Die Eckpunkte des Dachgesetz zum erhöhten Schutz kritischer Infrastrukturen

Die Bundesregierung hat die neuen Eckpunkte für das KRITIS-Dachgesetz, die von der Bundesministerin des Innern und für Heimat, Nancy Faeser vorgestellt wurden, beschlossen. Dies setzt die wesentlichen Ziele und Regelungsinhalte des Koalitionsvertrags fest, in dem dieses Vorhaben vereinbart wurde.

Die Betreiber von Kritischen Infrastrukturen müssen ihre Schutzmaßnahmen verstärken, um ihre Systeme besser gegen Ausfälle zu schützen. Das KRITIS-Dachgesetz erlaubt es dem Staat und den Betreibern dieser Anlagen, Gefahren besser zu erkennen. In dem Eckpunktepapier werden außerdem sektorenübergreifende Mindeststandards für die Betreiber festgelegt. Dadurch gibt es den Betreibern mehr Orientierung und Handlungssicherheit – sie können sich effektiver gegen Angriffe verteidigen.

Auch ein zentrales Störungs-Monitoring wird als Ergänzung zum bestehenden Meldewesens im Cybersicherheitsbereich einen Überblick über mögliche Schwachstellen beim physischen Schutz Kritischer Infrastrukturen gewährleistet. Die Zusammenarbeit der beteiligten Akteure im Bereich der Kritischen Infrastrukturen soll durch das KRITIS-Dachgesetz deutlicher herausgearbeitet werden.

Das KRITIS-Dachgesetz ersetzt gleichzeitig die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtinie), die vorausschauend Ende 2022 verabschiedet wird. Die Einbettung des Gesetzes in das europäische Gesamtsystem sowie grenzbezogene Kooperation verstärken zudem die Versorgungssicherheit in Deutschland und Europa .

Die Ziele des KRITIS Dachgesetz im Überblick:

Kritische Infrastrukturen werden klar identifiziert.

  1. Kritische Infrastrukturen werden klar identifiziert.

  2. Die Resilienz des Gesamtsystems der Kritischen Infrastrukturen wird durch einheitliche Mindestvorgaben für Resilienzmaßnahmen in allen Sektoren gestärkt.

  3. Der Schutz Kritischer Infrastrukturen ist eine ressort- und akteursübergreifende und gesamtstaatliche Aufgabe. Die Betreiber der Kritischen Infrastrukturen – ob private Unternehmen oder öffentliche Einrichtungen – müssen ihre Funktionsfähigkeit gewährleisten. Der kooperative Ansatz wird mit dem KRITIS-Dachgesetz durch verpflichtende Schutzstandards für die physische Sicherheit ergänzt. Damit wird den Betreibern mehr Orientierung und Handlungssicherheit gegeben.

  4. Auch durch die Schaffung eines staatlichen Rahmens mit dem einzuführenden Meldewesen für Sicherheitsvorfälle und Kontrollen übernimmt der Staat eine größere Verantwortung beim Schutz Kritischer Infrastrukturen. Das neu einzuführende Meldewesen im Bereich der physischen Sicherheit ergänzt hierbei das bereits bestehende Meldewesen im Bereich der Cybersicherheit Kritischer Infrastrukturen. Der Staat wird die Betreiber zudem weiterhin durch Analysen sowie Leitfäden, Beratung, Übungen und Schulungen unterstützen.

  5. Die Auswirkungen auf das Gesamtsystem aller Kritischen Infrastrukturen muss beim physischen Schutz Kritischer Infrastrukturen im Vordergrund stehen. Sektoren- und grenzübergreifende Verflechtungen und die Abhängigkeiten der Sektoren untereinander werden stärker berücksichtigt. Der Schutz von Kritischen Infrastrukturen ist neben der fachspezifischen auch eine Querschnittsaufgabe, die alle Ressorts in die Verantwortung nimmt und deren zielgerichtetes Mit- und Zusammenwirken erfordert. Gibt es Ausfälle in einem Sektor, etwa Energie, Informationstechnik/ Telekommunikation oder Transport/Verkehr, kann dies schwere Auswirkungen auch auf andere Sektoren haben.

  6. Die Resilienz der Kritischen Infrastrukturen insgesamt und nicht nur der Schutz einzelner Kritischer Infrastrukturen muss gestärkt werden. Die Kritischen Infrastrukturen müssen in der Lage sein, Sicherheitsvorfälle, die zu schwerwiegenden und potenziell sektoren- und grenzübergreifenden Störungen führen können, zu verhindern, sich davor zu schützen, darauf zu reagieren, und abzuwehren. Zudem müssen die Folgen eines solchen Vorfalls begrenzt, aufgefangen, bewältigt und die Wiederherstellung gewährleistet werden.

  7. Den Verflechtungen und Abhängigkeiten von Kritischen Infrastrukturen wird auch auf administrativer Ebene Rechnung getragen. In einem neuen Ansatz wird der physische Schutz Kritischer Infrastrukturen mit dem KRITIS-Dachgesetz als eigenständiges Thema in den Blick genommen und durch eine übergreifende zuständige Behörde koordiniert. Auch grenzüberschreitende Auswirkungen werden durch eine noch engere Kooperation in einem europäischen Rahmen berücksichtigt.

(Quelle: bmi.bund.de/Veröffentlichung Eckpunkte für das KRITIS-Dachgesetz)

Die Regelungsinhalte des KRITIS-Dachgesetz

Diese definierten Ziele münden in Regelungsinhalten, die zur Erreichung dieser an Umsetzungsvorschläge anknüpfen. Diese Regelungen des neuen KRITIS-Dachgesetz lauten wie folgt:

KRITIS klar identifizieren
Mit der BSI-Kritisverordnung besteht bereits eine etablierte Bestimmung Kritischer Infrastrukturen im Sinne des BSI-Gesetzes mit dem Fokus auf mögliche Beeinträchtigungen der Versorgungssicherheit durch Bedrohungen aus dem Cyberraum. Mit dem KRITIS-Dachgesetz soll diese bestehende Bestimmung ergänzt werden durch eine systematische und umfassende Identifizierung aller besonders schützenswerten Kritischen Infrastrukturen.

Bedrohungslage und Risiken besser erkennen
Die Gefahren für die Kritischen Infrastrukturen werden einer regelmäßigen Bewertung unterzogen. Staatliche Risikobewertungen für die kritischen Dienstleistungen werden den Betreibern eine Grundlage für ihre eigenen regelmäßig vorzunehmenden spezifischen Risikobewertungen und die darauf basierenden Maßnahmen geben.

Schutzniveau verbindlich erhöhen
Den Betreibern der Kritischen Infrastrukturen in allen Sektoren werden die gleichen Mindestvorgaben im Bereich der physischen Sicherheit auferlegt, um die Kritischen Infrastrukturen umfassend gegen Gefahren zu schützen und als Teil des Gesamtsystems resilienter zu werden.

Diese Regelungen sollen die bereits bestehenden Vorgaben im Bereich der Cybersicherheit Kritischer Infrastrukturen somit ergänzen. Dazu zählen
• die Einrichtung eines betrieblichen Risiko- und Krisenmanagements
• die Durchführung von Risikoanalysen und – bewertungen
• die Erstellung von Resilienzplänen und
• die Umsetzung geeigneter und verhältnismäßiger technischer, personeller und organisatorischer Maßnahmen für die jeweilige Einrichtung.

Störungen des Gesamtsystems erkennen und beheben
Mit der Einführung eines zentralen Störungs-Monitorings als Ergänzung zum bestehenden Meldewesen im Bereich der Cybersicherheit wird ein Gesamtüberblick über mögliche Schwachstellen beim physischen Schutz Kritischer Infrastrukturen ermöglicht. Durch die Meldung von Sicherheitsvorfällen können andere von dem Sicherheitsvorfall betroffene Kritische Infrastrukturen, auch in anderen Mitgliedstaaten, gewarnt werden.

Einen institutionellen Rahmen schaffen
Die Zusammenarbeit der vielen am Schutz Kritischer Infrastrukturen beteiligten Akteure auf staatlicher Seite und bei den Betreibern Kritischer Infrastrukturen wird klarer herausgearbeitet. Durch klare Verantwortlichkeiten, Ansprechpartner und Rangfolgen für Fragestellungen im Zusammenhang mit der Resilienz Kritischer Infrastrukturen wird eine bessere Zusammenarbeit erreicht.

Die vollständige Version der Eckpunkte für das KRITIS Dachgesetz finden Sie HIER

(Quelle Beitragsbild: Photo by Jonas Tebbe on Unsplash)

Wir haben noch mehr Themen über die wir gerne schreiben.

Cookie Consent with Real Cookie Banner