Home   >   Leistungen   >   ISMS - Sicherheit und Wert von Informationen   >   KRITIS-Dachgesetz

KRITIS-Dachgesetz

Parallel zur NIS 2 Richtlinie ist im Januar 2023 die EU CER Richtlinie (Critical Entities Resilience) in Kraft getreten. Die Fristen fordern – wie bei der NIS 2 – eine Umsetzung durch die EU-Mitgliedsstaaten bis zum 17.10.2024, und die CER soll innerhalb der EU ab dem 18.10.2024 angewendet werden. Das KRITIS-Dachgesetz ist das Umsetzungsgesetz der CER in Deutschland. Mit Datum vom 17.07.2023 ist ein Referentenentwurf veröffentlicht worden, der nun in die Ressortabstimmung geht. Es ist ein eigenständiges Gesetz, also kein Artikelgesetz wie z.B. das NIS 2 Umsetzungsgesetz. Primäre Aufsichtsbehörde wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Mit dem KRITIS-Dachgesetz soll die Resilienz kritischer Anlagen nach dem All-Gefahrenansatz gestärkt werden. In Abgrenzung zum NIS 2 Umsetzungsgesetz, das die IT-Sicherheit kritischer Anlagen stärken soll, soll das KRITIS-Dachgesetz den physischen Schutz dieser Anlagen und deren Widerstandsfähigkeit stärken. Es tritt damit ergänzend neben das NIS 2 Umsetzungsgesetz.

Betreiber kritischer Anlagen, die analog zum IT-Sicherheitsgesetz (IT-SiG) durch Rechtsverordnung festgelegt werden, müssen erstmals 9 Monate nach Registrierung einer Anlage und danach alle 4 Jahre eine Risikoanalyse und -bewertung durchführen. Dabei sind alle, die Wirtschaftsstabilität beeinträchtigenden, naturbedingten, klimatischen und vom Menschen verursachten Risiken zu berücksichtigen. Auf Basis dieser Risikoanalysen müssen Betreiber kritischer Anlagen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz nach dem Stand der Technik umsetzen. Diese Maßnahmen umfassen die Bereiche BCM/Notfallmanagement, physische Sicherheit, Personal sowie Risiko-/Krisenmanagement, sind in einem Resilienzplan zu dokumentieren und dem BBK alle zwei Jahre nachzuweisen.

Störungen sind vom Betreiber kritischer Anlagen unverzüglich an das BBK zu melden. Darüber hinaus sieht das KRITIS-Dachgesetz Bußgelder vor, die im aktuellen Referentenentwurf (Stand 17.07.2023) aber noch nicht quantifiziert sind. Die wesentlichen Pflichten für Betreiber kritischer Anlagen, z.B. Risikoanalysen und Maßnahmenumsetzung, sie sollen erst am 01.01.2026 in Kraft treten, die Bußgeldvorschriften noch ein Jahr später. Damit ist derzeit eine nicht unerhebliche Übergangszeit vorgesehen.

Die Anforderungen aus dem KRITIS-Dachgesetz gelten verpflichtend nur für Betreiber kritischer Anlagen. Allerdings können wichtige und besonders wichtige Einrichtungen (vgl. NIS 2) diese Anforderungen freiwillig umsetzen. Die Rechtsverordnung, in der kritische Anlagen festgelegt werden, soll für das KRITIS-Dachgesetz und das NIS-2-Umsetzungsgesetz gleich sein, um einen einheitlichen Regulierungsrahmen zu schaffen.