Kritis Anforderungen: Aktuelle Gesetzeslage und Maßnahmen für kritische Infrastrukturen

Ein neues Gesetz für mehr Sicherheit und Resilienz

Ein Stromausfall, ein IT-Hack oder ein Sabotageakt – all das kann unsere Versorgung ins Wanken bringen. Mit dem neuen KRITIS-Dachgesetz will die Bundesregierung die Widerstandsfähigkeit kritischer Infrastrukturen verbessern und die Versorgungssicherheit gewährleisten. In diesem Blog-Artikel schauen wir uns die gesetzlichen KRITIS Anforderungen bis 2026 an, inklusive wichtiger Fristen und Meilensteine. Sebastian Otten, Bachelor Professional of Protection and Security (CCI) und Spezialist für Schutz und Sicherheit bei GARANDUS, berichtet von seiner bisherigen Erfahrung in der Zusammenarbeit mit Anlagenbetreibern kritischer Infrastrukturen und gibt Tipps, wie betroffene Unternehmen schon heute ihre Resilienz erhöhen und sich bestmöglich auf die KRITIS Anforderungen vorbereiten können.

Kritis: Bundesregierung beschließt Gesetzesentwurf

Am 6. November 2024 hat die Bundesregierung den Entwurf des sogenannten KRITIS-Dachgesetzes verabschiedet. Dieses Gesetz soll erstmals den Schutz kritischer Infrastrukturen auf nationaler Ebene einheitlich regeln und damit die Resilienz gegenüber Krisen und Katastrophen stärken. Im Jahr 2022 hat die EU zwei Richtlinien zur Regelung des Schutzes kritischer Infrastrukturen verabschiedet: Die NIS 2-Richtlinie und die CER-Richtlinie. Diese europäischen Richtlinien sollten bis Oktober 2024 in nationales Recht der Mitgliedsstaaten umgesetzt werden. Bis dato (Stand 05 Februar 2025) hat die Regierung den Gesetzesentwurf verabschiedet. Bis das KRITIS-Dachgesetz das parlamentarische Verfahren durchlaufen hat und veröffentlicht wird, kann es noch einige Zeit dauern (Informationen zu den Stationen im Gesetzgebungsverfahren finden Sie hier).

In Kraft tritt das Gesetz am Tag nach seiner Verkündung. Zwei Ausnahmen gelten jedoch: Die Regelungen zu den Pflichten der Anlagenbetreiber sollen erst am 01. Januar 2026 und mit einer zeitlichen Staffelung in Kraft treten. Bußgeldvorschriften laufen ein Jahr später an und sind ebenso zeitlich gestaffelt.

Kritis Anforderungen: Was Betreibende kritischer Infrastrukturen jetzt wissen müssen

Vorerst sollten Betreibende überprüfen, ob sie vom neuen KRITIS-Dachgesetz betroffen sind. Das Gesetz gilt für alle kritischen Anlagen, die

• essenziell für die Gesamtversorgung in Deutschland sind

und

• mehr als 500.000 Personen versorgen

Werden beide Kriterien erfüllt, müssen Betreibende entsprechender kritischer Infrastrukturen bestimmte Maßnahmen ergreifen: Unmittelbar nachdem das neue Gesetz in Kraft getreten ist, müssen sie die entsprechende kritische Anlage registrieren und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK) die verantwortliche Kontaktstelle oder Kontaktperson nennen. Im Anschluss an die Registrierung ist eine Risikoanalyse und -bewertung vorzunehmen und spätestens nach vier Jahren zu erneuern. Das BKK verlangt einen Resilienzplan mit allen Maßnahmen zur Gewährleistung der Widerstandsfähigkeit der betriebenen Anlage und teilt bei der Registrierung den Termin mit, zu welchem der Resilienzplan spätestens vorgelegt werden muss. Auch dieser muss alle zwei Jahre erneuert werden.

First Steps: Vorbereitung ist der Schlüssel

Was können Unternehmen neben den genannten Maßnahmen schon heute tun, um ihre Resilienz zu stärken und sich bestmöglich für die KRITIS Anforderungen aufzustellen? Wir haben Sebastian Otten, der seit 2009 auch mit dem Schutz kritischer Infrastruktur vertraut ist, gefragt. Auf Basis seines Know-hows gibt er eine Einschätzung ab, welche Maßnahmen im Resilienzplan des BKK für die meisten kritischen Infrastrukturen zu erwarten sind.

„Zu Beginn steht immer die strategische Vorbereitung. Dazu sollten die Betreibenden genau überlegen, wo das Unternehmen steht, welchen potenziellen Gefahrenquellen es ausgeliefert ist und welche Maßnahmen es bereits umsetzt, um die eigene Resilienz zu erhöhen“, erklärt Sebastian Otten. Konkret zählt er dazu drei Schritte:

• Informationssammlung: Der erste Schritt ist, eine umfassende Informationssammlung zu erstellen, wie der Experte weiß: „Zunächst sollten die Unternehmen alle wichtigen Kenntnisse zu ihrer Anlage zusammentragen. Dabei ist es wichtig, die bestehenden Sicherheitskonzepte und die branchenspezifischen Vorschriften im Blick zu behalten.“
• Gefahrenanalyse: Sind alle relevanten Informationen erfasst, wird eine systematische Gefahrenanalyse durchgeführt. Dabei werden potenzielle Bedrohungsszenarien identifiziert und hinsichtlich ihrer Eintrittswahr-scheinlichkeit sowie ihres Schadenspotenzials bewertet.
• Schutzzieledefinition: Im Anschluss an die Gefahrenanalyse werden die Schutzziele definiert. Sebastian Otten erläutert: „Im letzten Schritt beschäftigen wir uns mit Fragen wie: Welche Systeme, Prozesse oder Einrichtungen sind besonders schutzbedürftig? Welche Maßnahmen sind notwendig, um deren Resilienz zu erhöhen?“

Konkrete Maßnahmen zur Gefahrenerkennung und -abwehr

Nach der theoretischen Betrachtung lenken wir den Fokus auf die Praxis: Mit welchen Maßnahmen können die Unternehmen im Hinblick auf die KRITIS-Anforderungen rechnen? Auch wenn das BKK bisher noch keine weiteren Informationen zu den Resilienzplänen kommuniziert hat, ist nach der Einschätzung des erfahrenen GARANDUS-Experten mit den folgenden drei Maßnahmen fest zu rechnen: der Videoüberwachung, der mechanischen Sicherung sowie der Erstellung von Notfallplänen.

• Videoüberwachung: Die Videoüberwachung hat sich zu einem zentralen Bestandteil der Gefahrenerkennung entwickelt, der kaum noch aus dem Objektschutz wegzudenken ist. „Wer hochauflösende Kameras zur Überwachung von Zugangs- und Außenbereichen einsetzt, kann potenzielle Bedrohungen schon frühzeitig entdecken. Besonders neue Technologien, die Bewegungen erkennen und nachverfolgen, sind für eine dynamische Beweissicherung sehr gewinnbringend“, so Sebastian Otten.
• Mechanische Sicherung: Für eine möglichst erfolgreiche Gefahrenabwehr ist außerdem eine umfangreiche mechanische Sicherung von Bedeutung. „Dazu gehören zum Beispiel robuste Türen oder Fenster mit einbruchhemmenden Beschlägen und Schlössern. Eben alles, was unerlaubtes Eindringen oder ähnliche Gefahren minimiert. Eine hochwertige Tür mit hohem Widerstands-wert kostet den Eindringling deutlich mehr Zeit als eine klassische Tür vom Baumarkt – und damit gewinnt das Unternehmen wertvolle Zeit, um zu intervenieren“, erklärt Sebastian Otten. Hand in Hand mit der mechanischen Sicherung geht der Perimeterschutz. Hierbei wird zum Beispiel durch Mauern, Tore oder Zäune verhindert, dass sich Unbefugte Zugang verschaffen.
• Entwicklung eines Notfallplans: Als dritte und letzte Maßnahme, die vom BKK zu erwarten ist, nennt Sebastian Otten die Ausarbeitung von Notfall-plänen. Unternehmen sollten Pläne entwickeln, die klare Handlungsan-weisungen für den Fall eines Einbruchs enthalten. „Der Notfallplan beinhaltet die strategischen Überlegungen und Maßnahmen – von der Videoüber-wachung und der mechanischen Sicherung über eine realistische Interventionszeit bis hin zu stationären Sicherheitsdienstleistungen.“

Mit Sicherheit bestens vorbereitet

Mit den Tipps von Sebastian Otten sind Unternehmen kritischer Infrastrukturen für die KRITIS Anforderungen gewappnet. Dem Experten ist es wichtig, zu betonen, dass die Betreibenden der Anlagen mit dem neuen KRITIS-Dachgesetz nicht allein gelassen werden: „Ich bin mir sicher, dass das BKK auch eine koordinierende Rolle übernehmen und den betreffenden Unternehmen kritischer Infrastrukturen Hilfestellungen mit an die Hand geben wird.

Über den Interviewpartner:

Folgen Sie GARANDUS auf LinkedIn und teilen Sie diesen Artikel in Ihrem LinkedIn-Profil. Danke.