Neuigkeiten
Das KRITIS - Dachgesetz & NIS 2-Umsetzungsgesetz
Ist Ihr Unternehmen schon auf das KRITIS-Dachgesetz vorbereitet?
25. Mai 2024
Kritische Infrastrukturen (KRITIS) begleiten unsere Gesellschaft tagtäglich, von der Stromversorgung, über den Zahlungsverkehr und die Alarmierung von Rettungseinsatzkräften. Ein Versagen kann schnell zu Versorgungsengpässen sowie Störungen der öffentlichen Sicherheit führen. Zahlreiche Vorfälle wie Sabotageakte, Naturkatastrophen und die Auswirkungen des Ukrainekriegs zeigen derzeit die Verwundbarkeit und Bedeutung der Kritischen Infrastruktur. (1)
Ab Oktober 2024 soll das KRITIS-Dachgesetz (gültig in Deutschland) die Resilienz von Betreibern und physische Sicherheit, durch einheitliche Mindestvorgaben regulieren. Gestärkt werden somit folgende Sektoren:
- Energie
- Verkehr & Transport
- Finanzwesen
- Gesundheitswesen
- Trink- & Abwasser
- Digitale Infrastruktur
- Staat & Verwaltung
- Abfallentsorgung
- Ernährung
- Medien & Kultur
In Österreich wird für Mittel- und Großbetriebe das neue NIS 2-Umsetzungsgesetz und Cyber-Sicherheitsstärkungsgesetz gelten, welches den Fokus auf die IT-Sicherheit legt und verpflichtende Sicherheitsmaßnahmen sowie Meldepflichten einführen wird. Parallel dazu ist im Jänner 2023 die EU CER Richtlinie (Critical Entities Resilience) in Kraft getreten. Primäre Aufsichtsbehörde wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK). (2)
Der Regelungsinhalt In einem kurzen Überblick zusammengefasst: (3)
1. KRITIS klar identifizieren:
Die bereits bestehende BSI (Bundesministerium des Innern und für Heimat) – Kritisverordnung wird mit dem KRITIS-Dachgesetz ergänzt.
2. Risiken besser erkennen
Die Gefahren für kritische Dienstleistungen werden regelmäßig überprüft und Risikobewertungen alle vier Jahre durchgeführt. Diese ermöglichen einen dynamischen Lernprozess.
3. Schutzniveau verbindlich erhöhen
Das Gesamtsystem wird durch gleiche Mindestvorgaben im Bereich der physischen Sicherheit resilienter gemacht.
4. Störungen des Gesamtsystems erkennen & beheben
Durch die Einführung eines zentralen Störungs-Monitorings sollen diese, auch international, früher erkannt und schneller behoben werden.
5. Schaffung eines institutionellen Rahmens
Eine bessere Zusammenarbeit soll durch klare Verantwortlichkeiten und Ansprechpartner erreicht werden.
Im November 2023 fand die Fachtagung „Protekt“ (4) in Leipzig (D) statt, wo Experten aus KRITIS-Organisationen sich über mögliche
Szenarien, angeglichene Ansätze der Prävention und veränderte gesetzliche Rahmenbedingungen austauschten.
Prof. Thomas Popp (Staatssekretär für digitale Verwaltung und Verwaltungsmodernisierung sowie Chief Information Offices des Freistaates Sachsen) hielt einen Vortrag mit dem Titel „Vorsorge ist besser als Nachsicht“ und betonte, dass Resilienz etwas ist, dass hart erarbeitet werden muss. Diverse Szenarien müssen von Unternehmen geübt werden, „denn es ist nur eine Frage des Wann und nicht des Ob“.
Michael Zimmer (G Data Advanced Analytics) betonte, dass der Kernpunkt eine schnelle Reaktion auf einen Angriff sei, durch eine umgehende Einletung einer
Incident-Response-Maßnahme. „Resilienz bedeutet, den Zeitraum zwischen Kompromittierung und Wiederherstellung kurz zu halten.“