KRITIS-Dachgesetz tritt in Kraft: Welche Herausforderungen sich jetzt ergeben – und welche Chancen
Zu Beginn des Jahres 2025 soll das neue KRITIS-Dachgesetz in Kraft treten. Das bedeutet für Unternehmen, die zur kritischen Infrastruktur gehören, dass diese in Zukunft strenge Vorgaben zum Schutz ihrer Einrichtungen erfüllen müssen. Die KRITIS-Experten Jens Jürgensen und Felix Weidinger von Bosch Building Technologies erläutern im Gespräch mit GIT SICHERHEIT, welche Herausforderungen und Chancen sich daraus ergeben.
Herr Jürgensen, Herr Weidinger, welche Folgen wird das KRITIS-Dachgesetz für Betreiber kritischer Infrastrukturen haben?
Jens Jürgensen: Wir sehen in unserem Beratungsalltag, dass in vielen Unternehmen und öffentlichen Einrichtungen große Unsicherheit herrscht. Hier gibt das neue Gesetz endlich eine klare Orientierung.
Felix Weidinger: Betreiber erfahren nicht nur, ob sie KRITIS-relevant sind, sondern auch, welcher branchenübliche Standard für sie gilt. Darüber hinaus erhalten sie verbindliche Informationen, was sie tun können, um ihre Betriebsstätten und Anlagen besser zu schützen.
In welchen Punkten unterscheidet sich das neue Gesetz von den bisherigen KRITIS-Vorgaben?
Jens Jürgensen: Bisher wurde KRITIS im Wesentlichen im Umfeld von IT-Sicherheit und dem Schutz der hierzu benötigten Hardware gesehen. Jetzt sollen mit dem KRITIS-Dachgesetz nach dem Allgefahrenansatz alle natur- und menschengemachten Gefahren in Betracht gezogen werden.
Lassen Sie uns nochmal zusammenfassen: Welche Sektoren und Branchen sind betroffen?
Jens Jürgensen: Nach dem aktuellen Stand sollen die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasserversorgung, Siedlungsabfallentsorgung, Ernährung, IT und Telekommunikation sowie Weltraumforschung berücksichtigt werden.
Zusätzlich werden Einrichtungen der Bundesverwaltung betrachtet, die im Krisenfall systemrelevant wären. Als Richtgröße gilt die Versorgung von mehr als 500.000 Einwohnern – oder eine andere relevante Bedeutung für die Öffentlichkeit.
Felix Weidinger: Die Unternehmen, die sich bereits heute als KRITIS identifizieren, wissen in den meisten Fällen, was notwendig ist und wie sie es umsetzen wollen. Ganz anders ist es bei den Unternehmen, die neu unter das KRITIS-Dachgesetz fallen: Hier herrscht noch viel Unsicherheit.
Besonders unklar sind der erweiterte Geltungsbereich und die neuen Meldepflichten – insgesamt ist hier mehr Aufklärung notwendig.
Welche Erfahrungen machen Sie im Gespräch mit Kunden? Gibt es Verständnis oder eher Verärgerung über eine neue bürokratische Hürde?
Jens Jürgensen: Die meisten unserer Kunden begrüßen die Standardisierung der Maßnahmen, da sie dadurch Sicherheit bekommen. Alle Unternehmen europaweit sollen die gleichen Anforderungen erfüllen. Damit werden – zumindest auf dieser Ebene – Chancengleichheit und homogene Wettbewerbsbedingungen möglich.
Welche Formalitäten müssen Unternehmen erfüllen, zusätzlich zur technischen Installation von Schutzmechanismen?
Felix Weidinger: KRITIS-Unternehmen müssen sich registrieren und nach dem Allgefahrenansatz ein Risikomanagement etablieren. Im Kern geht es darum, Strukturen und Abläufe für das Management von Krisen aufzubauen. Damit senken Betreiber ihr Risiko – auch das Risiko, in einem Krisenfall unvorbereitet zu sein und damit ihr Image zu gefährden.
Wie kontrolliert der Gesetzgeber die Einhaltung der Vorgaben?
Jens Jürgensen: Betreiber müssen Informationen über ihre Resilienz-Maßnahmen an die zuständige aufsichtführende Behörde übermitteln. Mit Audits weisen die Betreiber nach, dass sie alle Verpflichtungen eingehalten haben. Das Gesetz sieht außerdem eine stichprobenartige Überprüfung durch die Behörde vor.
Was würden Sie KRITIS-Unternehmen als ersten Schritt raten?
Felix Weidinger: Ich würde ihnen eine umfassende Bestandsaufnahme ihrer aktuellen Sicherheitsmaßnahmen und Prozesse empfehlen.
Auf dieser Basis können sie dann priorisieren, welche Sicherheitslücken dringend geschlossen werden müssen.
Welche Fehler sollten KRITIS-Unternehmen auf keinen Fall machen?
Felix Weidinger: Ein häufiges Versäumnis ist es, die Anforderungen des KRITIS-Dachgesetzes als einmalige Umsetzung zu betrachten, anstatt einen fortlaufenden Verbesserungsprozess zu etablieren. Kritisch kann es auch sein, Meldepflichten zu vernachlässigen oder Vorfälle nicht rechtzeitig zu melden, da dies zu Sanktionen führen kann.
Bei welchen Schritten der Umsetzung unterstützt Bosch?
Jens Jürgensen: Der Zeitraum bis zur fertigen sicherheitstechnischen Lösung beinhaltet mehrere Schritte: Zunächst die Gefährdungs- und Risikoanalyse, die Definition der Schutzmaßnahmen und die Entwicklung des Schutzkonzeptes. Anschließend folgen Realisierung und Integration, der Betrieb und die Anpassung der Maßnahmen über den gesamten Lebenszyklus hinweg. Die eigentliche Gefährdungs- und Risikoanalyse obliegt dem Betreiber. Hierbei können und möchten wir aus Objektivitätsgründen nicht unterstützen.
Wie geht Bosch vor? Gibt es einen festgelegten Prozess oder ist jede Umsetzung individuell?
Jens Jürgensen: Es gibt natürlich grundlegende Verfahrensabläufe mit entsprechenden Zwischenzielen, damit alle relevanten Faktoren berücksichtigt werden. Auf der anderen Seite ist jedes Projekt durch die örtlichen und organisatorischen Gegebenheiten einzigartig.
Ist im Markt bekannt, dass Bosch ein wichtiger Ansprechpartner für KRITIS ist?
Felix Weidinger: Größere Betreiber, vor allem aus den Bereichen Energie, Transport und Verkehr sowie Verteidigung, kennen uns bereits, weil wir schon seit Jahrzehnten auf den physischen Schutz kritischer Infrastrukturen spezialisiert sind. Insbesondere sind wir bekannt für umfangreiche Gebäudemanagement- und Zutrittskontrollsysteme oder auch Komplettlösungen für den Perimeterschutz.
Was unterscheidet Bosch von anderen KRITIS-Experten?
Jens Jürgensen: Da kann ich Ihnen mit dem Grundsatz unseres Gründers Robert Bosch antworten: „Lieber Geld verlieren als Vertrauen.“ Wir wollen eine vertrauensvolle und partnerschaftliche Zusammenarbeit mit unseren Kunden, die sinnvolle Lösungen beinhaltet und nicht auf kurzfristigen Gewinn abzielt.
Herr Jürgensen, Herr Weidinger, wir bedanken uns für das Gespräch.
Weitere Informationen zum Thema KRITIS-Dachgesetz werden auf einer Website von Bosch vermittelt.
