Bundestag verabschiedet KRITIS-Dachgesetz

Mit dem KRITIS-Dachgesetz setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) in nationales Recht um. Betreiber Kritischer Infrastrukturen werden künftig verpflichtet, Risikoanalysen durchzuführen, Resilienzmaßnahmen umzusetzen sowie sicherheitsrelevante Vorfälle zu melden. Ergänzend sind nationale Risikoanalysen vorgesehen, auf deren Basis Betreiber eigene Schutzkonzepte entwickeln müssen.

Das Gesetz adressiert dabei ausdrücklich den physischen Schutz kritischer Anlagen und ergänzt bestehende Regelungen zur IT- und Cybersicherheit, etwa aus dem BSI-Gesetz oder der NIS-2-Umsetzung. Verfolgt wird ein All-Gefahren-Ansatz, der neben Cyberangriffen auch Sabotage, Terroranschläge, Naturereignisse oder technisches Versagen berücksichtigt.

Als Kritische Infrastruktur gelten nach dem Gesetz Einrichtungen, die essenziell für die Gesamtversorgung sind und in der Regel mehr als 500.000 Menschen versorgen. Dazu zählen unter anderem Unternehmen aus den Sektoren Energie, Wasser, Gesundheit, Transport und Verkehr sowie Informationstechnik und Telekommunikation. Für diese Betreiber gelten künftig Registrierungs- und Nachweispflichten gegenüber dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Für Sicherheitsverantwortliche und Anbieter von Sicherheitslösungen bedeutet das KRITIS-Dachgesetz steigende Anforderungen an physische, organisatorische und integrierte Sicherheitskonzepte. Neben klassischen Schutzmaßnahmen rücken Risiko- und Resilienzmanagement, Meldeprozesse sowie die Verzahnung von physischer Sicherheit und IT-Sicherheit stärker in den Fokus.

Die praktische Ausgestaltung wird maßgeblich von nachgelagerten Verordnungen und Leitlinien abhängen. Mit dem KRITIS-Dachgesetz gewinnt das Thema Resilienz Kritischer Infrastrukturen weiter an strategischer Bedeutung – für Betreiber ebenso wie für die Sicherheitswirtschaft.