Neue Bundesregierung in der Pflicht: KRITIS müssen jetzt geschützt werden

TÜV NORD nimmt Stellung und erinnert an das „KRITIS-Dachgesetz“

[datensicherheit.de, 22.04.2025] Der TÜV NORD nimmt Stellung zu dem Anliegen, Deutschland besser auf Katastrophen und Sicherheitsrisiken vorzubereiten. 2024 wurde hierzu der Entwurf eines Gesetzes zur Stärkung der Resilienz Kritischer Infrastruktur (KRITIS), das sogenannte KRITIS-Dachgesetz, auf den Weg gebracht. Nun sei die neue Regierung in der Pflicht, dieses Thema zeitnah aufzugreifen und mit einem soliden KRITIS-Dachgesetz eben Kritische Infrastrukturen zu schützen.

„KRITIS-Dachgesetz“ für Betreiber von Anlagen der Kritischen Infrastruktur eine Leitlinie

„Im Bereich Kritische Infrastruktur sehen wir, dass die Gefährdungslage mit dem Krieg in der Ukraine und weiteren Bedrohungen jetzt eine ganz andere ist als vor zehn oder fünfzehn Jahren. Dadurch sind Betreiber mit neuen Aufgaben konfrontiert, die auf sie zukommen – im Bereich Cybersecurity, aber auch beim physischen Schutz der Anlagen vor beispielsweise längeren Stromausfällen“, erläutert Hans Koopman, Geschäftsführer von TÜV NORD EnSys.

• Koopman fordert aus diesem Grund, die EU-Richtlinie zur Resilienz Kritischer Einrichtungen (Critical Entities Resilience, CER) kurzfristig in nationales Recht umzusetzen. Es dürfe durch den Regierungswechsel keine unnötigen Verzögerungen geben.

Das „KRITIS-Dachgesetz“ gibt Betreibern von KRITIS-Anlagen eine Leitlinie an die Hand, mit welcher ein deutschlandweit einheitliches hohes Sicherheitsniveau geschaffen werden soll – dazu gehören Anlagensicherung, aber auch Notfallpläne und Prozesse zur Verkürzung von Ausfallzeiten im Schadenfall und vieles mehr.

Für Deutschland sind KRITIS auf zehn Sektoren verteilt

In Deutschland werden KRITIS in zehn Sektoren unterteilt, die für das Funktionieren der Gesellschaft und Wirtschaft von entscheidender Bedeutung sind: Im Einzelnen sind das die Energie- und Wasserversorgung, die Produktion und der Vertrieb von Lebensmitteln, Informationstechnik und Telekommunikation, Transport und Verkehr, medizinische und Arzneimittel-Versorgung, das Finanzwesen, Sozialversicherungsleistungen und Grundsicherung, der Schutz der Weltrauminfrastruktur sowie die Beseitigung und das Recycling von Abfällen.

• Werden diese beeinträchtigt oder fallen aus, kann das erhebliche Auswirkungen auf die Öffentliche Sicherheit, die Wirtschaft und das gesellschaftliche Leben haben.

„Wir haben bei TÜV NORD viel Erfahrung in diesem Bereich, weil wir schon seit Jahrzehnten Hochrisikotechnologie wie kerntechnische Anlagen betreuen. Mit unserer Expertise in der Funktionalen Sicherheit sowie bei systematischen Risikoanalysen, der Bewertung von Mensch-Technik-Organisation und bei Cybersicherheit unterstützen wir Betreiber dabei, aktiv eine hohe Resilienz und Versorgungssicherheit zu schaffen“, so Koopman. Noch gebe es keine regulatorischen Anforderungen – es obliege daher den Betreibern, ihre Anlagen ausreichend zu schützen.

Geplantes Dachgesetz verpflichtet KRITIS-Betreiber zu regelmäßiger Risikobewertung und geeigneter -minimierung

Das geplante Dachgesetz soll KRITIS-Betreiber verpflichten, regelmäßig eine Risikobewertung ihrer Anlage vorzunehmen und geeignete Maßnahmen zur Risikominimierung zu implementieren. Dies umfasst auch die physische Sicherheit der Anlage.

• „Maßstäbe setzen hier bereits einige Rechenzentren, deren Betreiber aus eigenem Interesse einen hohen Sicherheitsstandard und ein entsprechendes Niveau an physischer Sicherheit vorweisen wollen“, berichtet Lars Wilke, „Lead Expert Physische Sicherheit von Infrastrukturen“ und „Data Center Lead Auditor“ bei TÜV NORD.

Ein interdisziplinäres Team befasse sich daher schon lange mit Umfeldrisiken wie geologischen Gefahren, Explosionsrisiken oder Hochwassergefährdungen, baulicher Sicherheit, Brandmelde- und Sicherheitssystemen, physischem Schutz der Datenverkabelung sowie der Verfügbarkeit und dem Schutz von Strom- und Kälteversorgungssystemen. Wilke: „Es gibt zahlreiche Stellschrauben für mehr Sicherheit, die wir analysieren und auch auf andere Objekte der Kritischen Infrastruktur anwenden können.“

„KRITIS-Dachgesetz“ begründet erweiterte Meldepflicht bei Beeinträchtigung der Resilienz Kritischer Einrichtungen

Ein weiterer Aspekt des „KRITIS-Dachgesetzes“ ist die erweiterte Meldepflicht bei Vorfällen, welche die Resilienz Kritischer Einrichtungen beeinträchtigen könnten. Dies soll eine schnellere Reaktion und bessere Koordination zwischen den betroffenen Akteuren ermöglichen, sowohl national als auch auf EU-Ebene.

• Zudem werde es schließlich um den Schutz sensibler Informationen gehen: „Gerade für Kritische Infrastrukturen sind strenge Sicherheits- und Datenschutzmaßnahmen unerlässlich, wenn Anwendungen mit künstlicher Intelligenz, KI, zum Einsatz kommen“, kommentiert Koopman. Er führt weiter aus: „Mit Analysen und Risikobewertungen tragen wir zur sicheren, effizienten und regelkonformen Integration von KI-Technologien in Deutschlands Industrie und Kritischen Infrastrukturen bei.“

Dabei gehe es beispielsweise um Fragestellungen zur anforderungsgerechten Anwendung von KI-Lösungen, denn mit Standard-Lösungen sei es hier meist nicht getan, gibt Koopman zu bedenken. Die Experten von TÜV NORD könnten eine Aussage darüber treffen, „ob die Implementierung eines bestimmten KI-Systems risikobehaftet ist und unterstützen bei der Umsetzung von Datenschutzmaßnahmen und Sicherheitsprotokollen, um die Einhaltung der DSGVO und den Schutz vor Cyber-Angriffen zu gewährleisten“.

Weitere Informationen zum Thema:

OpenKRITIS
KRITIS-Dachgesetz

Die Bundesregierung, 08.04.2025
KRITIS-Dachgesetz / Kritische Infrastruktur schützen

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant