Definition Was ist das KRITIS-Dachgesetz?

Anbieter zum Thema

bb-net media GmbH

envia TEL GmbH

cyberintelligence.institute GmbH

Mit dem KRITIS-Dachgesetz wurde ein bundeseinheitlicher Gesetzesrahmen für den Schutz besonders kritischer Infrastrukturen geschaffen. Es führt verschiedene Regelungen zusammen und setzt gleichzeitig die CER-Richtlinie in nationales Recht um.

Das „Gesetz zur Umsetzung der EU CER-Richtlinie (EU 2022/2557) und zur Stärkung der Resilienz kritischer Anlagen“ - kurz: KRITIS-Dachgesetz - führt verschiedene, vorher bestehende Regelungen zusammen. Es ist seit dem 1. Oktober 2024 in Kraft und soll die digitale wie physische Widerstandsfähigkeit bestimmter Infrastrukturen gegen Bedrohungen steigern. Das Bewusstsein für die Gefährdung kritischer Infrastrukturen entwickelte sich seit Mitte der 1990er Jahre zunächst in den USA nach dem verheerenden Anschlag auf ein Regierungsgebäude in Oklahoma City. Verstärkt wurde es durch die Anschläge auf das World Trade Center am 11. September 2001 und weitere Katastrophen.

Angesichts der zunehmenden Komplexität und Zahl von hybriden Bedrohungslagen und Cyberangriffen sowie einer stetig wachsenden Vernetzung essenzieller Versorgungssysteme wurde auch in Europa und Deutschland die Notwendigkeit erkannt, kritische Infrastrukturen besser und umfassender zu schützen.

KI verändert Sicherheitsarchitektur grundlegend

KI als Prüfstein für die IT-Sicherheit der Zukunft

Geltungsbereiche des Gesetzes und betroffene Sektoren

Das KRITIS-Dachgesetz gilt für Einrichtungen und Organisationen, die als kritische Infrastrukturen und Anlagen eingestuft werden. Die Definition als kritische Anlage erfolgt nach bestimmten Kriterien und spezifischen Schwellenwerten, an denen die Bedeutung für eine sichere Versorgung der Bevölkerung gemessen wird.

Von KRITIS betroffen sind die folgenden Sektoren:

• Energie (Strom, Gas, Mineralöl, Fernwärme)

• Wasser (Trinkwasser, Abwasser)

• Ernährung (Lebensmittelproduktion und -versorgung)

• Informationstechnik und Telekommunikation

• Gesundheit (Krankenhäuser, medizinische Versorgung)

• Finanz- und Versicherungswesen

• Transport und Verkehr

• Weltraum

• Medien und Kultur

• Staat und öffentliche Verwaltung

• Siedlungsabfallentsorgung

KRITIS-Dachgesetz fordert ganzheitliche Sicherheit

Warum IT-Sicherheit nicht mehr genügt und physische Sicherheit Pflicht wird

Relevante Anforderungen und Pflichten

Alle Betreiber, auf die das KRITIS-Dachgesetz zutrifft, müssen zunächst umfassende Risikoanalysen durchführen und dann entsprechende Maßnahmen zur Resilienz implementieren. Zu diesen Maßnahmen zählen die Einführung von Managementsystemen für Cybersecurity und physische Sicherheit sowie die Umsetzung technischer und organisatorischer Schutzfunktionen nach dem jeweils aktuellen Stand der Technologie.

Hinzu kommen Pflichten zur Dokumentation sämtlicher Sicherheitskonzepte und Notfallpläne. Betreiber müssen Nachweise über durchgeführte Audits vorlegen, kompetente Ansprechpartner für Sicherheitsfragen bereitstellen und jederzeit mit den zuständigen Behörden zusammenarbeiten. Nachweise, die die Umsetzung von Sicherheitsanforderungen belegen, sind an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu übermitteln.

Besonders wichtig ist in diesem Zusammenhang, dass erhebliche Störungen und Sicherheitsvorfälle unverzüglich dem BSI gemeldet werden müssen. Durch diese Meldeketten sollen eine umgehende Reaktion, eine Analyse der jeweiligen Bedrohung und eine Warnung anderer Betreiber gewährleistet werden. Das BSI übernimmt dabei die Funktion eine nationalen Behörde für Cybersecurity, die einerseits die Einhaltung des KRITIS-Dachgesetzes überwacht und andererseits für die Betreiber unterstützend tätig wird.

(ID:50665868)