Zum Inhalt springen

KRITIS-DachG

KRITIS-Dachgesetz

Resilienz von Kritischen Infrastrukturen

Das KRITIS-Dachgesetz (KRITIS-DachG) ergänzt die bestehenden Regelungen zur Cybersicherheit von Kritischen Infrastrukturen um eine sektorenspezifische Betrachtung der physischen Sicherheit & Resilienz.

Reihen mit schwarz-weißen Server-Racks in einem Rechenzentrum. | TÜVIT

Was ist das KRITIS-Dachgesetz?

Das KRITIS-DachG zielt darauf ab, die Widerstandsfähigkeit (Resilienz) kritischer Anlagen in Deutschland gegen physische Angriffe zu stärken. Dafür enthält es Mindestanforderungen an die physische Sicherheit von Kritischen Infrastrukturen (KRITIS) sowie gezielte Unterstützungs- und Aufsichtsmaßnahmen. Hintergrund ist die Umsetzung der EU-Richtlinien zum Schutz Kritischer Infrastrukturen (CER-Richtlinie) in nationales Recht. 

Unter dem Begriff der "kritischen Anlagen" versteht das KRITIS-DachG Anlagen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben und deren Ausfall zu Versorgungsengpässen oder Gefährdungen führen würde. Als Schwellen­wert dafür, ob eine Anlage von dem Gesetz betroffen ist, gilt die Versorgung von 500.000 Personen und mehr.

Ein Mensch drückt einen Knopf an einem elektrischen Gaszähler

Wer ist vom KRITIS-Dachgesetz betroffen?

Vom KRITIS-DachG betroffen sind Betreiber kritischer Anlagen in den folgenden 11 Sektoren: 

  • Energie
  • Transport & Verkehr
  • Ernährung
  • Trinkwasser
  • Abwasser
  • Siedlungsabfallentsorgung
  • Finanz- & Versicherungswesen*
  • Informationstechnik & Telekommunikation*
  • Gesundheitswesen
  • Weltraum
  • Staat
     

* Diese Sektoren fallen unter den Anwendungsbereich des KRITIS-DachG, werden aber von vielen Pflichten weitgehend ausgenommen.

Wann tritt das KRITIS-Dachgesetz in Kraft?

Der zweite Referentenentwurf des KRITIS-DachG liegt seit Dezember 2023 vor. Er enthält einige Änderungen gegenüber dem ersten Entwurf aus Juli 2023. 

Ursprünglich sollte das Gesetz im Frühjahr 2024 verkündet werden, ein Inkrafttreten scheint sich allerdings zu verzögern.

Generell ist die CER-Richtlinie von den EU-Mitgliedsstaaten bis spätestens zum 17. Oktober 2024 umzusetzen. Im Kontext der aktuellen politischen Situation nach der Bundestagswahl 2025 soll die CER-Richtlinie im Herbst 2025 zusammen mit der NIS-2-Richtlinie verabschiedet werden.

Zum aktuellen Referentenentwurf

Anforderungen des KRITIS-Dachgesetzes

§ 6: Registrierung der kritischen Anlage 
Betreiber kritischer Anlagen sind verpflichtet, diese spätestens 3 Monate nachdem sie erstmals oder erneut als Betreiber kritischer Anlagen gelten beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu melden. In diesem Zuge ist auch eine Kontaktstelle einzurichten und zu benennen. 

§ 10: Etablierung von Resilienzmaßnahmen
Nach Ablauf von 10 Monaten nach Registrierung sind Betreiber kritischer Anlagen dazu verpflichtet geeignete technische, sicherheitsbezogene sowie organisatorische Maßnahmen zur Gewährleistung ihrer Widerstandsfähigkeit zu treffen. 

§ 11: Nachweise 
Mit dem Ziel der Überprüfung der Einhaltung von Maßnahmen können durch die zuständige Aufsichtsbehörde entsprechende, erforderliche Nachweise verlangt werden. Der Nachweis kann durch Audits erfolgen. Vorgaben zu den Anforderungen legt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fest. 

§ 14: Billigungs -, Überwachungs -, & Schulungspflicht für Geschäftsleiter
Geschäftsleiter von Betreibern kritischer Anlagen sind verpflichtet die Umsetzung der ergriffenen Maßnahmen zu billigen und zu überwachen. Darüber hinaus müssen sie regelmäßig an Schulungen teilnehmen, um Kenntnisse und Fähigkeiten im Risikomanagement auf- und auszubauen.

§ 9: Durchführung von Risikoanalysen & -bewertungen 
Auf Grundlage nationaler Risikoanalysen und Risikobewertungen müssen Betreiber kritischer Anlagen mindestens alle 4 Jahre Risikoanalysen und -bewertungen durchführen. Zu betrachten sind naturbedingte, klimatische und vom Menschen verursachte Risiken, die die Handlungsfähigkeit der Wirtschaft bedrohen. 

§ 10: Erstellung von Resilienzplänen 
Die getroffenen Resilienzmaßnahmen müssen in einem Resilienzplan dargestellt werden, aus dem die den Maßnahmen zugrunde liegenden Erwägungen einschließlich der Risikoanalysen und Risikobewertungen hervorgehen. 

§ 12: Meldepflicht für Vorfälle 
Erhebliche Störungen, die die Erbringung kritischer Dienstleistungen betreffen, sind innerhalb von 24 Stunden an eine vom BBK und dem BSI eingerichtete gemeinsame Meldestelle zu melden. Spätestens einen Monat nach dem Vorfall ist zudem ein ausführlicher Bericht zu übermitteln.

§ 19: Bußgeldvorschriften
Die genaue Höhe von Bußgeldern ist im Referententwurf des Gesetzes noch nicht definiert. Zu den Ordnungswidrigkeiten zählen beispielsweise die nicht rechtzeitige Registrierung, fehlende Unterlagen oder Risikobewertungen oder nicht geeignete Resilienzmaßnahmen.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie


TÜV NORD IT Secure Communication I Berlin
Ziel erreicht?

Wir prüfen das


TÜV Informationstechnik I Essen
Die Unterschiede auf einen Blick

KRITIS-Dachgesetz vs. NIS-2-Richtlinie

KRITIS-DachG

Fokus: Physische Sicherheit & Resilienz von kritischen Anlagen

 

  • Das KRITIS-Dachgesetz (KRITIS-DachG) betrifft Betreiber kritischer Anlagen in 11 verschiedenen Sektoren in Deutschland und innerhalb der EU.
  • Bezieht sich auf die Umsetzung der CER-Richtlinie, die bis spätestens zum 17. Oktober 2024 erfolgen muss.
  • Die zuständige Aufsichtsbehörde ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). 

NIS2UmsuCG

Fokus: Cybersicherheit von Kritischen Infrastrukturen

 

  • Das NIS-2-Umsetzungs- & Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betrifft KRITIS-Betreiber ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren sowie Sonderfälle.
  • Bezieht sich auf die Umsetzung der NIS-2-Richtlinie, die spätestens bis zum 17. Oktober 2024 erfolgen muss.
  • Die zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). 

Mehr zur NIS-2-Richtlinie erfahren Sie hier