Die EU hat Ende 2022 die „CER“- Richtlinie verabschiedet, die zum Schutz kritischer digitaler Infrastruktur beitragen soll. Dabei konzentriert sich die Richtlinie auf den physischen Schutz und will die Resilienz kritischer Einrichtungen vor (nicht-cyberbezogenen) Gefahren stärken. Die Richtlinie wird auf Ebene der Mitgliedstaaten umgesetzt, in Deutschland in Form des KRITIS-Dachgesetzes, welches bisher nur als Entwurf vorliegt (KRITIS-DachG-E).
Das Gesetz soll bis Mitte 2024 verabschiedet werden, jedoch haben Unternehmen für die Umsetzung bis zum 1. Januar 2026 Zeit.
Anwendungsbereich - Einheitlicher Rahmen
Mit dem Gesetz sollen die Regelungen zur physischen Sicherheit von „kritischen Anlagen“, „wichtigen Anlagen“ und „besonders wichtigen Anlagen“ unter einem Dach zusammengefasst werden. Der Entwurf enthält jedoch zunächst nur Regelungen für „kritische Anlagen“. Welche Unternehmen als „kritische Anlagen“ konkret betroffen sein werden, wird erst durch eine noch zu erlassende Rechtsverordnung festgelegt werden (vgl. §§ 4, 15 KRITIS-DachG-E).
Resilienzmaßnahmen und Resilienzpläne
Ein zentraler Punkt des Entwurfs sind die Anforderungen an Resilienzmaßnahmen. Betreiber kritischer Anlagen sind nach § 11 KRITIS-DachG-E verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Sicherstellung der Resilienz zu treffen. Darunter ist nach § 2 Nr. 6 KRITIS-DachG-E die Fähigkeit des Betreibers einer kritischen Anlage zu verstehen, „einen Vorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Vorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen“.
Diese Maßnahmen basieren auf behördlichen und eigenen Risikoanalysen und umfassen z.B. den physischen Schutz der Anlagen, Reaktionen auf Vorfälle und Maßnahmen zur Wiederherstellung der Anlagen nach Vorfällen. Mangels detaillierter Vorgaben des Entwurfs zur Ausgestaltung dieser Maßnahmen bleibt den Betreibern dabei ein gewisser Umsetzungsspielraum.
Die Betreiber müssen alle Resilienzmaßnahmen in einem Resilienzplan dokumentieren und diesen regelmäßig dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) vorlegen. Das BBK ist befugt, die Einhaltung der Resilienzmaßnahmen zu überprüfen und gegebenenfalls zusätzliche Maßnahmen anzuordnen.
Meldepflichten
Der Entwurf sieht auch Meldepflichten für Betreiber kritischer Anlagen vor (§ 12 KRITIS-DachG-E). Sie müssen Vorfälle an eine vom BBK und BSI eingerichtete Stelle melden, die ihre kritischen Dienstleistungen erheblich beeinträchtigen können. Bei einem Vorfall muss innerhalb von 24 Stunden eine Erstmeldung und innerhalb eines Monats ein detaillierter Bericht erfolgen.
Sanktionen
Es gibt einen Katalog von bußgeldbewehrten Verstößen gegen das Gesetz, wobei die genauen Bußgelder noch nicht festgelegt sind (§ 19 KRITIS-DachG-E).
Was nun zu tun ist – Risikomanagement nach dem KRITIS-DachG-E
Der Entwurf des KRITIS-DachG-E legt großen Wert auf das Risikomanagement und die Meldepflicht von erheblichen Sicherheitsvorfällen. Eine gesetzliche Auflistung der erforderlichen Maßnahmen enthält der Entwurf jedoch (noch) nicht. Insofern dürfte den Betreibern ein großer Gestaltungsspielraum verbleiben.
Zu den Maßnahmen, die bei der Abwägung durch den Betreiber kritischer Anlagen nach § 11 Abs. 1 zu berücksichtigen sind, können insbesondere gehören:
- Um das Auftreten von Vorfällen zu verhindern: Maßnahmen der Notfallvorsorge, Maßnahmen zur Anpassung an den Klimawandel
- Um einen angemessenen physischen Schutz ihrer Räumlichkeiten und Kritischen Infrastrukturen zu gewährleisten: Maßnahmen des Objektschutzes, Instrumente und Verfahren für die Überwachung der Umgebung, Detektionsgeräte, Zugangskontrollen.
- Um auf Vorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen: Risiko- und Krisenmanagementverfahren und -protokolle, Vorgegebene Abläufe im Alarmfall.
- Um nach Vorfällen die Wiederherstellung zu gewährleisten: Maßnahmen zur Aufrechterhaltung des Betriebs (z.B. Notstromversorgung), Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen.
- Um ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten: Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt, Festlegung von Zugangsrechten zu Räumlichkeiten, kritischen Infrastrukturen und zu sensiblen Informationen, Berücksichtigung von Verfahren für Zuverlässigkeitsüberprüfungen und Benennung von Kategorien von Personal, die solche Zuverlässigkeitsüberprüfungen durchlaufen müssen, Festlegung angemessener Schulungsanforderungen und Qualifikationen.
- Um das entsprechende Personal für die unter den Buchstaben a bis e genannten Maßnahmen zu sensibilisieren: Schulungen, Informationsmaterial, Übungen.
