KRITIS-Dachgesetz –

Wissen kompakt

  • Physischer Schutz kritischer Anlagen und Systeme
  • Stabilität von Versorgung und gesellschaftlicher Ordnung
  • Organisationen und Einrichtungen aus 11 verschiedenen Sektoren
  • a. Erstellung von Resilienzplänen mit Schutzmaßnahmen
  • Wann: Voraussichtliches Inkrafttreten des Gesetzes ab 2024
Inhalt

Was ist das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz (KRITIS-DachG) soll die CER-Richtlinie (EU-Richtlinie) umsetzen und zielt auf die Stärkung der Resilienz von Unternehmen, die als kritische Infrastrukturen eingestuft sind. Während sich das IT-Sicherheitsgesetz bzw. das IT-Sicherheitsgesetz 2.0 ausschließlich auf die IT-Sicherheit fokussieren, soll das KRITIS-Dachgesetz den physischen Schutz von KRITIS-Organisationen und -Einrichtungen zum Ziel haben. Das KRITIS-Dachgesetz ist noch nicht verabschiedet, ein Referentenwurf aus dem Juli 2023 liegt vor.

Wann tritt das KRITIS-Dachgesetz in Kraft?

Für das KRITIS-Dachgesetz besteht bislang (Stand: Dezember 2023) lediglich ein Referentenentwurf vom Juli 2023. Dieser liegt den Ländern und Verbänden bereits vor. Das Gesetz soll noch im Jahr 2023 verabschiedet werden, sodass es im Jahr 2024 in Kraft treten könnte. Einzelne Paragraphen und Vorgaben, die im Gesetzesentwurf zum Schutz kritischer Infrastrukturen vorgesehen sind, können auch zu einem späteren Zeitpunkt rechtsgültig werden.

Wer ist vom KRITIS-Dachgesetz betroffen?

Zum Schutz des gesamtgesellschaftlichen Systems innerhalb Deutschlands und der EU führt die Bundesregierung das KRITIS-Dachgesetz verpflichtend ein. Das KRITIS-Dachgesetz gilt für Organisationen und Einrichtungen, die als kritische Infrastrukturen bzw. kritische Anlagen eingestuft werden. Dazu gehören Unternehmen aus den folgenden Sektoren:

  • Energie
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Siedlungsabfallentsorgung
  • Informationstechnik und Telekommunikation
  • Ernährung
  • Weltraum
  • Öffentliche Verwaltung

 

Zudem müssen Unternehmen folgende Kriterien erfüllen, um zu den kritischen Anlagen gezählt zu werden:

  • maßgebliche Rolle bei der Gesamtversorgung in Deutschland
  • Versorgung von mehr als 500.000 Personen

Eigenverantwortliches Handeln gefordert

  1. Betreiber potenziell kritischer Infrastrukturen müssen selbst prüfen, ob ihr Unternehmen unter das KRITIS-Gesetz bzw. das Kritische-Infrastrukturen-Gesetz fällt.
  2. Sobald dies der Fall ist, müssen die Betreiber sich spätestens am nächsten Werktag bei einer eigens von BSI und BBK eingerichteten Registrierungsbehörde melden. Zudem müssen sie eine Kontaktstelle einrichten, die jederzeit erreichbar ist.

Welche Pflichten haben Betreiber von kritischen Anlagen einzuhalten?

Betreiber kritischer Infrastrukturen bzw. kritischer Einrichtungen müssen verschiedene Anforderungen erfüllen, um die Vorgaben des KRITIS-Dachgesetzes einzuhalten.

  • Auf Grundlage einer Risikobewertung konkrete Maßnahmen identifizieren, um das Unternehmen gegen mögliche Risiken abzusichern.
  • Maßnahmen müssen in einem Resilienzplan festgehalten werden.
  • In regelmäßigen Abständen müssen neue Risikobewertungen durchgeführt werden, um die Sicherheit der kritischen Infrastruktur dauerhaft schützen zu können.

Wie erfolgen Umsetzung und Überwachung des KRITIS-Dachgesetzes?

Für die Umsetzung der CER-Richtlinie ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zuständig. Entsprechend unterstützt das BBK die Betreiber kritischer Infrastrukturen bei der Umsetzung zum Schutz ihrer Systeme. Dabei steht das BBK im Austausch mit dem Bundesamt für Informationssicherheit (BSI) und der Bundesnetzagentur (BNetzA). Dem BBK obliegt es, zu prüfen, ob die Vorgaben zum Schutz kritischer Infrastrukturen durch einen Betreiber erfüllt wurden oder nicht. Bei Nichterfüllen können Bußgelder verhängt werden.

Was sind die Folgen bei Nichteinhaltung des Gesetzes?

Betreiber, deren Unternehmen laut Kritisverordnung (BSI-KritisV) zu den kritischen Infrastrukturen gehören, müssen bei Nichtbeachtung der Vorgaben mit hohen Bußgeldern rechnen. Die konkrete Höhe der Bußgelder ist noch nicht festgelegt. Vor der Verhängung eines Bußgeldes bekommt der Betreiber die Möglichkeit, seinen Verpflichtungen innerhalb einer angemessenen Frist nachzukommen.

Sie haben Fragen zu KRITIS-Dachgesetz?
Wir unterstützten Sie gerne mit fundiertem Know-how.

Kontaktformular
Ansprechpartner
Ulrich Alt

Risk & Compliance Manager

ulrich.alt@viridicon.de

FAQ: Häufige Fragen zum KRITIS-Dachgesetz

Welche Rolle spielt internationale Zusammenarbeit im Zusammenhang mit dem KRITIS-Dachgesetz?
Wie können Unternehmen sich auf die Anforderungen des KRITIS-Dachgesetzes vorbereiten?
Wie sollte auf Störungen in kritischen Infrastrukturen reagiert werden?
Gegen welche Gefahren müssen Betroffene sich nach dem KRITIS-Dachgesetz absichern?
Was passiert mit bereits bestehenden Anforderungen zur Sicherheit im KRITIS-Sektor?

Beratung zum Thema KRITIS