Herausforderungen zum Schutz von Kritischen Infrastrukturen gemeinsam meistern.
Verantwortliche in KRITIS-Anwendungen haben schon früh darauf abgezielt, dass intelligente Detektionssysteme zur Absicherung von Grundstücken und Arealen, von Objekten und Einrichtungen oder auch von sensiblen Bereichen zum Einsatz kommen. Diese haben die Aufgabe, eine lückenlose Erfassung und Verifikation von Gefahren und Angreifern zu gewährleisten. Und damit einhergehend eine höchstmögliche technische Unterstützung für das eingesetzte Sicherheitspersonal zu bieten – mit akzeptabler Täuschungsalarmrate.
Mit dem geplanten KRITIS-Dachgesetz sollen auch weitere Branchen zur Bewertung von Risiken, zu Mindeststandards und zentralem Störungsmonitoring verpflichtet und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zur übergeordneten Behörde umgebaut werden.
Der Bund nimmt mit dem Dachgesetz demnächst auch die Privatwirtschaft stärker in die Pflicht. Künftig soll es mindestens elf Sektoren der Kritischen Infrastruktur geben: Energie, Verkehr, Bankwesen, Finanzmarkt-Infrastrukturen, Gesundheit, Lebensmittel, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum. Wer in Kürze dazu zählen könnte, sollte sich jetzt mit den Anforderungen und Möglichkeiten vertraut machen.
Kritische Infrastrukturen
Die Störung Kritischer Infrastrukturen kann Versorgungsengpässe sowie eine Beeinträchtigungen der öffentlichen Sicherheit nach sich ziehen. Naturereignisse, menschliches oder technisches Versagen und kriminelle Aktivitäten gehören zu den herausforderndsten Krisensituationen in diesem Bereich.
Sicherheitstechnik für kritische Infrastrukturen
Sicherheitstechnik ist in unserer heutigen Zeit unerlässlich, insbesondere für kritische Infrastrukturen. Als Unternehmen, das sich auf Sicherheitstechnik spezialisiert hat, verstehen wir die Bedeutung um die Sicherheit und den Schutz von kritischen Infrastrukturen. Kritische Infrastrukturen wie Stromnetze, Wasser- und Abwassersysteme, Telekommunikationsnetze und Transportinfrastrukturen sind wesentliche Bestandteile unserer modernen Gesellschaft. Ohne diese Infrastrukturen könnten wir nicht normal funktionieren. Allerdings sind diese Infrastrukturen aufgrund ihrer Bedeutung auch Ziel von Cyberangriffen, Sabotage und Naturkatastrophen.
Was sind KRITIS Unternehmen?
Als KRITIS Unternehmen (Kritische Infrastrukturen) werden Organisationen und Einrichtungen bezeichnet, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf das öffentliche Leben, die öffentliche Sicherheit oder die Gesundheit der Bevölkerung haben kann. Hierzu zählen insbesondere Energie- und Wasserversorgungsunternehmen, Telekommunikationsunternehmen, Gesundheitseinrichtungen sowie Verkehrs- und Transportunternehmen. Diese Unternehmen sind von entscheidender Bedeutung für die Aufrechterhaltung der Infrastruktur, die unsere moderne Gesellschaft am Laufen hält. Deshalb sind sie auch besonders anfällig für Angriffe von außen, wie beispielsweise Cyberangriffe, Sabotage und Naturkatastrophen. Um ihre kritischen Infrastrukturen zu schützen, müssen KRITIS Unternehmen besondere Sicherheitsmaßnahmen ergreifen und sich kontinuierlich auf mögliche Bedrohungen vorbereiten. Hierbei ist ein umfassendes Risikomanagement unerlässlich. Als Experten für Sicherheitstechnik unterstützen wir KRITIS Unternehmen dabei, ihre Infrastrukturen optimal zu schützen und die öffentliche Sicherheit zu gewährleisten. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können.
Neue Gesetzesänderungen für KRITIS Unternehmen
Die Bundesregierung plant eine Reihe von Gesetzesänderungen, die Unternehmen der KRITIS betreffen werden. Hierbei geht es insbesondere darum, die Sicherheit der kritischen Infrastrukturen in Deutschland zu erhöhen und gegen Bedrohungen von außen zu schützen. Die neuen Gesetzesänderungen sollen dazu beitragen, dass die kritischen Infrastrukturen in Deutschland besser geschützt sind und im Falle von Bedrohungen schnell und effektiv reagiert werden kann. Wir unterstützen Unternehmen der KRITIS dabei, die neuen Anforderungen erfolgreich umzusetzen und ihre kritischen Infrastrukturen optimal zu schützen. Kontaktieren Sie uns, um mehr darüber zu erfahren, wie wir Ihnen helfen können.
Aktueller Statusbericht der KRITIS
Seit Ende 2022 wird das KRITIS-Dachgesetz öffentlich diskutiert, welches darauf abzielt, die physische Sicherheit und Widerstandsfähigkeit von KRITIS-Betreibern zu stärken. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und beabsichtigt, bis zur Sommerpause 2023 einen Gesetzesentwurf vorzulegen. Das Dachgesetz nimmt teilweise Bezug auf die EU CER-Richtlinie (EU 2022/2557), die im Jahr 2022 verabschiedet wurde. Das Dachgesetz bezieht sich auf die 2022 verabschiedete EU CER-Richtlinie (EU 2022/2557) und greift dieser teilweise vor. Die Unternehmen, die von den Bestimmungen des Dachgesetzes erfasst werden, sind von besonderer Bedeutung für die Gesellschaft und gehören zu den sogenannten kritischen Einrichtungen. Diese umfassen nicht nur die bisherigen KRITIS-Sektoren, sondern gehen darüber hinaus und orientieren sich an den Vorgaben der EU RCE (CER). Es ist davon auszugehen, dass die bisherigen KRITIS-Betreiber ebenfalls unter diese Regelungen fallen, jedoch auch weitere Unternehmen inbegriffen sind. Zur Identifizierung von Betreibern kritischer Infrastrukturen sind sowohl quantitative als auch qualitative Kriterien von Bedeutung. Hierbei werden Faktoren wie die Anzahl der Nutzer und die Bedeutung der Infrastruktur für den Betrieb von Dienstleistungen berücksichtigt. Betreiber von spezieller europäischer Relevanz, die in mindestens sechs Mitgliedstaaten der Europäischen Union vergleichbare kritische Dienstleistungen anbieten, werden identifiziert und einer erhöhten Überwachung unterzogen.
KRITIS Sektoren
Energie, Verkehr, Bankwesen, Finanzmärkte, Gesundheit, Trinkwasser, Abwasser, Ernährung, Digitale Infrastruktur, Öffentliche Verwaltung, Raumfahrt, Medien und Kultur, Bildung und Betreuung.
Resilienz bei KRITIS-Betreibern
Die künftigen Schutzmaßnahmen im Rahmen der KRITIS sollen sich auf die physische Sicherheit und Resilienz konzentrieren. Es werden derzeit verschiedene Anforderungen diskutiert, welche die bisherigen Vorgaben zur Cyber-Sicherheit der Betreiber ergänzen sollen. Neben den besprochenen Lösungen wie Zäunen, Sperren und Zugangskontrollen sowie Sicherheitsüberprüfungen besteht noch Unsicherheit darüber, wie die Betreiberanforderungen genau ausgestaltet werden sollen. Die EU RCE/CER fordert von Unternehmen ein hohes Maß an BCM, Risikomanagement und Krisenvorsorge. Im Eckpunkte-Papier wird betont, dass bei der Sicherung kritischer Infrastrukturen ein Abwägen von Wirtschaftlichkeit und Eintrittswahrscheinlichkeit der Maßnahmen erfolgen muss.
Einheitliche Mindestvorgaben für alle Sektoren Kritischer Infrastrukturen
- Verpflichtende Schutzstandards für physische Sicherheit
- „Technische, personelle und organisatorische Maßnahmen“ für Sicherheit und Resilienz
- Krisen-Management und Risiko-Management zum Schutz des Betriebs
- Risiko-Analyse und -Bewertung der kritischen Dienstleistungen (essential services)
- Resilienzpläne zur Krisenvorsorge und Prävention
- Meldewesen für Störungen an das BBK, parallel zu Cyber Security Meldungen ans BSI
Staaliche Regelungen die die KRITIS betreffen
Um die Widerstandsfähigkeit des Gesamtsystems der Kritischen Infrastrukturen zu stärken, soll die staatliche Steuerung durch Gesetze verbessert werden. Ein staatlicher Rahmen für Meldewesen und Kontrollen zu Resilienz soll ans Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übertragen werden. Dies ergänzt das bestehende Meldewesen zu Cyber-Sicherheit und erweitert es um ein zentrales Störungs-Monitoring. Innerhalb der Europäischen Union soll es ein Berichtswesen und eine Koordination geben, die Betreiber, den Stand der Resilienz, Vorfälle und Maßnahmen umfassen. „Staatliche Risikobewertungen für die kritischen Dienstleistungen“ sollen als Grundlage für Bewertungen und Maßnahmen bei Betreibern dienen. Der All-Gefahren-Ansatz sollte sektor- und grenzüberschreitende Risiken berücksichtigen, jedoch ist unklar, ob sich dies an Betreiber und/oder Staat richtet. Das KRITIS-Dachgesetz soll Möglichkeiten staatlicher Hilfen für Betreiber Kritischer Infrastrukturen bieten, um die neuen Maßnahmen umzusetzen.
Die nationale Behörde für den physischen Schutz kritischer Infrastrukturen wird künftig vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übernommen. Somit erweitert sich das Aufgabenspektrum des BBKs, da es nun auch Meldungen über Sicherheitsvorfälle entgegennimmt, mit dem BSI zusammenarbeitet und als übergreifende Behörde das Gesamtsystem kritischer Infrastrukturen betrachtet – auch durch sektorenübergreifende Auswertungen. Der europäische Rahmen der EU RCE/CER sieht vor, die Regulierung der Resilienz in eine europäische Behörde einzubetten, um den Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen zu erleichtern. Die genaue Orchestrierung zwischen dem BBK und anderen Regulierungsbehörden wie BSI und BNetzA muss in der Gesetzgebung noch weiter ausgestaltet werden, um unter anderem parallele Zuständigkeiten bei Maßnahmen und Meldewegen zu vermeiden. Das BBK soll hier die Behörden vernetzen und eine schnelle Informationsweitergabe ermöglichen.