Das KRITIS Dachgesetz

Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen

Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen

Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen vom 05.11.2024

Am 16. Januar 2023 trat die EU-Richtlinie 2022/2557 zur Resilienz kritischer Einrichtungen in Kraft. Diese neue Richtlinie ersetzt die ältere Richtlinie 2008/114/EG, die sich auf die Ermittlung und den Schutz kritischer Infrastrukturen im Energie- und Verkehrssektor beschränkte. Die aktuelle Richtlinie erweitert den Schutz auf mindestens zehn Sektoren und etabliert einen europäischen Rechtsrahmen zur Resilienz kritischer Einrichtungen, der auf einem "All-Gefahren-Ansatz" basiert, der sowohl natürliche als auch menschengemachte Risiken berücksichtigt. Die Mitgliedsstaaten hätten die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen sollen.

In Deutschland wird dies durch das sogenannte KRITIS-Dachgesetz umgesetzt, das Maßnahmen zur physischen Resilienz kritischer Infrastrukturen regelt und eine einheitliche Grundlage für Sektoren übergreifende Mindestanforderungen bietet. Neben bereits bestehenden IT-Sicherheitsregelungen wie im BSIG, EnWG und TKG fokussiert sich das KRITIS-Dachgesetz auf den physischen Schutz. Es verpflichtet Betreiber kritischer Anlagen, Resilienzpläne zu erstellen und regelmäßige Risikoanalysen durchzuführen. Es sieht auch die Identifizierung und Registrierung solcher Anlagen vor, mit dem Ziel, deren Resilienz zu stärken und damit die nationale Versorgungssicherheit zu gewährleisten.

Darüber hinaus wird bis zum 17. Januar 2026 eine nationale KRITIS-Resilienzstrategie verabschiedet, um die bestehenden Resilienzstrategien zu aktualisieren und an die Ziele der UN-Agenda 2030 anzupassen. Diese Strategie soll eine widerstandsfähige Infrastruktur fördern und zur Erreichung des Nachhaltigkeitsziels 9 beitragen.

Das KRITIS-Dachgesetz und die Umsetzung der NIS-2-Richtlinie stimmen ihre Regelungen eng ab, um Überschneidungen zwischen physischer und IT-Sicherheit zu vermeiden und eine kohärente und möglichst einheitliche Regelung für Betreiber kritischer Anlagen zu gewährleisten.

Mehr Infos  

Ziele des KRITIS-DachG

Das KRITIS-Dachgesetz zielt darauf ab, ab 2024 die Resilienz und physische Sicherheit Kritischer Infrastrukturen in Deutschland zu regulieren und setzt die CER-Richtlinie (EU 2022/2557) um. Es stellt höhere Anforderungen an Betreiber kritischer Anlagen, die Meldepflichten, Business Continuity Management (BCM), Krisenmanagement, physische Sicherheit und Personalsicherheit umfassen. Die Aufsicht wird erweitert, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übernimmt gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und teilweise auch Landesbehörden Kontrollaufgaben. Verstöße können mit Bußgeldern und Pflichten für die Geschäftsleitung sanktioniert werden.

Parallel dazu wird die NIS2-Direktive der EU durch das NIS2-Umsetzungsgesetz in deutsches Recht umgesetzt, das die Cybersecurity-Regulierung für Kritische Infrastrukturen verschärft. Diese neuen Gesetze erweitern die bisherigen KRITIS-Regelungen und bringen zusätzliche Betreiber und Pflichten unter den Schutzrahmen.

Das Gesetzgebungsverfahren ist noch in Bearbeitung: Nach mehreren Entwürfen (u.a. von Juli 2023 und April 2024) verzögert sich das Inkrafttreten voraussichtlich auf Anfang 2025. Anpassungen und Konkretisierungen sind weiterhin möglich.

  • Erweiterter Schutz kritischer Infrastrukturen:
    Die EU-Richtlinie 2022/2557 stärkt den Resilienzschutz für kritische Einrichtungen in mindestens zehn Sektoren und ersetzt die bisherige Fokussierung auf Energie- und Verkehrssektoren.
  • KRITIS-Dachgesetz für physischen Schutz:
    In Deutschland setzt das KRITIS-Dachgesetz die CER-Richtlinie um und fordert sektorübergreifende Mindestmaßnahmen zum physischen Schutz kritischer Anlagen, einschließlich der Verpflichtung zu Resilienzplänen und Risikoanalysen.
  • Kohärenz mit IT-Sicherheitsregelungen:
    Das Gesetz integriert physische Resilienzanforderungen mit bestehenden IT-Sicherheitsregelungen, um eine einheitliche Struktur für die Sicherheit und Resilienz kritischer Infrastrukturen zu schaffen.
  • Erweiterte Pflichten und Resilienz:
    Das KRITIS-Dachgesetz stärkt die Resilienz und physische Sicherheit Kritischer Infrastrukturen durch zusätzliche Anforderungen an Betreiber, darunter Meldepflichten, Krisenmanagement und physische Sicherheitsmaßnahmen.
  • Erweiterte Aufsicht und Sanktionen:
    Die Aufsicht wird auf BBK und BSI erweitert; bei Verstößen drohen Bußgelder und spezifische Pflichten für die Geschäftsleitung.
  • Verzögerung bis 2025:
    Ursprünglich für Oktober 2024 geplant, verzögert sich das Inkrafttreten der neuen KRITIS-Regulierung voraussichtlich auf Frühjahr 2025. Das Gesetz soll zeitgleich mit dem NIS2UmsuCG verabschiedet werden.

Detailierte Infos zu den Inhalten des Refernentenentwurfs bei Open Kritis  

Stand: November 2024

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation