Die Sicherheitslage in Europa hat sich in den letzten Jahren deutlich verändert. Zunehmende Cyberangriffe, geopolitische Spannungen und die fortschreitende Digitalisierung haben gezeigt: Kritische Infrastrukturen (KRITIS) müssen besser geschützt werden. Die deutsche Bundesregierung und die EU haben darauf reagiert – mit dem neuen KRITIS-Dachgesetz (KRITIS-DachG) und der überarbeiteten NIS-2-Richtlinie.
In diesem Beitrag erfahren Sie, was hinter den neuen Vorschriften steckt, wen sie betreffen, welche Anforderungen daraus resultieren und wie sich Betreiber rechtzeitig vorbereiten können.
Was ist das KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz ist ein neues Rahmengesetz der Bundesregierung zur Stärkung der physischen Sicherheit kritischer Infrastrukturen. Es geht dabei vor allem um Schutz vor Sabotage, Naturkatastrophen und Ausfällen. Anders als bisherige sektorspezifische Regelungen will das Dachgesetz erstmals einheitliche Sicherheitsstandards und Berichtspflichten für alle KRITIS-Betreiber schaffen.
Ziele des KRITIS-DachG:
- Harmonisierung der Anforderungen an den physischen Schutz
- Verpflichtende Risikoanalysen und Schutzkonzepte
- Meldepflichten bei Sicherheitsvorfällen
- Einrichtung eines zentralen KRITIS-Kompetenzzentrums
Betroffen sind unter anderem:
- Energieversorger (Strom, Gas, Fernwärme)
- Wasserversorgung und Abwasserentsorgung
- Gesundheitswesen
- Lebensmittel- und Ernährungssysteme
- Transport- und Verkehrsbetriebe
- Informationstechnik und Telekommunikation
Was ist die NIS-2-Richtlinie?
Die NIS-2 (Network and Information Security) ist eine EU-weite Richtlinie zur Cybersicherheit, die die bisherige NIS-Richtlinie ersetzt. Sie wurde im Januar 2023 verabschiedet und muss bis Oktober 2024 in nationales Recht umgesetzt werden. Sie richtet sich an „wesentliche“ und „wichtige“ Einrichtungen und erweitert sowohl den Anwendungsbereich als auch die Anforderungen.
Schwerpunkte der NIS-2:
- Strengere Sicherheitsanforderungen an IT-Systeme
- Verpflichtende Risiko- und Vorfallsmeldungen
- Regelmäßige Audits und Penetrationstests
- Persönliche Haftung von Geschäftsleitungen bei grober Fahrlässigkeit
Neu: Auch mittelgroße Unternehmen (ab ca. 50 Mitarbeitenden oder 10 Mio. € Umsatz) können betroffen sein!
Was bedeutet das für Betreiber kritischer Infrastrukturen?
Ob Wasserwerk, Klinik, Rechenzentrum oder Verkehrsunternehmen: Betreiber müssen künftig technische, organisatorische und personelle Schutzmaßnahmen nachweisen. Dazu gehören unter anderem:
- Erstellung und regelmäßige Aktualisierung von Sicherheitskonzepten
- Implementierung eines Informationssicherheits-Managementsystems (ISMS)
- Dokumentation von Vorfällen und Gegenmaßnahmen
- Schulung von Mitarbeitenden in Notfall- und Sicherheitsprozessen
Wer die Anforderungen nicht umsetzt, muss mit Bußgeldern, Einschränkungen des Betriebs oder Reputationsschäden rechnen.
So bereiten Sie sich jetzt vor
- Gap-Analyse durchführen: Prüfen Sie, ob Ihre aktuellen Systeme und Prozesse die neuen Vorgaben bereits erfüllen.
- ISMS nach ISO 27001 einführen oder erweitern: Die Norm gilt als geeigneter Rahmen für NIS-2 und KRITIS-Anforderungen.
- Physische Sicherheitskonzepte aktualisieren: Zutrittskontrolle, Videoüberwachung, Brandschutz, Redundanz.
- Mitarbeiterschulungen etablieren: Sensibilisierung für IT-Sicherheit, Meldeprozesse und Krisenmanagement.
- Berichtspflichten kennen: Identifizieren Sie frühzeitig, welche Meldungen an welche Behörden notwendig sind.
Fazit: Frühzeitige Vorbereitung ist entscheidend
Das neue KRITIS-Dachgesetz und die NIS-2-Richtlinie markieren einen Paradigmenwechsel im Umgang mit kritischen Infrastrukturen. Die Anforderungen steigen deutlich – aber auch die Unterstützung durch Gesetzgeber, Fachverbände und Dienstleister.
Wer sich jetzt vorbereitet, profitiert doppelt: durch mehr Sicherheit im Betrieb und durch eine rechtssichere Grundlage im Ernstfall.
