Am 16. Januar 2023 trat die EU-Richtlinie 2022/2557 zur Resilienz kritischer Einrichtungen in Kraft. Diese neue Richtlinie ersetzt die ältere Richtlinie 2008/114/EG, die sich auf die Ermittlung und den Schutz kritischer Infrastrukturen im Energie- und Verkehrssektor beschränkte. Die aktuelle Richtlinie erweitert den Schutz auf mindestens zehn Sektoren und etabliert einen europäischen Rechtsrahmen zur Resilienz kritischer Einrichtungen, der auf einem "All-Gefahren-Ansatz" basiert, der sowohl natürliche als auch menschengemachte Risiken berücksichtigt. Die Mitgliedsstaaten hätten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen sollen.
In Deutschland wird dies durch das sogenannte KRITIS-Dachgesetz umgesetzt, das Maßnahmen zur physischen Resilienz kritischer Infrastrukturen regelt und eine einheitliche Grundlage für Sektoren übergreifende Mindestanforderungen bietet. Neben bereits bestehenden IT-Sicherheitsregelungen wie im BSIG, EnWG und TKG fokussiert sich das KRITIS-Dachgesetz auf den physischen Schutz. Es verpflichtet Betreiber kritischer Anlagen, Resilienzpläne zu erstellen und regelmäßige Risikoanalysen durchzuführen. Es sieht auch die Identifizierung und Registrierung solcher Anlagen vor, mit dem Ziel, deren Resilienz zu stärken und damit die nationale Versorgungssicherheit zu gewährleisten.
Darüber hinaus wird bis zum 17. Januar 2026 eine nationale KRITIS-Resilienzstrategie verabschiedet, um die bestehenden Resilienzstrategien zu aktualisieren und an die Ziele der UN-Agenda 2030 anzupassen. Diese Strategie soll eine widerstandsfähige Infrastruktur fördern und zur Erreichung des Nachhaltigkeitsziels 9 beitragen.
Das KRITIS-Dachgesetz und die Umsetzung der NIS-2-Richtlinie stimmen ihre Regelungen eng ab, um Überschneidungen zwischen physischer und IT-Sicherheit zu vermeiden und eine kohärente und möglichst einheitliche Regelung für Betreiber kritischer Anlagen zu gewährleisten.
Das KRITIS-Dachgesetz zielt darauf ab, ab 2024 die Resilienz und physische Sicherheit Kritischer Infrastrukturen in Deutschland zu regulieren und setzt die CER-Richtlinie (EU 2022/2557) um. Es stellt höhere Anforderungen an Betreiber kritischer Anlagen, die Meldepflichten, Business Continuity Management (BCM), Krisenmanagement, physische Sicherheit und Personalsicherheit umfassen. Die Aufsicht wird erweitert, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übernimmt gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und teilweise auch Landesbehörden Kontrollaufgaben. Verstöße können mit Bußgeldern und Pflichten für die Geschäftsleitung sanktioniert werden.
Parallel dazu wird die NIS2-Direktive der EU durch das NIS2-Umsetzungsgesetz in deutsches Recht umgesetzt, das die Cybersecurity-Regulierung für Kritische Infrastrukturen verschärft. Diese neuen Gesetze erweitern die bisherigen KRITIS-Regelungen und bringen zusätzliche Betreiber und Pflichten unter den Schutzrahmen.
Das Gesetzgebungsverfahren ist noch in Bearbeitung: Nach mehreren Entwürfen (u.a. von Juli 2023 und April 2024) verzögert sich das Inkrafttreten voraussichtlich auf Anfang 2025. Anpassungen und Konkretisierungen sind weiterhin möglich.
Detailierte Infos zu den Inhalten des Refernentenentwurfs bei Open Kritis
Stand: November 2024
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung