KRITIS: Physische Sicherheit & Resilienz | TÜVIT

Was ist das KRITIS-Dachgesetz?

Das KRITIS-DachG zielt darauf ab, die Widerstandsfähigkeit (Resilienz) kritischer Anlagen in Deutschland gegen physische Angriffe zu stärken. Dafür enthält es Mindestanforderungen an die physische Sicherheit von Kritischen Infrastrukturen (KRITIS) sowie gezielte Unterstützungs- und Aufsichtsmaßnahmen. Hintergrund ist die Umsetzung der EU-Richtlinien zum Schutz Kritischer Infrastrukturen (CER-Richtlinie) in nationales Recht.

Unter dem Begriff der "kritischen Anlagen" versteht das KRITIS-DachG Anlagen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben und deren Ausfall zu Versorgungsengpässen oder Gefährdungen führen würde. Als Schwellenwert dafür, ob eine Anlage von dem Gesetz betroffen ist, gilt die Versorgung von 500.000 Personen und mehr.

Ein Mensch drückt einen Knopf an einem elektrischen Gaszähler

Wer ist vom KRITIS-Dachgesetz betroffen?

Vom KRITIS-DachG betroffen sind Betreiber kritischer Anlagen in den folgenden 11 Sektoren:

Energie
Transport & Verkehr
Ernährung
Trinkwasser
Abwasser
Siedlungsabfallentsorgung
Finanz- & Versicherungswesen*
Informationstechnik & Telekommunikation*
Gesundheitswesen
Weltraum
Staat

* Diese Sektoren fallen unter den Anwendungsbereich des KRITIS-DachG, werden aber von vielen Pflichten weitgehend ausgenommen.

Wann tritt das KRITIS-Dachgesetz in Kraft?

Der zweite Referentenentwurf des KRITIS-DachG liegt seit Dezember 2023 vor. Er enthält einige Änderungen gegenüber dem ersten Entwurf aus Juli 2023.

Ursprünglich sollte das Gesetz im Frühjahr 2024 verkündet werden, ein Inkrafttreten scheint sich allerdings zu verzögern.

Generell ist die CER-Richtlinie von den EU-Mitgliedsstaaten bis spätestens zum 17. Oktober 2024 umzusetzen. Im Kontext der aktuellen politischen Situation nach der Bundestagswahl 2025 soll die CER-Richtlinie im Herbst 2025 zusammen mit der NIS-2-Richtlinie verabschiedet werden.

Zum aktuellen Referentenentwurf

Anforderungen des KRITIS-Dachgesetzes

§ 6: Registrierung der kritischen Anlage
Betreiber kritischer Anlagen sind verpflichtet, diese spätestens 3 Monate nachdem sie erstmals oder erneut als Betreiber kritischer Anlagen gelten beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu melden. In diesem Zuge ist auch eine Kontaktstelle einzurichten und zu benennen.

§ 10: Etablierung von Resilienzmaßnahmen
Nach Ablauf von 10 Monaten nach Registrierung sind Betreiber kritischer Anlagen dazu verpflichtet geeignete technische, sicherheitsbezogene sowie organisatorische Maßnahmen zur Gewährleistung ihrer Widerstandsfähigkeit zu treffen.

§ 11: Nachweise
Mit dem Ziel der Überprüfung der Einhaltung von Maßnahmen können durch die zuständige Aufsichtsbehörde entsprechende, erforderliche Nachweise verlangt werden. Der Nachweis kann durch Audits erfolgen. Vorgaben zu den Anforderungen legt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fest.

§ 14: Billigungs -, Überwachungs -, & Schulungspflicht für Geschäftsleiter
Geschäftsleiter von Betreibern kritischer Anlagen sind verpflichtet die Umsetzung der ergriffenen Maßnahmen zu billigen und zu überwachen. Darüber hinaus müssen sie regelmäßig an Schulungen teilnehmen, um Kenntnisse und Fähigkeiten im Risikomanagement auf- und auszubauen.

§ 9: Durchführung von Risikoanalysen & -bewertungen
Auf Grundlage nationaler Risikoanalysen und Risikobewertungen müssen Betreiber kritischer Anlagen mindestens alle 4 Jahre Risikoanalysen und -bewertungen durchführen. Zu betrachten sind naturbedingte, klimatische und vom Menschen verursachte Risiken, die die Handlungsfähigkeit der Wirtschaft bedrohen.

§ 10: Erstellung von Resilienzplänen
Die getroffenen Resilienzmaßnahmen müssen in einem Resilienzplan dargestellt werden, aus dem die den Maßnahmen zugrunde liegenden Erwägungen einschließlich der Risikoanalysen und Risikobewertungen hervorgehen.

§ 12: Meldepflicht für Vorfälle
Erhebliche Störungen, die die Erbringung kritischer Dienstleistungen betreffen, sind innerhalb von 24 Stunden an eine vom BBK und dem BSI eingerichtete gemeinsame Meldestelle zu melden. Spätestens einen Monat nach dem Vorfall ist zudem ein ausführlicher Bericht zu übermitteln.

§ 19: Bußgeldvorschriften
Die genaue Höhe von Bußgeldern ist im Referententwurf des Gesetzes noch nicht definiert. Zu den Ordnungswidrigkeiten zählen beispielsweise die nicht rechtzeitige Registrierung, fehlende Unterlagen oder Risikobewertungen oder nicht geeignete Resilienzmaßnahmen.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin

Zu den Beratungsleistungen Kontakt aufnehmen

Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen

Zu den Prüfangeboten Kontakt aufnehmen

Die Unterschiede auf einen Blick

KRITIS-Dachgesetz vs. NIS-2-Richtlinie

KRITIS-DachG

Fokus: Physische Sicherheit & Resilienz von kritischen Anlagen

Das KRITIS-Dachgesetz (KRITIS-DachG) betrifft Betreiber kritischer Anlagen in 11 verschiedenen Sektoren in Deutschland und innerhalb der EU.
Bezieht sich auf die Umsetzung der CER-Richtlinie, die bis spätestens zum 17. Oktober 2024 erfolgen muss.
Die zuständige Aufsichtsbehörde ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

NIS2UmsuCG

Fokus: Cybersicherheit von Kritischen Infrastrukturen

Das NIS-2-Umsetzungs- & Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) betrifft KRITIS-Betreiber ab 50 Mitarbeitenden und 10 Mio. Euro Umsatz in 18 festgelegten Sektoren sowie Sonderfälle.
Bezieht sich auf die Umsetzung der NIS-2-Richtlinie, die spätestens bis zum 17. Oktober 2024 erfolgen muss.
Die zuständige Aufsichtsbehörde ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Mehr zur NIS-2-Richtlinie erfahren Sie hier.