KRITIS Dachgesetz: Als Betreiber kritischer Infrastruktur den hohen Anforderungen gewachsen bleiben

Mit dem neuen KRITIS-Dachgesetz sind Betreiber kritischer Infrastruktur dazu verpflichtet, erhöhte Anforderungen an Gebäudesicherheit, Resilienzmaßnahmen und auch an Dokumentation und Meldepflichten zu erfüllen. Das KRITIS DachG definiert, welche Unternehmen und Organisationen zur Umsetzung der dafür notwendigen Maßnahmen verpflichtet sind. Diese Absicherungsmaßnahmen müssen jeweils dem gängigen Stand der Technik entsprechen.

Für uns als Spezialist für Sicherheitstechnik gehört die rechtssichere Umsetzung dieser Maßnahmen zu unserem Kerngeschäft. Wir sind zertifiziert als Dienstleister für Sicherheitsheitsanlagen, als Fachplaner und Fachbetrieb für Zutrittssteuerungsanlagen, haben eine Anerkennung als Errichterunternehmen für Gefahrenmeldeanlagen und vieles mehr.

Mit langjährige Erfahrungen in den Bereichen Energieversorgung, Gasspeicher, RZs, Flughäfen, Krankenhäuser, Veranstaltungsorten und mehr sind wir der ideale Partner für die Planung und Umsetzung der nach KRITIS DachG notwendigen Maßnahmen.

Die Sicherheitstechnik ist unser Geschäft. Wir arbeiten mit dem, was Sie bereits haben, und ergänzen um das, was nötig ist. Damit Sie als Organisation auf der sicheren Seite sind.

Das neue KRITIS-Dachgesetz (KRITIS DachG) ist die Umsetzung der EU CER-Richtlinie (EU 2022/2557) in Deutschland. Damit kommen auf Betreiber kritischer Anlagen neue Pflichten zu, die insbesondere auch die physische Sicherheit von Einrichtungen betreffen. Insbesondere beschreibt das Dachgesetz, dass bei entsprechenden Sicherheitsmaßnahmen der Stand der Technik einzuhalten ist.

Im Folgenden Artikel haben die wichtigsten Informationen rund um die neue Gesetzeslage für Sie zusammengestellt und unterstützen Sie gerne bei der Umsetzung.

GSN bietet als Spezialist für Gebäudesicherheit die komplette Lösung für betroffene Firmen. Qualifiziert und vielfach zertifiziert, mit langjähriger Erfahrung und zahlreichen Referenzen im kompletten Bereich der Sicherheitstechnik. Sprechen Sie uns an, wir sind gerne für Sie da!

Kurz und knapp: Was ist das KRITIS-Dachgesetz?

Die neue Gesetzes-Verordnung betrifft Unternehmen und Organisationen in verschiedenen Sektoren, bei denen ein Ausfall oder eine Beeinträchtigung zu dramatischen Folgen für die Bevölkerung und die nationale Sicherheit führen würde. Ob eine Einrichtung oder Anlage – oder Teile davon – betroffen sind, hängt nicht von der Größe der Betreiberorganisation ab, sondern von Schwellwerten, die in der BSI-Kritisverordnung definiert werden. Liegt ein bedeutender Versorgungsgrad vor, gelten für den Betreiber besondere Melde- und Nachweispflichten.

Parallel zum KRITIS-Dachgesetz kommt auch das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Dieses behandelt die IT- bzw. Cybersicherheit für Betreiber kritischer Infrastruktur.

Mit diesen Verordnungen reagiert Deutschland auf die erhöhte Bedrohungslage durch Naturkatastrophen, Abhängigkeiten von Lieferketten, Unfälle, feindliche Bedrohungen und Terrorismus sowie medizische Notlagen. Auf EU-Ebene wird dies in der CER-Richtlinie (Critical Entities Resilience) sowie im Bereich Cybersicherheit in der NIS2-Richtlinie geregelt.

Die zehn Sektoren des KRITIS-Dachgesetzes

Umsetzungsdruck: Wer ist von den neuen Verordnungen KRITIS und NIS2UmsuCG betroffen?

Es gibt unterschiedliche Schätzungen, wie viele Unternehmen von den neuen Gesetzen betroffen sein werden. Betrachtet man beide Verordnungen zusammen, werden voraussichtlich mehrere zehntausende deutsche Unternehmen deutlich erhöhte Anforderungen erfüllen müssen.

Die betroffenen Sektoren kritischer Infrastrukturen sind:

  1. Energie
  2. Informationstechnik und Telekommunikation
  3. Transport und Verkehr
  4. Gesundheit
  5. Medien und Kultur
  6. Wasser
  7. Ernährung
  8. Finanz- und Versicherungswesen
  9. Siedlungsabfallentsorgung
  10. Staat und Verwaltung

Zu beachten ist hierbei, dass Organisationen aus den Bereichen Staat und Verwaltung sowie Medien und Kultur nicht durch das BSI-Gesetz reguliert werden.

Bereits ab Sommer 2026 sollen bei Verstößen Bußgelder fällig werden. Aufgrund der Menge betroffener Unternehmen, der Komplexität des Themas und der knappen Fristen herrscht für die deutschen Betreiber ein hoher Umsetzungsdruck.

Deadlines und Bußgelder: Die wichtigsten KRITIS-Termine auf einen Blick

Die EU-weite CER-Richtlinie trat bereits am 16.01.2024 in Kraft. Der Stichtag für die Umsetzung auf nationaler Ebene ist der 17.10.2024. In Deutschland haben betroffene Organisationen bis zum 01.07.2026 Zeit, alle neuen Anforderungen umzusetzen. Danach kann es bei Verstößen zu empfindlichen Bußgeldern kommen.

KRITIS-DachG: Die Pflichten für Betroffene

Pflichten für Betroffene des KRITIS-Dachgesetz

Der am 21.12.2023 veröffentlichte Referentenentwurf des KRITIS-DachG sieht drei gesetzliche Pflichten für Betreiber kritischer Anlagen vor:

  • Die Registrierung als KRITIS
  • Die Erstellung eines Resilienzplans
  • Das Melden erheblicher Störungen

Für die KRITIS-Registrierung müssen Betreiber vielfältige Informationen bereitstellen: Allgemeine Unternehmensdaten wie Name und Rechtsform, aber auch detaillierte Angaben zu Anlagenkategorien, Versorgungskennzahlen und ähnlichem.

Besonders hervorzuheben ist hier die Notwendigkeit, eine 24-Stunden-Kontaktstelle zu nennen.

Zur Sicherstellung einer betrieblichen Gesamtresilienzstrategie müssen Betreiber sogenannte Resilienzpläne erstellen. In diesem müssen Risikoanalysen und geplante Maßnahmen sowie deren Umsetzung dargelegt werden. Betreiber haben hierfür nach der Registrierung neun Monate Zeit. Anschließend müssen die Resilienzpläne mindestens alle vier Jahre aktualisiert werden.

Tritt eine Störung auf, sind Betreiber nach dem neuen Gesetz verpflichtet, diese binnen 24 Stunden nach Feststellung zu melden. Spätestens einen Monat nach dem Vorfall muss ein ausführlicher Bericht vorgelegt werden.

Technische Maßnahmen und Schulungen

Neben der technischen Umsetzung von Sicherheitsmaßnahmen wird schnell klar, dass die Einhaltung der neuen Anforderungen auch eine Schulung der Mitarbeiter umfassen muss. Neben dem physischen Schutz sind Risiko- und Krisenmanagement, Prozesse im Ernstfall und klar definierte Wiederherstellungsmaßnahmen entscheidend. Die Qualifikation und Sensibilisierung der Mitarbeiter muss vom Betreiber sichergestellt sein, um die Pflichten des KRITIS-Dachgesetzes umfassend zu erfüllen.

Das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) kann hier nicht nur Nachweise verlangen, sondern auch Audits und sogar umfassende Überprüfungen durchführen. Die genaue Höhe der Bußgelder bei Verstößen ist zwar noch unklar, es ist jedoch zu erwarten, dass diese durchaus in Millionenhöhe liegen können.

Erfüllen Sie den Stand der Technik nach KRITIS?

Um die Anforderungen des neuen KRITIS-DachG zu erfüllen, müssen alle Resilienz-Maßnahmen die erfolgten Risikoanalysen beachten und dem aktuellen Stand der Technik entsprechen. Als Experte für Sicherheitstechnik stellt GSN für Sie sicher, dass diese Anforderungen in der Umsetzung erfüllt werden. Was auch immer Ihre Risiko-Analyse ergibt, wir setzen die nötigen Maßnahmen für Sie effizient und professionell um.

KRITIS-Dachgesetz: Wir beraten Sie gerne und unterstützen Sie bei der Umsetzung aller Maßnahmen.

Wir beraten Sie gerne!

Technischer Support: +49 (0) 441 350 93 – 33
Montag bis Donnerstag: 07:00 Uhr bis 16:00 Uhr – Freitag: 07:00 Uhr bis 14:00 Uhr

Zentrale: +49 (0) 441 350 93 – 0
Montag bis Donnerstag: 08:00 Uhr bis 16:30 Uhr – Freitag: 08:00 Uhr bis 14:00 Uhr