KRITIS Dachgesetz: Als Betreiber kritischer Infrastruktur den hohen Anforderungen gewachsen bleiben
GSN ist Ihr Spezialist für Sicherheitstechnik – auch im Rahmen des neuen KRITIS DachG! Für uns gehört die rechtssichere Umsetzung der hierfür nötigen Maßnahmen zu unserem Kerngeschäft. Mit dem neuen KRITIS-Dachgesetz sind Betreiber kritischer Infrastruktur dazu verpflichtet, erhöhte Anforderungen an Gebäudesicherheit, Resilienzmaßnahmen und auch an Dokumentation und Meldepflichten zu erfüllen. Wir sind zertifiziert als Dienstleister für Sicherheitsheitsanlagen, als Fachplaner und Fachbetrieb für Zutrittssteuerungsanlagen, haben eine Anerkennung als Errichterunternehmen für Gefahrenmeldeanlagen und vieles mehr.
Mit langjährigen Erfahrungen in den Bereichen Energieversorgung, Gasspeicher, RZs, Flughäfen, Krankenhäuser, Veranstaltungsorten und mehr sind wir der ideale Partner für die Planung und Umsetzung der nach KRITIS DachG notwendigen Maßnahmen.
Die Sicherheitstechnik ist unser Geschäft. Wir arbeiten mit dem, was Sie bereits haben, und ergänzen um das, was nötig ist. Damit Sie als Organisation auf der sicheren Seite sind.
Inhaltsverzeichnis
- Neue Pflichten für Betreiber kritischer Anlagen durch das KRITIS DachG
- Kurz und knapp: Was ist das KRITIS-Dachgesetz?
- Umsetzungsdruck: Wer ist von den neuen Verordnungen KRITIS und NIS2UmsuCG betroffen?
- Potenziale bei der Umsetzung des KRITIS-DachG nutzen
- Deadlines und Bußgelder: Die wichtigsten KRITIS-Termine auf einen Blick
- Pflichten für Betroffene des KRITIS-Dachgesetz
- Technische Maßnahmen und Schulungen
- Wann macht eine Risikoanalyse zum KRITIS DachG für Unternehmen Sinn?
- Was ist, wenn bereits rechtliche Anforderungen außerhalb des KRITIS Dachgesetz 2024 bestehen?
- Wie können Sie Ihr Unternehmen auf das KRITIS DachG vorbereiten?
- Erfüllen Sie den Stand der Technik nach KRITIS?
Neue Pflichten für Betreiber kritischer Anlagen durch das KRITIS DachG
Das KRITIS DachG definiert, welche Unternehmen und Organisationen zur Umsetzung der dafür notwendigen Maßnahmen verpflichtet sind. Diese Absicherungsmaßnahmen müssen jeweils dem gängigen Stand der Technik entsprechen. Das neue KRITIS-Dachgesetz (KRITIS DachG) ist die Umsetzung der EU CER-Richtlinie (EU 2022/2557) in Deutschland. Damit kommen auf Betreiber kritischer Anlagen neue Pflichten zu, die insbesondere auch die physische Sicherheit von Einrichtungen betreffen. Insbesondere beschreibt das Dachgesetz, dass bei entsprechenden Sicherheitsmaßnahmen der Stand der Technik einzuhalten ist.
Im Folgenden Artikel haben die wichtigsten Informationen rund um die neue Gesetzeslage für Sie zusammengestellt und unterstützen Sie gerne bei der Umsetzung.
GSN bietet als Spezialist für Gebäudesicherheit die komplette Lösung für betroffene Firmen. Qualifiziert und vielfach zertifiziert, mit langjähriger Erfahrung und zahlreichen Referenzen im kompletten Bereich der Sicherheitstechnik. Sprechen Sie uns an, wir sind gerne für Sie da!
Kurz und knapp: Was ist das KRITIS-Dachgesetz?
Die neue Gesetzes-Verordnung betrifft Unternehmen und Organisationen in verschiedenen Sektoren, bei denen ein Ausfall oder eine Beeinträchtigung zu dramatischen Folgen für die Bevölkerung und die nationale Sicherheit führen würde. Ob eine Einrichtung oder Anlage – oder Teile davon – betroffen sind, hängt nicht von der Größe der Betreiberorganisation ab, sondern von Schwellwerten, die in der BSI-Kritisverordnung definiert werden. Liegt ein bedeutender Versorgungsgrad vor, gelten für den Betreiber besondere Melde- und Nachweispflichten.
Parallel zum KRITIS-Dachgesetz kommt auch das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Dieses behandelt die IT- bzw. Cybersicherheit für Betreiber kritischer Infrastruktur.
Mit diesen Verordnungen reagiert Deutschland auf die erhöhte Bedrohungslage durch Naturkatastrophen, Abhängigkeiten von Lieferketten, Unfälle, feindliche Bedrohungen und Terrorismus sowie medizische Notlagen. Auf EU-Ebene wird dies in der CER-Richtlinie (Critical Entities Resilience) sowie im Bereich Cybersicherheit in der NIS2-Richtlinie geregelt.
Umsetzungsdruck: Wer ist von den neuen Verordnungen KRITIS und NIS2UmsuCG betroffen?
Es gibt unterschiedliche Schätzungen, wie viele Unternehmen von den neuen Gesetzen betroffen sein werden. Betrachtet man beide Verordnungen zusammen, werden voraussichtlich mehrere zehntausende deutsche Unternehmen deutlich erhöhte Anforderungen erfüllen müssen.
Die betroffenen Sektoren kritischer Infrastrukturen sind:
- Energie
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit
- Medien und Kultur
- Wasser
- Ernährung
- Finanz- und Versicherungswesen
- Siedlungsabfallentsorgung
- Staat und Verwaltung
Zu beachten ist hierbei, dass Organisationen aus den Bereichen Staat und Verwaltung sowie Medien und Kultur nicht durch das BSI-Gesetz reguliert werden.
Bereits ab Sommer 2026 sollen bei Verstößen Bußgelder fällig werden. Aufgrund der Menge betroffener Unternehmen, der Komplexität des Themas und der knappen Fristen herrscht für die deutschen Betreiber ein hoher Umsetzungsdruck.
Das KRITIS Dach-Gesetz hat daher das Potenzial, bei betroffenen Unternehmen und Organisationen bestehende Prozesse und Abläufe negativ zu beeinflussen. Werden die Gesetzesanforderungen unter zeitlichem Druck umgesetzt, sind (manchmal teure) Kompromisse nicht immer zu umgehen. Eine möglichst frühzeitige Beschäftigung mit dem KRITIS-Dachgesetz 2024 ist daher unbedingt zu empfehlen.
Potenziale bei der Umsetzung des KRITIS-DachG nutzen
Da für die Umsetzung der KRITIS-Anforderungen in der Regel ohnehin Investitionen notwendig sind, macht es Sinn, hierbei gleich auf zusätzliche Optimierungspotenziale zu achten. In vielen Fällen muss neue Hard- und Software angeschafft werden. Neue Prozesse müssen etabliert und die Mitarbeiter entsprechend geschult werden. Hier macht es Sinn zu prüfen, ob mit der Umsetzung der neuen Anforderungen auch gleich wirtschaftlich sinnvolle Optimierungen vorgenommen werden können.
Als Spezialist für Gebäudesicherheit können wir Sie entsprechend beraten und Möglichkeiten aufzeigen. Wir kennen nicht nur das Innenleben der Technik mit allen Vor- und Nachteilen ganz genau, sondern haben bereits viele Kunden dabei unterstützt, wirtschaftlich effiziente Lösungen in der Gebäudesicherheit zu implementieren.
Deadlines und Bußgelder: Die wichtigsten KRITIS-Termine auf einen Blick
Die EU-weite CER-Richtlinie trat bereits am 16.01.2024 in Kraft. Der Stichtag für die Umsetzung auf nationaler Ebene ist der 17.10.2024. In Deutschland haben betroffene Organisationen bis zum 01.07.2026 Zeit, alle neuen Anforderungen umzusetzen. Danach kann es bei Verstößen zu empfindlichen Bußgeldern kommen.
Pflichten für Betroffene des KRITIS-Dachgesetz
Der am 21.12.2023 veröffentlichte Referentenentwurf des KRITIS-DachG sieht drei gesetzliche Pflichten für Betreiber kritischer Anlagen vor:
- Die Registrierung als KRITIS
- Die Erstellung eines Resilienzplans
- Das Melden erheblicher Störungen
Für die KRITIS-Registrierung müssen Betreiber vielfältige Informationen bereitstellen: Allgemeine Unternehmensdaten wie Name und Rechtsform, aber auch detaillierte Angaben zu Anlagenkategorien, Versorgungskennzahlen und ähnlichem.
Besonders hervorzuheben ist hier die Notwendigkeit, eine 24-Stunden-Kontaktstelle zu nennen.
Zur Sicherstellung einer betrieblichen Gesamtresilienzstrategie müssen Betreiber sogenannte Resilienzpläne erstellen. In diesem müssen Risikoanalysen und geplante Maßnahmen sowie deren Umsetzung dargelegt werden. Betreiber haben hierfür nach der Registrierung neun Monate Zeit. Anschließend müssen die Resilienzpläne mindestens alle vier Jahre aktualisiert werden.
Tritt eine Störung auf, sind Betreiber nach dem neuen Gesetz verpflichtet, diese binnen 24 Stunden nach Feststellung zu melden. Spätestens einen Monat nach dem Vorfall muss ein ausführlicher Bericht vorgelegt werden.
Technische Maßnahmen und Schulungen
Neben der technischen Umsetzung von Sicherheitsmaßnahmen wird schnell klar, dass die Einhaltung der neuen Anforderungen auch eine Schulung der Mitarbeiter umfassen muss. Neben dem physischen Schutz sind Risiko- und Krisenmanagement, Prozesse im Ernstfall und klar definierte Wiederherstellungsmaßnahmen entscheidend. Die Qualifikation und Sensibilisierung der Mitarbeiter muss vom Betreiber sichergestellt sein, um die Pflichten des KRITIS-Dachgesetzes umfassend zu erfüllen.
Das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) kann hier nicht nur Nachweise verlangen, sondern auch Audits und sogar umfassende Überprüfungen durchführen. Die genaue Höhe der Bußgelder bei Verstößen ist zwar noch unklar, es ist jedoch zu erwarten, dass diese durchaus in Millionenhöhe liegen können.
Wann macht eine Risikoanalyse zum KRITIS DachG für Unternehmen Sinn?
Sollten Sie bereits wissen, dass Ihre Organisation zu den vom KRITIS DachG betroffenen Sektoren gehört, macht eine Risikobewertung so früh wie möglich Sinn. Die Risikoanalyse ermittelt die möglichen Schwachstellen, und daraus ergeben sich die umzusetzenden verpflichtenden Maßnahmen. Durch eine frühzeitige Bewertung stellen Sie nicht nur sicher, dass die benötigten Dienstleister für die Umsetzung für Ihre Organisation zur Verfügung stehen. Sie sorgen zudem dafür, dass alle nötigen Prozesse fest etabliert sind, bevor Fehler und Probleme zu möglichen Bußgeldern führen.
Es ist zu erwarten, dass die erhöhte Aufmerksamkeit auf das Thema auch nicht direkt betroffene Organisationen aufmerksam werden lässt. Denn natürlich können auch Unternehmen, die nicht unter das KRITIS DachG fallen, von einer Risikobewertung profitieren. Die erhöhte Sensibilität für immer neue Risikofaktoren ist hierbei vollkommen angebracht, da entsprechende Angriffe und Ereignisse den Betrieb eines Unternehmens massiv stören oder sogar lahmlegen können. Von der verbesserten Resilienz können also alle Arten von Organisationen profitieren.
Was ist, wenn bereits rechtliche Anforderungen außerhalb des KRITIS Dachgesetz 2024 bestehen?
In bestimmten Sektoren und Branchen gibt es bereits rechtliche Anforderungen, die den Ansprüchen aus dem KRITIS Dachgesetz 2024 nahekommen. Hier soll es zu einer sogenannten Äquivalenzprüfung kommen. Werden die bereits umgesetzten Maßnahmen anerkannt, reduzieren sich sowohl der bürokratische Aufwand als auch die Investitionskosten für Unternehmen. Diese Äquivalenzprüfung wird von den Aufsichtsbehörden zusammen mit dem BBK und BSI durchgeführt.
Wie können Sie Ihr Unternehmen auf das KRITIS DachG vorbereiten?
Die rechtlichen Anforderungen des KRITIS DachG machen ein klar strukturiertes Vorgehen sinnvoll:
- Prüfen Sie zunächst, ob Ihre Organisation entsprechend des KRITIS Dachgesetzes als kritische Infrastruktur gilt.
- Auch wenn Sie unterhalb der Schwellenwerte liegen, kann eine Risikoanalyse sinnvoll sein oder von den Behörden nahegelegt werden.
- Informieren Sie sich, ob es bei bestehenden rechtlichen Anforderungen eine Äquivalenzprüfung gibt. Ist dies der Fall, reduzieren sich eventuell die für Ihre Organisation anfallenden Investitionen.
- Liegt die Risikobewertung vor, nehmen Sie Kontakt zu unseren Spezialisten auf. Wir begleiten Sie, um eine rechtssichere und wirtschaftlich effiziente Umsetzung der Anforderungen des KRITIS-Dachgesetz 2024 zu garantieren.
Erfüllen Sie den Stand der Technik nach KRITIS?
Um die Anforderungen des neuen KRITIS-DachG zu erfüllen, müssen alle Resilienz-Maßnahmen die erfolgten Risikoanalysen beachten und dem aktuellen Stand der Technik entsprechen. Als Experte für Sicherheitstechnik stellt GSN für Sie sicher, dass diese Anforderungen in der Umsetzung erfüllt werden. Was auch immer Ihre Risiko-Analyse ergibt, wir setzen die nötigen Maßnahmen für Sie effizient und professionell um.