In der heutigen digitalisierten Welt und einer angespannten geopolitschen Lage sind kritische Infrastrukturen von essenzieller Bedeutung für das reibungslose Funktionieren unserer Gesellschaft. Um diese lebenswichtigen Bereiche vor Bedrohungen und Angriffen zu schützen, wurde bereits 2015 in Deutschland die Verordnung für Betreiber Kritischer Infrastrukturen (KRITIS) vom BSI eingeführt.
- Was ist die KRITIS-Verordnung?
- Wer ist Betreiber kritischer Infrastrukturen?
- Was sind die wichtigsten Anforderungen von KRITIS?
- Welche Konsequenzen hat eine Nichteinhaltung vom KRITIS-Dachgesetz?
Was ist die KRITIS-Verordnung?
KRITIS ist die Kurzform von kritische Infrastrukturen. Bei der Verordnung handelt es sich um die Deutsche Umsetzung der CER-Richtlinie des Europäischen Parlaments. In Deutschland ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) als zuständige Behörde für die Umsetzung der Sicherung von Kritischen Infrastrukturen zuständig. Im Juli 2023 wurde der Gesetzentwurf des KRITIS-Dachgesetzes veröffentlicht. Das Gesetz legt Mindeststandards für alle Betreiber von kritischen Einrichtungen fest, um den physischen Schutz kritischer Infrastrukturen bundeseinheitlich und sektorübergreifend zu regeln. Die Verordnung spielt somit eine entscheidende Rolle im Schutz der Gesellschaft vor potenziell verheerenden Auswirkungen von Angriffen oder Katastrophen auf diese wichtigen Einrichtungen.
Die kritische Infrastruktur umfasst Unternehmen und Einrichtungen, deren Ausfall oder Beeinträchtigung gravierende Auswirkungen auf die öffentliche Sicherheit und Ordnung, Gesundheit, Umwelt oder die Wirtschaft haben kann. Dazu zählen beispielsweise Unternehmen aus den Bereichen Energieversorgung, Wasser- und Lebensmittelversorgung, Telekommunikation und Transportwesen. Wenn es zu Ausfällen in diesen Bereichen kommt, kann das schwerwiegende Folgen für die Bevölkerung haben. Deshalb müssen diese Unternehmen besondere Anforderungen erfüllen, um ihre Systeme und Prozesse vor Angriffen zu schützen und im Notfall schnell reagieren zu können.
Die Verordnung legt u.a. auch Anforderungen an die IT-Security und den Schutz vor Cyberangriffen fest, um die Verfügbarkeit und Integrität der Systeme zu gewährleisten. Eine Nichteinhaltung der Verordnung kann schwerwiegende Konsequenzen haben, wie Bußgelder oder sogar den Entzug der Betriebserlaubnis. Daher ist es unverzichtbar, dass Unternehmen ihre Verantwortung ernst nehmen und die Anforderungen der Verordnung umsetzen, um die Sicherheit zu gewährleisten.
Wer ist Betreiber kritischer Infrastrukturen?
Die Infrastrukturbetreiber spielen eine entscheidende Rolle bei der Bereitstellung von essenziellen Dienstleistungen für die Gesellschaft innerhalb verschiedener Sektoren und Branchen. Diese Dienstleistungen werden als „kritische Dienstleistungen“ bezeichnet, da ihr Ausfall zu erheblichen Versorgungsengpässen, Gefährdungen der öffentlichen Sicherheit oder ähnlichen schwerwiegenden Folgen führen könnte.
Sowohl Unternehmen als auch Behörden, die als Betreiber kritischer Infrastrukturen fungieren, haben die Verantwortung, den sicheren und zuverlässigen Betrieb ihrer Anlagen und Einrichtungen zu gewährleisten. Denn wenn es in einem Sektor zu Ausfällen kommt, wie z.B. bei Energie oder Informationstechnologie, dann kann dieses Ereignis auch signifikanten Einfluss auf andere Sektoren haben.
Folgenden Sektoren sind von KRITIS betroffen:
Energie
- Elektrizität
- Gas
- Mineralöl
- Fernwärme
- Wasserstoff
Ernährung
- Ernährungswirtschaft
- Lebensmittelhandel
Finanz- und Versicherungswesen
- Banken
- Börsen
- Finanzdienstleister
- Versicherungen
Gesundheitswesen
- Medizinische Versorgung
- Arzneimittel
- Impfstoffe
- Labore
IT
- Informationstechnik
- Telekommunikation
Weltraum
Medien und Kultur
- Fernsehen/Radio
- gedruckte und elektronische Presse
- Archive
- Bibliotheken
- Museen
- Kulturdenkmale
Öffentliche Verwaltung
- Parlament (Legislative)
- Regierung und Verwaltung, (Exekutive)
- Judikative und Justizeinrichtungen
- Notfall- und Rettungswesen (einschließlich Katastrophenschutz)
Transport und Verkehr
- Straßenverkehr
- Schienenverkehr
- Logistik
- Luftfahrt
- Binnen- und Seeschifffahrt
Trinkwasser
- Öffentliche Wasserversorgung
Abwasser
- Abwasserbeseitigung
Siedlungsabfallentsorgung
Was sind die wichtigsten Anforderungen von KRITIS?
Insgesamt stellt die Verordnung hohe Anforderungen an betroffene Unternehmen, um die kritischen Infrastrukturen vor Cyberangriffen und anderen Bedrohungen zu schützen. Dadurch kann gewährleistet werden, dass im Ernstfall die Handlungsfähigkeit fortbesteht und unser tägliches Leben wie gewohnt fortgesetzt werden kann.
Strengere Meldepflichten für Sicherheitsvorfälle
Eine wichtige Änderung in der Verordnung betrifft die Meldepflichten für Sicherheitsvorfälle. Unternehmen, die unter diese Verordnung fallen, sind nun verpflichtet, alle sicherheitsrelevanten Vorfälle innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Diese Meldungen müssen detailliert und vollständig sein und müssen Informationen über den Vorfall sowie mögliche Auswirkungen auf die kritische Infrastruktur enthalten.
Diese strengeren Meldepflichten sollen dazu beitragen, dass Sicherheitslücken schneller erkannt und entsprechende Maßnahmen zur Behebung eingeleitet werden können. Zudem ermöglichen sie eine bessere Koordination zwischen den betroffenen Unternehmen und dem BSI bei größeren Cyberangriffen oder anderen Bedrohungen.
Sicherung der Lieferketten
Neben der Sicherung der kritischen Infrastrukturen ist auch die Absicherung der Lieferketten von großer Bedeutung. So können wir sicherstellen, dass unsere Wirtschaft stabil bleibt und wir weiterhin Zugang zu wichtigen Gütern haben. Doch gerade in Zeiten von Globalisierung und internationaler Vernetzung wird es immer schwieriger, eine lückenlose Absicherung der Lieferketten zu gewährleisten. Hier ist es wichtig, dass Unternehmen eng zusammenarbeiten und sich gegenseitig unterstützen. Eine Möglichkeit hierfür sind beispielsweise Kooperationen zwischen verschiedenen Unternehmen entlang einer Lieferkette. Durch den Austausch von Informationen und Know-how können Schwachstellen identifiziert werden – bevor sie ausgenutzt werden können.
Zudem sollten Unternehmen regelmäßig ihre eigenen Prozesse überprüfen und gegebenenfalls anpassen, um Risiken zu minimieren. Auch hier kann ein enger Austausch mit anderen Akteuren innerhalb der Branche hilfreich sein. Insgesamt gilt: Die Sicherheit unserer kritischen Infrastrukturen sowie die Absicherung der Lieferketten sind entscheidend für die wirtschaftliche und gesellschaftliche Stabilität.
Lernen Sie VASGARD/IAN kennen
Wir zeigen Ihnen, wie unsere integrierte Plattform Ihrem Unternehmen helfen kann.
Demo anfragenVerstärktes Risikomanagement
Risikomanagement und eine konsequente Umsetzung von Sicherheitsmaßnahmen sind unerlässlich. Unternehmen sollten sich nicht nur auf technische Lösungen verlassen, sondern auch ihre Mitarbeiterinnen und Mitarbeiter sensibilisieren und schulen. Denn oft sind es menschliche Fehler, die zu Sicherheitslücken führen. Eine regelmäßige Überprüfung der eigenen Systeme und Prozesse sowie eine kontinuierliche Weiterentwicklung und Weiterbildung im Bereich IT-Security können hier Abhilfe schaffen.
Cybersecurity als Chefsache
Cybersecurity ist eine Chefsache und sollte von der Unternehmensleitung als solche behandelt werden. Es geht nicht nur um den Schutz des eigenen Unternehmens, sondern auch um den Schutz der Kunden- und Partnerdaten sowie kritischer Infrastrukturen. Eine unzureichende Cyber-Sicherheit kann schnell zu einem Vertrauensverlust führen und das Ansehen des gesamten Unternehmens schädigen.
Eine der wichtigsten Anforderungen ist die Umsetzung von Maßnahmen zum Schutz vor Cyberangriffen. Unternehmen müssen hierfür ein angemessenes Sicherheitsniveau gewährleisten und entsprechende Vorkehrungen treffen. Zudem müssen sie ihre IT-Systeme regelmäßig auf Schwachstellen überprüfen und diese beheben. Auch die Einrichtung eines Notfallmanagementsystems ist vorgeschrieben, um im Falle einer Störung schnell und effektiv reagieren zu können. Zudem sollten alle Systeme regelmäßig auf Schwachstellen hin überprüft werden.
Ein weiterer wichtiger Aspekt ist die Zusammenarbeit mit anderen Unternehmen sowie Behörden im Bereich Cyber-Sicherheit, um Informationen auszutauschen und gemeinsame Lösungsansätze zu finden.
Welche Konsequenzen hat eine Nichteinhaltung?
Eine Nichteinhaltung der Verordnung kann schwerwiegende Konsequenzen haben. Unternehmen, die zur kritischen Infrastruktur gehören und gegen die Verordnung verstoßen, müssen mit empfindlichen Strafen rechnen. Diese können in Form von Bußgeldern oder sogar dem Entzug der Betriebsgenehmigung erfolgen. Doch nicht nur finanzielle Einbußen sind zu befürchten. Im Falle eines Angriffs auf kritische Infrastrukturen kann eine Nichteinhaltung der Verordnung auch erhebliche Auswirkungen auf die Sicherheit und Stabilität des gesamten Landes haben. Es besteht das Risiko von Stromausfällen, Wasserknappheit oder sogar einem Zusammenbruch der Kommunikationsinfrastruktur.
Zusammenfassend kann man sagen: Die KRITIS-Verordnung ist ein wichtiger Schritt in Richtung einer besseren Absicherung der kritischen Infrastrukturen gegen mögliche Angriffe. Sie stellt Standards auf und verpflichtet Unternehmen dazu, diese umzusetzen. Eine Nichteinhaltung der Verordnung kann schwerwiegende Konsequenzen haben.
Es ist daher von entscheidender Bedeutung, dass Unternehmen ihre Verantwortung ernst nehmen und alle erforderlichen Maßnahmen ergreifen, um die Verordnung einzuhalten. Nur so kann eine angemessene Sicherheit gewährleistet werden und im Falle eines Angriffs schnell und effektiv reagiert werden.
Zurück zur Übersicht