Am 6. November hat das Bundeskabinett den Entwurf des neuen KRITIS-Dachgesetzes verabschiedet. Damit soll zukünftig der Schutz kritischer Infrastrukturen verbessert werden. Vor allem die physische Sicherheit gewinnt an Bedeutung.
Mit dem KRITIS-Dachgesetz, das offiziell als „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ bezeichnet wird, soll erstmals der physische Schutz von kritischen Anlagen sektorübergreifend und bundeseinheitlich geregelt werden. Unternehmen und Betreiber kritischer Anlagen sind zunehmend verschiedensten Bedrohungen ausgesetzt, wie Cyberkriminalität, Sabotageakte, Terrorangriffe und auch Naturkatastrophen. Damit im Sinne eines „All-Gefahren-Ansatzes“ möglichst jedes denkbare Risiko berücksichtigt wird, sind diese Unternehmen künftig aufgefordert bestimmte Mindestanforderungen zu erfüllen. Diese Standards sollen helfen, gezielter Sicherheitsmaßnahmen zu planen und umzusetzen.
Resilienz verbessern
Ähnlich dem NIS2-Umsetzungsgesetz ist es Ziel, die Resilienz und die Sicherheit von Infrastrukturen zu erhöhen, die für die Versorgung der Bevölkerung und der Wirtschaft unentbehrlich sind. Wer betroffen ist, bemisst sich nach bestimmten Kriterien, so zum Beispiel wer mehr als 500.000 Menschen mit Leistungen versorgt. Zu den 11 Sektoren zählen Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung, Öffentliche Verwaltung sowie Leistungen der Sozialversicherung.
Unternehmen und Betreiber, die als Teil der kritischen Infrastruktur identifiziert werden, müssen zukünftig strenge Mindestanforderungen und Pflichten erfüllen, unter anderem:
Fokus physische Sicherheit
Zu den Resilienzmaßnahmen zählen unter anderem physische Schutzmaßnahmen, verbunden mit regelmäßigen Risikoanalysen und auch die Einrichtung eines Störmonitorings. Besonders im Bereich der physischen Sicherheit sind bauliche und technische Maßnahmen der Objektsicherung wie Abgrenzung, Detektionsgeräte, Videoüberwachung und Maßnahmen der Zutrittskontrolle zu nennen. Unternehmen werden ermutigt, moderne Technologien wie software-basierte Zutrittskontrollsysteme mit Echtzeitüberwachung einzusetzen, um ihre Sicherheitsmaßnahmen zu verbessern. Diese Technologien helfen im Ernstfall bei einer schnellen Reaktion und Wiederherstellung und unterstützen auditsicher mit entsprechenden Nachweisen gegenüber den Aufsichtsbehörden. Außerdem verbessern sie Maßnahmen zur Personalsicherheit, indem beispielsweise rollenbasiert Zutrittsrechte zu kritischen Anlagen für Beschäftigte wie auch externe Dienstleister nach bestimmten Kriterien vergeben und protokolliert werden.
Mit der Verabschiedung im Bundeskabinett ist das Gesetz allerdings noch nicht in Kraft getreten, sondern zunächst in das parlamentarische Verfahren gestartet. Welche Änderungen, Konkretisierungen und Anpassungen in den kommenden Wochen und Monaten noch erfolgen, wird sich zeigen. Das Gesetz wird voraussichtlich im Frühjahr 2025 in Kraft treten.
