Siemens analysiert gesetzliche Anforderungen für Cybersicherheit und physischen Schutz in kritischen Infrastrukturen
Das KRITIS-Dachgesetz und das Cybersicherheitsgesetz NIS-2 kommen, auch wenn sie sich gegenüber dem ursprünglichen Zeitplan verspäten. Um die dort formulierten Anforderungen sicher zu erfüllen, müssen Betreiber kritischer Infrastrukturen jetzt tätig werden. Und auch ihre Dienstleister und Zulieferer entlang der Lieferkette sind aufgrund des erweiterten Geltungsbereichs gefordert: Um die Sicherheit und Resilienz des Betriebs zu jeder Zeit zu gewährleisten, müssen Verantwortliche einen 360-Grad-Schutz vor sämtlichen
Gefahren aufbauen. Ein Beitrag von Jürgen Rumeney, Senior Consultant Security Lifecycle, Siemens.
Kritische Infrastrukturen (kurz KRITIS) sind unverzichtbar für das Funktionieren der Gesellschaft und des täglichen Lebens. Entsprechend wichtig ist es, ihre Sicherheit und Integrität zu schützen. Drei Gefährdungsarten stehen dabei heute im Fokus: physische Bedrohungen, Cyberkriminalität und geopolitische Beeinträchtigungen. Mit der NIS-2-Richtlinie hat die Europäische Union bereits eine Gesetzgebung zur Cybersicherheit auf den Weg gebracht. Die CER-Richtlinie zielt ergänzend auf die physische Widerstandsfähigkeit kritischer Infrastrukturen ab.
Die Zeit drängt
Die deutsche Umsetzung der beiden Richtlinien in nationales Recht erfolgt in Form von zwei Gesetzen: durch das KRITIS-Dachgesetz (KRITIS-DachG) und durch das NIS-2-Umsetzungsgesetz (NIS2UmsuCG). Unter einem Dach adressieren die Gesetze den Schutz der kritischen Infrastrukturen vor Bedrohungen aller Art. Für Staat und Bevölkerung bedeutet das mehr Sicherheit – für Betreiber jedoch zunächst viel Arbeit. Sie müssen sich darauf einstellen, dass diese Gesetze – wenn auch verzögert – in Kraft treten werden.
Dabei drängt die Zeit: Denn die Verzögerung trifft nicht auf die nachfolgenden Termine zu. Demnach soll weiterhin nach einer nationalen Risikobewertung eine verpflichtende Umsetzung in Resilienzmaßnahmen bis zum November 2026 erfolgen. Alle vier Jahre ist dann durch die Betreiber eine Neubewertung durchzuführen.
Darüber hinaus erweitert sich der Geltungsbereich. Denn mit dem Dachgesetz erkennt der Gesetzgeber an, dass für den Betrieb sicherer Infrastrukturen nicht nur die Anlagen selbst geschützt werden müssen, sondern auch deren gesamte Lieferkette. Die Folge ist dann einerseits, dass für wesentliche Betriebsmittel eine zweite oder gar dritte Lieferkette aufgebaut werden muss – beispielsweise für Gas als Energieträger.
Abseits der eigentlichen Anlagen der kritischen Infrastrukturen definiert das KRITIS-Dachgesetz zudem „Unternehmen von besonderem Interesse“. Ist etwa für die Aufrechterhaltung der Prozesse einer Anlage ein Dienstleister verantwortlich, kann dieser automatisch zu einem Unternehmen von besonderem Interesse werden.
Diese Neuerung des Gesetzes erweitert den Kreis der betroffenen Akteure erheblich: Während in Deutschland die kritischen Infrastrukturen im engeren Sinne schätzungsweise 5.000 Betriebe umfassen, wird davon ausgegangen, dass die gesamten Lieferketten bundesweit aus bis zu 30.000 weiteren Unternehmen bestehen.
Die Anforderungen des KRITIS-Dachgesetzes
Mehr zu NIS-2 und KRITIS-Dachgesetz
Die neuen Gesetze KRITIS-DachG und NIS2UmsuCG sollen kritische Infrastrukturen schützen, indem sie Betreiber zu technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Stärkung der Physischen und der Cyber-Sicherheit ihrer Anlagen verpflichten, um so deren Resilienz zu erhöhen. Dabei wird zwischen verschiedenen Pflichten unterschieden:
- Prävention: Vorbeugende Maßnahmen, die Risiken reduzieren und Anlagen gegen künftige Bedrohungen schützen. Dazu zählt das Gesetz auch Aspekte des Klimawandels wie Sturmschäden oder Überflutungen.
- Physischer Schutz: Mit Zäunen und Sperren, Videosicherheit, Detektionseinrichtungen und Zutrittsontrollen müssen Anlagen gegen den unbefugten Zutritt von Angreifern geschützt werden.
- Reaktion: Betreiber müssen Risiko- und Krisenmanagementverfahren etablieren, Protokolle führen und Krisenreaktionspläne erstellen.
- Wiederherstellung: Im Falle eines Angriffs soll die Aufrechterhaltung des Betriebs sichergestellt werden (etwa durch Notstromaggregate) bzw. die schnellstmögliche Wiederaufnahme gewährleistet sein. Dabei müssen Betreiber auch ihre Lieferketten berücksichtigen.
- Personalsicherheit: Das Gesetz verpflichtet Betreiber, Personen mit kritischen Funktionen zu definieren, individuelle Zutrittskontrollen zu etablieren und eine Rechte- und Rollenprüfung zu gewährleisten. Außerdem müssen sie Schulungsanforderungen berücksichtigen und alle relevanten Qualifikationen der Mitarbeitenden sicherstellen.
- Sensibilisierung: Mit Pflichtveranstaltungen (wie Webinare oder Schulungen) und Übungen zum Notfallmanagement müssen Betreiber die Aufrechterhaltung aller relevanten Tätigkeiten zu jeder Zeit sicherstellen
- Stand der Technik: Verantwortliche haben die Pflicht, ihre Anlage auf dem Stand der Technik gemäß europäischen Richtlinien zu halten. Dabei müssen sie Normen und Standards, Zertifizierungen, Best Practices und aktuelle Softwareversionen berücksichtigen.
Besonders der erweiterte physische Schutz und die Betrachtung der gesamten Lieferkette stellen Betreiber vor neue Herausforderungen. Nicht zuletzt aufgrund der erwartungsgemäß hohen Strafen bei Nichtbeachtung sollten Verantwortliche hier unverzüglich aktiv werden: Das Gesetz nennt den Betreiber einer kritischen Anlage als Verantwortlichen für die Umsetzung der Maßnahmen. Der Geschäftsführer haftet dafür auch persönlich.
Außerdem müssen Betreiber umfangreiche Meldepflichten bei Störungen beachten, die KRITIS-DachG und NIS2UmsuCG vorgeben: Sie besagen, dass Meldungen innerhalb von 24 Stunden nach Bekanntwerden an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeldet werden müssen. Anschließend bleibt dem Betreiber ein Monat Zeit für einen zusätzlich einzureichenden ausführlichen Bericht.
Fazit: Jetzt handeln
Kritische Infrastrukturen decken alle Bereiche des Lebens ab und halten zahlreiche branchenspezifische Besonderheiten bereit. Sicherheit muss für alle Bereiche der kritischen Infrastrukturen gegeben sein. Staat und Gesellschaft verlassen sich im Alltag auf die Leistungen der kritischen Infrastrukturen. Dem tragen die neuen Gesetze KRITIS-DachG und NIS2UmsuCG Rechnung.
Deren nationale Umsetzung verzögert sich zwar durch die aktuelle politische Situation, wodurch potenziell betroffene Unternehmen scheinbar etwas Zeit gewinnen. Diese sollten sie aber effektiv nutzen, um sich auf die kommenden Vorgaben vorzubereiten. Denn auch wenn diese in Deutschland erst zu einem späteren Zeitpunkt umgesetzt werden, kommen sie auf europäischer Ebene auf jeden Fall.
Unternehmen sind damit mehr denn je gefordert zu prüfen, ob sie in den Anwendungsbereich der NIS2- und CER-Richtlinien fallen und, soweit der Fall, welche Vorgaben sie konkret umsetzen müssen. Dies betrifft insbesondere die Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen. Es bietet sich daher an, sich sowohl an den europäischen Vorgaben in den beiden Richtlinien als auch den aktuellen Umsetzungsentwürfen zu orientieren.
