Die deutsche KRITIS-Regulierung ist nach dem IT-Sicherheitsgesetz 2.0 weiter in Entwicklung. Nach aktuellen Vorfällen und der politischen Lage in 2022 arbeitet das Innen­ministerium an einem KRITIS-Dachgesetz, das ab 2023 Anforderungen zu Resilienz und physischer Sicherheit an Kritische Infrastrukturen konkretisieren soll und Teile kommender EU-Regulierungen wie EU RCE/CER vorwegnimmt.

Auf EU-Ebene wurden seit Jahren Bemühungen unternommen, die Vorschriften für kritische Infrastrukturen verbindlicher und tiefergehend zu gestalten, was unter anderem zur Entstehung der NIS 2 (Cyber-Sicherheit) und RCE (Resilienz) Direktiven führte.

Obwohl RCE anscheinend in Teilen im kommenden KRITIS-Dachgesetz berücksichtigt wird, muss NIS 2 (EU 2022/2555) bis Oktober 2024 in nationales Recht umgesetzt werden und Änderungen am BSI-Gesetz bewirken, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.

Die NIS 2 Anforderungen könnten im IT-Sicherheitsgesetz 3.0 behandelt werden, welches die Methodik, regulierte Unternehmen sowie Pflichten erweitert. NIS 2 schafft als horizontaler Rechtsakt ein sektorübergreifendes Mindestsicherheitsniveau, jedoch ergeben sich angesichts weiterer sektoraler und horizontaler Rechtsakte deutliche Querbezüge zu anderen Regulierungsbereichen.

Eine kurze Übersicht:

• Verpflichtende Mindestanforderungen: Unternehmen der KRITIS sollen zukünftig verpflichtet sein, bestimmte Mindestanforderungen an die IT-Sicherheit und den Schutz ihrer Infrastrukturen zu erfüllen. Diese Anforderungen sollen regelmäßig aktualisiert werden, um auf neue Bedrohungslagen reagieren zu können.
• Meldepflichten: KRITIS Unternehmen sollen künftig verpflichtet werden, bestimmte sicherheitsrelevante Vorfälle zu melden. Hierzu zählen beispielsweise Cyberangriffe oder Störungen in der Infrastruktur. Die Meldepflichten sollen dazu beitragen, dass Behörden und andere Unternehmen schnell auf mögliche Bedrohungen reagieren können.
• Erhöhte Anforderungen an Dienstleister: Auch Dienstleister, die im Auftrag von Unternehmen der KRITIS tätig sind, sollen zukünftig höhere Sicherheitsanforderungen erfüllen müssen. Hierdurch soll gewährleistet werden, dass auch Dienstleister nur mit hohen Sicherheitsstandards arbeiten und somit keine Schwachstellen im System entstehen.
• Strafmaßnahmen bei Verstößen: Für den Fall, dass KRITIS Unternehmen gegen die neuen Vorgaben verstoßen, sind auch Strafmaßnahmen vorgesehen. Diese können von Bußgeldern bis hin zu strafrechtlichen Konsequenzen reichen.

Aktueller Statusbericht der KRITIS

Seit Ende 2022 wird das KRITIS-Dachgesetz öffentlich diskutiert, welches darauf abzielt, die physische Sicherheit und Widerstandsfähigkeit von KRITIS-Betreibern zu stärken. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und beabsichtigt, bis zur Sommerpause 2023 einen Gesetzesentwurf vorzulegen. Das Dachgesetz nimmt teilweise Bezug auf die EU CER-Richtlinie (EU 2022/2557), die im Jahr 2022 verabschiedet wurde. Das Dachgesetz bezieht sich auf die 2022 verabschiedete EU CER-Richtlinie (EU 2022/2557) und greift dieser teilweise vor.

KRITIS Sektoren

• Energie
• Verkehr
• Bankwesen
• Finanzmärkte
• Gesundheit,
• Trinkwasser
• Abwasser
• Ernährung
• Digitale Infrastruktur*
• Öffentliche Verwaltung*
• Raumfahrt*
• Medien und Kultur*✝
• Bildung und Betreuung**

Quelle: openkritis.de
* – geht über KRITIS hinaus; ✝ – soll angemessen einbezogen werden; ** – soll in Blick genommen werden

Resilienz bei KRITIS-Betreibern

Die künftigen Schutzmaßnahmen im Rahmen der KRITIS sollen sich auf die physische Sicherheit und Resilienz konzentrieren. Es werden derzeit verschiedene Anforderungen diskutiert, welche die bisherigen Vorgaben zur Cyber-Sicherheit der Betreiber ergänzen sollen.

• Einheitliche Mindestvorgaben für alle Sektoren Kritischer Infrastrukturen
• Verpflichtende Schutzstandards für physische Sicherheit
• „Technische, personelle und organisatorische Maßnahmen“ für Sicherheit und Resilienz
• Krisen-Management und Risiko-Management zum Schutz des Betriebs
• Risiko-Analyse und -Bewertung der kritischen Dienstleistungen (essential services)
• Resilienzpläne zur Krisenvorsorge und Prävention
• Meldewesen für Störungen an das BBK, parallel zu Cyber Security Meldungen ans BSI

Stataliche Regelungen die die KRITIS betreffen

Um die Widerstandsfähigkeit des Gesamtsystems der Kritischen Infrastrukturen zu stärken, soll die staatliche Steuerung durch Gesetze verbessert werden. Ein staatlicher Rahmen für Meldewesen und Kontrollen zu Resilienz soll ans Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übertragen werden. Dies ergänzt das bestehende Meldewesen zu Cyber-Sicherheit und erweitert es um ein zentrales Störungs-Monitoring. Innerhalb der Europäischen Union soll es ein Berichtswesen und eine Koordination geben, die Betreiber, den Stand der Resilienz, Vorfälle und Maßnahmen umfassen. „Staatliche Risikobewertungen für die kritischen Dienstleistungen“ sollen als Grundlage für Bewertungen und Maßnahmen bei Betreibern dienen. Der All-Gefahren-Ansatz sollte sektor- und grenzüberschreitende Risiken berücksichtigen, jedoch ist unklar, ob sich dies an Betreiber und/oder Staat richtet. Das KRITIS-Dachgesetz soll Möglichkeiten staatlicher Hilfen für Betreiber Kritischer Infrastrukturen bieten, um die neuen Maßnahmen umzusetzen.