Kritis Dachgesetz – Verordnung, Methodik und Inhalte
veröffentlicht am
16.10.2024

Kritis Dachgesetz – Verordnung, Methodik und Inhalte

Das Kritis Dachgesetz entstand als Antwort auf die zunehmende Abhängigkeit von digitalen Infrastrukturen und die wachsende Bedrohung durch Cyberangriffe. In einer Welt, in der kritische Infrastrukturen wie Energieversorgung, Gesundheitswesen und Transportwesen immer stärker vernetzt sind, hat der Schutz dieser Systeme höchste Priorität. Störungen oder Ausfälle in diesen Bereichen könnten schwerwiegende Folgen für die Gesellschaft und Wirtschaft haben.

Das Kritis Dachgesetz ergänzt bestehende Regelungen wie das IT-Sicherheitsgesetz 2.0 und zielt darauf ab, Betreibern kritischer Infrastrukturen klare Vorgaben zur Absicherung ihrer Systeme und zur Verbesserung der Resilienz gegenüber Bedrohungen zu geben.

Was ist das Kritis Dachgesetz?

Das Kritis Dachgesetz ist eine zentrale Verordnung in Deutschland, die sich mit dem Schutz kritischer Infrastrukturen (KRITIS) befasst. Diese Regelung soll die Sicherheit und Widerstandsfähigkeit von Systemen gewährleisten, die für das Funktionieren unserer Gesellschaft unerlässlich sind. Es zielt darauf ab, Betreiber kritischer Infrastrukturen dazu zu verpflichten, Maßnahmen zur Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme zu ergreifen.

KRITIS-Verordnung

Die KRITIS-Verordnung bildet den rechtlichen Rahmen des Kritis Dachgesetzes. Sie legt fest, welche Sektoren und Unternehmen als kritische Infrastruktur eingestuft werden und daher den Anforderungen des Gesetzes unterliegen. Dazu zählen unter anderem die Sektoren Energie, Gesundheit, Informationstechnik und Transport.

In welchen Sektoren wird das Kritis Dachgesetz angewendet?

Das Kritis Dachgesetz findet Anwendung in mehreren lebenswichtigen Sektoren, die für die Aufrechterhaltung des öffentlichen Lebens unverzichtbar sind. Diese kritischen Infrastrukturen betreffen alle Bereiche, die für das Funktionieren der Gesellschaft und der Wirtschaft essenziell sind. Die wichtigsten Sektoren sind:

  1. Energieversorgung
    Dieser Sektor umfasst die Strom-, Gas- und Wasserkraftwerke sowie die Energieverteilung. Ein Ausfall in der Energieversorgung hätte weitreichende Folgen für Haushalte, Unternehmen und öffentliche Einrichtungen, da Strom und Gas für den Betrieb nahezu aller weiteren Infrastrukturen unverzichtbar sind.
  2. Gesundheitswesen
    Im Gesundheitssektor spielen Krankenhäuser, Kliniken, Arzneimittelversorgung und Rettungsdienste eine zentrale Rolle. Der Schutz der IT-Systeme in diesem Bereich ist besonders wichtig, um die Versorgung von Patienten zu gewährleisten. Cyberangriffe oder Systemausfälle könnten die Funktionsfähigkeit von Notfall- und Versorgungseinrichtungen beeinträchtigen und Menschenleben gefährden.
  3. Transport und Verkehr
    Der Sektor umfasst die Straßen-, Schienen-, Luft- und Schifffahrt sowie die Steuerung und Überwachung von Verkehrsinfrastrukturen. Ein Ausfall in diesem Bereich könnte zu schwerwiegenden Störungen im Personen- und Güterverkehr führen, mit erheblichen wirtschaftlichen und sozialen Folgen.
  4. Informationstechnik und Telekommunikation
    Dieser Sektor bildet die Grundlage für alle Kommunikationsprozesse in Wirtschaft und Gesellschaft. IT-Dienstleister, Mobilfunknetzbetreiber und Internetdienstanbieter gehören zu den Unternehmen, die durch das Kritis Dachgesetz geschützt werden sollen. Störungen in der Telekommunikation könnten große Teile des öffentlichen Lebens lahmlegen, da sowohl die private als auch die geschäftliche Kommunikation davon abhängig sind.
  5. Wasserversorgung
    Wasserwerke und Kläranlagen zählen ebenfalls zu den kritischen Infrastrukturen. Ein Ausfall der Wasserversorgung würde sowohl die öffentliche Gesundheit als auch die landwirtschaftliche und industrielle Produktion bedrohen.
  6. Finanzwesen
    Banken, Versicherungen und Finanzdienstleister spielen eine zentrale Rolle in der Stabilität des Finanzsystems. Cyberangriffe auf diesen Sektor könnten das Vertrauen in das Finanzsystem erschüttern und zu weitreichenden wirtschaftlichen Schäden führen. Ein stabiler und sicherer Betrieb der Finanzmärkte ist daher essenziell.

Zusätzlich zu diesen Sektoren gibt es weitere kritische Bereiche, die unter die Regelungen des Kritis Dachgesetzes fallen, darunter Lebensmittelversorgung, öffentliche Verwaltung und Medien. Alle diese Sektoren sind besonders schutzbedürftig, da ihre Funktionsfähigkeit eng mit der Sicherheit, Gesundheit und dem Wohlstand der Bevölkerung verknüpft ist. Der Schutz dieser Infrastrukturen ist entscheidend, um gesellschaftliche Stabilität zu gewährleisten und das öffentliche Leben auch in Krisensituationen aufrechtzuerhalten.

Sektoren Kritis Dachgesetz

KRITIS-Methodik

Die Methodik des Kritis Dachgesetzes basiert auf der Risikoanalyse, der Implementierung von Sicherheitsmaßnahmen und einer robusten Data Governance. Betreiber kritischer Infrastrukturen müssen potenzielle Bedrohungen identifizieren und geeignete Vorkehrungen treffen, um Risiken zu minimieren. Dies schließt technische Maßnahmen wie IT-Sicherheitsvorkehrungen, aber auch organisatorische Ansätze wie Schulungen, Notfallpläne und eine effektive Datenverwaltung ein.

KRITIS-Inhalte

Das Kritis Dachgesetz enthält Vorschriften zu:

  • Meldepflichten:
    Betreiber müssen Sicherheitsvorfälle unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
  • Überprüfungen:
    Unternehmen müssen regelmäßig ihre Sicherheitsmaßnahmen überprüfen lassen.
  • Sanktionsmöglichkeiten:
    Bei Verstößen gegen das Gesetz drohen empfindliche Strafen.

Risiken und Maßnahmen

Zu den wesentlichen Risiken, denen kritische Infrastrukturen ausgesetzt sind, zählen:

  • Cyberangriffe:
    Besonders in Zeiten zunehmender Digitalisierung und Prozessdigitalisierung stellen Hackerangriffe eine erhebliche Bedrohung dar. Die zunehmende Vernetzung von Systemen bietet Angreifern zahlreiche Angriffspunkte.
  • Naturkatastrophen:
    Überschwemmungen, Stürme und Erdbeben können den Betrieb empfindlich stören.
  • Technische Störungen:
    Ausfälle in der Energieversorgung oder IT-Systeme können weitreichende Folgen haben.

Um diesen Risiken zu begegnen, setzt das Kritis Dachgesetz auf Maßnahmen wie:

  • Regelmäßige Sicherheitsüberprüfungen der Systeme.
  • Verpflichtende Notfallpläne für den Ernstfall.
  • Verpflichtung zur Meldung von Störungen und Sicherheitsvorfällen.

Cyberangriff

Aufbau eines wirksamen Resilienz-Managements durch ein Business Continuity Managementsystem (BCMS)

Ein zentrales Element des Kritis Dachgesetzes ist der Aufbau eines Business Continuity Managementsystems (BCMS). Dieses System stellt sicher, dass kritische Infrastrukturen auch im Falle eines Zwischenfalls weiter betrieben werden können. Wichtige Bestandteile eines BCMS sind:

  • Risikobewertung: Identifikation möglicher Bedrohungen.
  • Notfallpläne: Erstellung von Plänen, um auf verschiedene Bedrohungsszenarien vorbereitet zu sein.
  • Regelmäßige Tests: Simulationen von Notfallsituationen zur Überprüfung der Wirksamkeit der Maßnahmen.

Cloud Computing und KRITIS

Cloud Computing spielt eine immer größere Rolle bei der Digitalisierung kritischer Infrastrukturen. Sowohl das Kritis-Dachgesetz als auch NIS 2 enthalten spezifische Anforderungen an die Nutzung von Cloud-Diensten. NIS 2 legt beispielsweise Wert auf die Vertrauenswürdigkeit von Cloud-Anbietern und die Einhaltung hoher Sicherheitsstandards.
Die Vorteile wie Skalierbarkeit, Flexibilität und Kosteneffizienz sind attraktiv. Gleichzeitig birgt die Migration von Anwendungen und Daten in die Cloud neue Herausforderungen im Hinblick auf Sicherheit und Compliance.

Viele Unternehmen verfolgen hybride Cloud-Strategien, bei denen sowohl eigene Rechenzentren als auch öffentliche Clouds genutzt werden. Dies erfordert eine sorgfältige Planung und Umsetzung, um die Risiken zu minimieren.

Fazit

Das Kritis Dachgesetz spielt eine entscheidende Rolle im Schutz kritischer Infrastrukturen in Deutschland. Es fordert von den Betreibern umfassende Sicherheitsvorkehrungen und Notfallpläne, um die kontinuierliche Versorgung der Bevölkerung sicherzustellen. Unternehmen in den betroffenen Sektoren sollten daher sicherstellen, dass sie alle Anforderungen des Gesetzes umsetzen, um Sanktionen zu vermeiden und ihre Systeme bestmöglich zu schützen.