Schutz kritischer Infrastruktur

Umfassende Sicherheit für Unternehmen

Steigender Handlungsdruck durch komplexe Regulierungen und akute Bedrohungsszenarien

kritis-sektorkreis

Die Sicherstellung einer robusten Notfall- & Krisenbewältigung für Unternehmen, Behörden und Organisationen ist von entscheidender Bedeutung angesichts der aktuellen Herausforderungen und der steigenden Komplexität unserer Welt. Gemäß den Plänen des Innenministeriums sollen mindestens elf Bereiche als kritische Infrastruktur gelten, darunter:

  • Energie
  • Informationstechnik & Telekommunikation
  • Transport & Verkehr
  • Gesundheit
  • Medien & Kultur
  • Wasser
  • Ernährung
  • Finanz- & Versicherungswesen
  • Siedlungsabfallentsorgung
  • Staat & Verwaltung

 

Unsere Dienstleistungen zielen darauf ab, die Resilienz kritischer Infrastrukturen zu stärken und ein ganzheitliches Schutzkonzept aufzubauen, das sämtliche erforderlichen Maßnahmen umfasst, um diese Infrastrukturen zu schützen. Dabei unterstützen wir Sie bei der Risikobewertung, der Analyse spezieller Gefahren, der Entwicklung von Schutzkonzepten und der Umsetzung aller notwenigen Maßnahmen.

"Inmitten der gegenwärtigen geopolitischen Umstände und der zunehmend komplexen Regulatorik stehen Betreiber Kritischer Infrastrukturen vor erheblichen Herausforderungen. Die Notwendigkeit einer umfassenden Krisen-Resilienz ist in dieser Zeit von größerer Bedeutung als je zuvor."
Lucas Zeißler
Geschäftsführer & KRITIS-Experte
Emblem-section.svg

Die Einführung des geplanten KRITIS-Dachgesetzes ist ein bedeutender Schritt zur Stärkung der kritischen Infrastruktur in Deutschland und trägt zur Umsetzung der EU-Richtlinie über die Widerstandsfähigkeit   kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) bei. Zudem werden nationale Gesetze wie das Zivilschutz- und Katastrophenhilfegesetz (ZSKG), sowie sonstige Katastrophenschutzgesetze und Verordnungen berücksichtigt.

Paragrafen und Bestimmungen aus den genannten Gesetzen & Verordnungen sind unter anderem:

  • ZSKG, § 6: Festlegung von Schutzmaßnahmen für kritische Infrastrukturen
  • EU-Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen (CER-Richtlinie), Artikel 4: Anforderungen an die Resilienz von kritischen Infrastrukturen
  • Katastrophenschutzgesetze und Verordnungen der Bundesländer, welche konkrete Anforderungen und Verpflichtungen für den Schutz kritischer Infrastrukturen festlegen.

Mehr Sicherheit für KRITIS-Betreiber

Wir unterstützen die Bestrebungen der Bundesregierung, um praktikable Lösungen zu erarbeiten. Unsere langjährige Erfahrung und unser Fachwissen machen uns zu einem verlässlichen Partner für die Stärkung der Resilienz kritischer Infrastrukturen.

Wir bieten:

  • Beratung und Analyse zur aktuellen Situation der kritischen Infrastrukturen
  • Festlegung von spezifischen Kritikalitätsindikatoren und identifikation von Schutzzielen
  • Vor-Ort-Begehungen mit fachlicher Prüfung und Bewertung
  • Risikoanalysen
  • Entwicklung und Erstellung umfassender Schutzkonzepte
  • Umsetzungsbegleitung bei der Realisierung von Schutzmaßnahmen
  • Durchführung von Audits zur Überprüfung und Verbesserung des Schutzniveaus
  • Abstimmung mit Ämtern und Behörden 
  • weitere Maßnahmen zum KRITIS-Schutz 

 

Das von uns  erstellte Krisenhandbuchs, welches auf Ihre individuellen Anforderungen zugeschnitten wird, ist die Grundlage für sicheres Handeln in Notfallsituationen.

Zusätzlich bieten wir ein „Notfall-Handout“ für Mitarbeiter an. Dieses Handout enthält klare Anweisungen und Richtlinien für alle Mitarbeiter im Ernstfall. Es bietet eine Hilfestellung und schreibt vor, wie sich Mitarbeiter in verschiedenen Notfallsituationen zu verhalten haben. Dadurch können sie schnell und angemessen reagieren, deutliche mehr Sicherheit von Patienten, Mitarbeitern und Besuchern zu gewährleisten.

Ab 2024 wird die KRITIS-Resilienz durch das neue KRITIS-Dachgesetz gestärkt, welches zusätzliche Regulierungen zur physischen Sicherheit und Widerstandsfähigkeit von Betreibern einführt. Dieses Gesetz setzt die EU CER-Richtlinie (EU 2022/2557) um und erweitert die Pflichten von Betreibern kritischer Anlagen.

Der aktuelle Referentenentwurf des KRITIS-Dachgesetzes umfasst folgende Bestimmungen:

  • Betreiber: Die Regelungen gelten für Betreiber kritischer Anlagen (KRITIS) in den bisherigen KRITIS-Sektoren.
  • Ausschlüsse: Bestimmte Sektoren wie IT, Telekommunikation, Finanzen und Versicherungen sind von der Regulierung ausgenommen.
  • Resilienz: Es werden konkrete Anforderungen an Betreiber gestellt, darunter Meldepflichten, Krisen- und Risikomanagement, Business Continuity Management (BCM) sowie Maßnahmen zur Personalsicherheit und physischen Sicherheit.
  • Aufsicht: Die KRITIS-Aufsicht wird um das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erweitert, in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und teilweise unter Einbindung von Landesbehörden.
  • Sanktionen: Bei Verstößen drohen Bußgelder sowie zusätzliche Pflichten für die Geschäftsleitung.
  • Risiken: Nationale und betriebliche Risiken für die Wirtschaftsstabilität spielen eine wichtige Rolle.

Der Referentenentwurf sieht vor, dass die verbindlichen Anforderungen und Fristen für Betreiber zunächst eher moderat ausfallen. Wesentliche Pflichten wie die Umsetzung von Maßnahmen, die Registrierung und die Meldung von Vorfällen treten erst ab 2026 in Kraft.

Die Richtlinie (EU) 2022/2557 legt folgende Inhalte fest:

  1. Standards für den Schutz kritischer Infrastrukturen in der EU, sowie der Erlass und die Umsetzung  nationaler Gesetze 
  2. Festlegung von Maßnahmen zur Prävention und Bewältigung von Angriffe auf kritische Infrastrukturen.
  3. Einrichtung eines Frühwarnsystems für potenzielle Bedrohungen und Angriffe.
  4. Verpflichtung der Mitgliedstaaten zur Meldung von Sicherheitsvorfällen.
  5. Schaffung eines Rahmens für die Zusammenarbeit zwischen den Mitgliedstaaten bei der Bekämpfung von Bedrohungslagen.
  6. Betonung der Bedeutung der Zusammenarbeit zwischen öffentlichen und privaten Akteuren.
  7. Maßnahmen zur Stärkung der Resistenz und zur Förderung von Schulungsprogrammen.
  8. Sicherstellung der Kohärenz mit anderen EU-Rechtsvorschriften im Bereich des KRITIS-Sschutzes.

Gemäß § 2 Absatz 10 des Bundesgesetzes für die Sicherheit in der Informationstechnik (BSIG) werden Kritische Infrastrukturen definiert als Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung angehören. Sie sind von hoher Bedeutung für das Funktionieren des Gemeinwesens, da ihr Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit zur Folge hätten. Die konkrete Bestimmung der Kritischen Infrastrukturen erfolgt durch die Rechtsverordnung nach § 10 Absatz 1 des BSIG, auch bekannt als BSI-Kritisverordnung.

Das Zivilschutz- und Katastrophenhilfegesetz (ZSKG) regelt in Deutschland die Organisation und Aufgaben des Zivilschutzes sowie die Zusammenarbeit von Bund und Ländern bei der Katastrophenhilfe. Es ist primär darauf ausgerichtet, Maßnahmen zum Schutz der Bevölkerung und zur Bewältigung von Katastrophen zu treffen.

Im Falle von Katastrophen oder großflächigen Schadensereignissen auch kritische Infrastrukturen betreffen kann. In solchen Fällen kann die Koordination zwischen den verschiedenen Akteuren im Rahmen des Zivilschutzes und der Katastrophenhilfe auch den Schutz kritischer Infrastrukturen einschließen.

Prüfungen oder Vorbereitung auf KRITIS-Prüfungen nach §8a Abs. 3 und 4

KRITIS-Prüfungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI): Das BSI ist die zentrale Behörde für IT-Sicherheit in Deutschland und ist für die Sicherheit von kritischen Infrastrukturen verantwortlich. Das BSI führt regelmäßige Überprüfungen und Audits durch, um sicherzustellen, dass Unternehmen und Einrichtungen in kritischen Sektoren angemessene Sicherheitsmaßnahmen getroffen haben, einschließlich physischer Sicherheitsvorkehrungen.

Audits und Überprüfungen nach dem IT-Sicherheitsgesetz: Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen in Deutschland dazu, angemessene Sicherheitsmaßnahmen zu implementieren und regelmäßige Sicherheitsaudits durchzuführen. Diese Audits können physische Sicherheitsaspekte wie den Schutz von Gebäuden, Anlagen und Einrichtungen umfassen.

Branchenspezifische Standards und Überprüfungen: In einigen Branchen, die als kritische Infrastrukturen gelten, existieren spezifische Standards und Überprüfungen zur physischen Sicherheit. Zum Beispiel können Krankenhäuser und Gesundheitseinrichtungen spezielle Überprüfungen im Rahmen der Krankenhausplanung und -aufsicht der Länder unterliegen, die auch die physische Sicherheit abdecken.

Sicherheitsüberprüfungen durch externe Prüfungsstellen: Viele Unternehmen und Einrichtungen in kritischen Sektoren beauftragen externe Prüfungsstellen oder Sicherheitsunternehmen mit Sicherheitsüberprüfungen, um Schwachstellen in ihren physischen Sicherheitsmaßnahmen zu identifizieren und zu beheben. Diese Überprüfungen können verschiedene Aspekte wie Zugangskontrolle, Überwachungssysteme, Alarmvorkehrungen und Gebäudesicherheit umfassen.

Notfall- und Krisenmanagementübungen: Ein wichtiger Teil des KRITIS-Schutzes ist die Durchführung von Notfall- und Krisenmanagementübungen, die auch die physische Sicherheit einschließen. Durch solche Übungen können Unternehmen und Einrichtungen ihre Reaktion auf verschiedene Krisenszenarien testen und sicherstellen, dass ihre physischen Sicherheitsmaßnahmen effektiv sind.

Kontaktieren Sie uns

Kontakt