende Auswirkungen auf die Gesellschaft und die Wirtschaft haben könnte. Dazu zählen unter anderem die Energieversorgung, die Wasserversorgung, das Gesundheitswesen und die öffentliche Verwaltung.

Im Rahmen des Gesetzes werden Betreiber kritischer Infrastrukturen unter anderem dazu verpflichtet, die physische Sicherheit ihrer Anlagen zu gewährleisten. Die Betreiber müssen sich bis Juli 2026 auf einer gemeinsamen Plattform des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie des Bundesamts für Sicherheit in der Informationstechnik (BSI) registrieren. Außerdem müssen sie etwaige Vorfälle unverzüglich über die eingerichtete gemeinsame Meldestelle dieser Bundesämter melden. 

Ein zentraler Bestandteil des Gesetzes ist der „All-Gefahren-Ansatz“, der alle denkbaren Risiken berücksichtigt – von Naturkatastrophen bis hin zu terroristischen Angriffen. Betreiber sind verpflichtet, Resilienzpläne zu erstellen, um im Falle von Störungen schnell handlungsfähig zu bleiben.

Diese Branchen sind betroffen – auch wenn sie erst auf den zweiten Blick „kritisch“ wirken

Betroffen sind grundsätzlich alle Betreiber von Anlagen, die für die öffentliche Versorgung unerlässlich sind. Die genaue Zuordnung erfolgt anhand quantitativer und qualitativer Kriterien, wie etwa der Zahl der versorgten Personen oder der Abhängigkeit anderer Sektoren von einer bestimmten Infrastruktur. Konkrete Schwellenwerte werden in einer noch zu erlassenen Rechtsverordnung festgelegt. 

Zu den klassischen betroffenen Sektoren zählen Energieversorgung, Wasserwirtschaft, Gesundheitswesen, Transport und Verkehr sowie die IT- und Telekommunikationsinfrastruktur. Es ist nicht nur der Staat in der Pflicht, sondern auch private Unternehmen, insbesondere solche, die eine große Anzahl an Menschen oder systemrelevante Wirtschaftsbereiche versorgen.

Auch Branchen, die auf den ersten Blick nicht unmittelbar „kritisch“ wirken, können von KRITIS-DachG erfasst sein. Dazu gehören beispielsweise große Lebensmittelproduzenten oder Logistikunternehmen, die für eine stabile Nahrungsmittelversorgung oder den Warenverkehr verantwortlich sind. Auch kleinere Betreiber von Infrastruktur, die in einem bestimmten Sektor eine Schlüsselrolle spielen, müssen sicherstellen, dass sie die Vorgaben erfüllen.

Umsetzung des Gesetzes: Next Steps für Unternehmen

Bis Juli 2026 steht für die Betreiber kritischer Infrastruktur die Registrierung auf dem Plan.

KRITIS-Betreiber müssen sich bis 2026 registrieren

Die Registrierung erfolgt auf einer gemeinsamen Plattform des BBK und des BSI. Dabei müssen Betreiber von kritischen Infrastrukturen verschiedene Angaben machen, wie etwa:

• Namen des Betreibers kritischer Anlagen (einschließlich Rechtsform und Handelsregisternummer),
• Anschrift des Betreibers kritischer Anlagen (einschließlich E-Mail-Adresse, öffentliche IP-Adressbereiche und Telefonnummer),
• Sektor und Branche, zu dem die kritische Anlage gehört,
• Kontaktstelle, über die der Betreiber kritischer Anlagen erreichbar ist.

Achtung! Verstöße gegen die Registrierungspflichten stellen eine Ordnungswidrigkeit dar und können mit einem Bußgeld von bis zu EUR 500.000 geahndet werden.

Unternehmen müssen einen Resilienzplan mit geeigneten Schutzmaßnahmen aufstellen

Zudem ist der Betreiber kritischer Anlagen verpflichtet, Maßnahmen zur Sicherung seiner Widerstandfähigkeit zu ergreifen und diese in einem Resilienzplan darzulegen. Aus dem Resilienzplan müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen. 

Empfehlenswert ist daher, dass Unternehmen bereits im Vorfeld eine detaillierte Bestandsaufnahme ihrer Anlagen und deren Kritikalität durchführen. Dies könnte die Einholung technischer Berichte oder die Konsultation von Experten für Risikomanagement und IT-Sicherheit erfordern.

Wie sehen geeignete Maßnahmen zur Sicherung der Funktionsfähigkeit aus?

Die Maßnahmen zur Sicherung der Funktionsfähigkeit müssen den spezifischen Anforderungen des jeweiligen Sektors gerecht werden. Sie müssen sicherstellen, dass die Infrastruktur auch bei Störungen weiterhin funktionieren oder schnellstmöglich wiederhergestellt werden kann. 

Konkrete Maßnahmen werden im KRITIS-DachG nicht benannt, da die Maßnahmen, die zur Gewährleistung der Resilienz geeignet sind, von Sektor zu Sektor sowie von Unternehmen zu Unternehmen verschieden sein können. 

Mögliche Maßnahmen könnten beispielsweise umfassen:

• Notfallvorsorge,
• Überwachung der Umgebung, 
• Zugangskontrollen,
• Notstromversorgung.

Ein Unternehmen muss nachweisen, dass es geeignete Maßnahmen umgesetzt hat und regelmäßig auf ihre Wirksamkeit hin überprüft. Wichtig ist, dass die Maßnahmen vollständig und nachvollziehbar dokumentiert sind. Dies ist die Grundlage für Prüfungen durch Aufsichtsbehörden.

Dokumentationspflichten und Fallstricke

Betreiber müssen sicherstellen, dass sie alle getroffenen Maßnahmen ordnungsgemäß dokumentieren. Sie sollten beispielsweise detaillierte Aufzeichnung von

• Risikobewertungen und Maßnahmenplänen,
• Testberichte für Notfallszenarien und deren Ergebnisse,
• Schulungsnachweisen für Mitarbeiter.

vorweisen können.

Unzureichende Dokumentationen oder fehlende Nachweise können zu Sanktionen führen. Auch bei der Umsetzung von Sicherheitsmaßnahmen könnte es zu Unsicherheiten kommen, da der Gesetzgeber nicht klar festlegt, welche Standards als „geeignet“ gelten. Für Betreiber kritischer Anlagen lauern hier Fallstricke, wenn Sie die Eignung ihrer Resilienzmaßnahmen nicht hinreichend belegen. Unternehmen sollten hier proaktiv mit Experten zusammenarbeiten, um Fehler zu vermeiden.

Mehrfachregulierung: KRITIS-DachG im Zusammenspiel mit NIS-2 und DORA

Das KRITIS-Dachgesetz ist nicht das einzige Regelwerk zur Steigerung der Resilienz, das Unternehmen betreffen könnte. Es ist wichtig, die Wechselwirkungen mit anderen bestehenden und kommenden Regelungen wie der NIS-2-Richtlinie (Netzwerk- und Informationssicherheit) und DORA (Digital Operational Resilience Act) zu verstehen.

• NIS-2: Diese EU-Richtlinie richtet sich ebenfalls an Betreiber wesentlicher Dienste und schreibt Maßnahmen zur Cybersicherheit vor. Unternehmen, die bereits durch NIS-2 in der Pflicht sind, müssen sicherstellen, dass ihre IT-Sicherheitsmaßnahmen auch mit den Anforderungen des KRITIS-DachG übereinstimmen. Dies könnte zu doppelten Compliance-Anforderungen führen, insbesondere in Bezug auf die Dokumentation und die regelmäßige Risikoanalyse.
• DORA: Dieser Rechtsrahmen für digitale Betriebsresilienz erfasst alle regulierten Finanzunternehmen in der Europäischen Union. Gegenstand der Richtlinie ist deren Fähigkeit, auf IT-Ausfälle zu reagieren. Das KRITIS-DachG könnte eine zusätzliche Belastung für Unternehmen in der Finanzindustrie darstellen, da sie sowohl die Anforderungen der DORA als auch des KRITIS-Dachgesetzes erfüllen müssen.

Unternehmen müssen daher die potenzielle Mehrfachregulierung im Blick haben und sicherstellen, dass sie alle Anforderungen erfüllen.

Ein proaktiver Ansatz ist der Schlüssel zu erfolgreichen Umsetzung der Maßnahmen

Das KRITIS-DachG bringt neue, sektorübergreifende Anforderungen für Betreiber kritischer Infrastrukturen, die eine umfassende Risikomanagementstrategie erfordern. Unternehmen müssen sich auf die Registrierung und Umsetzung von Schutzmaßnahmen vorbereiten, um rechtssicher zu agieren und Strafen zu vermeiden.

Ein proaktiver Ansatz bei der Planung und Umsetzung von Resilienzmaßnahmen ist der Schlüssel, um die Anforderungen effizient zu erfüllen und die langfristige Funktionsfähigkeit der eigenen Infrastruktur zu gewährleisten. 

Gleichzeitig gilt es, die Wechselwirkungen mit anderen Vorschriften wie NIS-2 und DORA zu verstehen, um redundante Aufwände und regulatorische Konflikte zu vermeiden. Die potenzielle Mehrfachregulierung kann eine Herausforderung darstellen, da Unternehmen sicherstellen müssen, dass sie alle Anforderungen erfüllen und keine regulatorischen Konflikte entstehen. Es ist ratsam, dass Unternehmen ihre Compliance-Strategie auf diese Überschneidungen abstimmen und rechtliche Beratung einholen. Kommen Sie gerne auf uns zu.