Der Schutz Kritischer Infrastrukturen ist in den vergangenen Monaten viel stärker zum Thema von Medien und Öffentlichkeit geworden. Durch den Krieg in der Ukraine, die Energiekostenkrise, Cyberangriffe auf deutsche Unternehmen und internationale Verwerfungen ist die Bedeutung von Resilienz und Schutz vielen klarer geworden. Was dabei häufig untergeht, ist die Tatsache, dass die bisherigen Regelungen zum Schutz Kritischer Infrastruktur sich nur auf die Cybersicherheit beziehen. Das wird sich künftig ändern durch das KRITIS-Dachgesetz, dessen Eckpunkte die Bundesregierung vorgestellt hat. Denn das Dachgesetz zieht Schutzregelungen für die physische Sicherheit nach. Damit nimmt die Bundesregierung auch Teile von kommenden EU-Regulierungen (Directive on the resilience of critical entities, EU 2022/2557, CER-Richtlinie) vorweg.
Die EU ist bestrebt, Regelungen zum Schutz der Kritischen Infrastruktur zu vereinheitlichen und zu einer übergreifenderen Betrachtung zu gelangen – mit dem Ziel, eine höhere, einheitliche Resilienz zu erreichen. Dazu werden europaweit einheitliche Kriterien angestrebt. Statt starrer Schwellenwerte werden stärker Zusammenhänge und Abhängigkeiten betrachtet, die auch sektoren- und gefahrenübergreifend bestehen. Darauf zahlt auch das Dachgesetz ein. Es soll ergänzend zu den Regelungen zum Cyberschutz einheitliche Vorgaben zur physischen Sicherheit schaffen.
Umfassende Identifizierung Kritischer Infrastrukturen
Teil der Vereinheitlichung wird eine klare Identifikation sein, was als Kritische Infrastruktur betrachtet wird. Dabei geht das Dachgesetz von mindestens elf Sektoren aus: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, öffentliche Verwaltung, Weltraum und Lebensmittel. Hinzu kommen in Teilen Kultur und Medien sowie Bildung.
Das Dachgesetz arbeitet darauf hin, die Vielfalt an Definitionen zu harmonisieren – momentan definiert das BSI acht Sektoren, die bundesdeutsche Definition dagegen zehn. Für die Identifikation Kritischer Infrastruktur sollen quantitative und qualitative Kriterien herangezogen werden. Neben der Zahl der Nutzer*innen geht es dann etwa auch darum, welche Bedeutung die Kritische Infrastruktur für die Aufrechterhaltung einer kritischen Dienstleistung hat – und ob sie länderübergreifend wichtig ist.
Für die betroffenen Unternehmen und Organisationen gelten dann Mindestvorgaben, um die Resilienz des Gesamtsystems zu stärken. Zu den verbindlichen Schutzmaßnahmen gehören den Eckpunkten nach unter anderem die Einrichtung eines betrieblichen Risiko- und Krisenmanagements, die Durchführung von Risikoanalysen und -bewertungen oder die Erstellung von Resilienzplänen.
Ein Gesamtüberblick für höhere Resilienz des Systems
Das KRITIS-Dachgesetz sieht auch ein zentrales Störungsmonitoring vor. Als Ergänzung zum Meldewesen für Cybersicherheit ist es dazu gedacht, einen Gesamtüberblick über Schwachstellen im physischen Schutz zu liefern – und so auch andere Kritische Infrastrukturen oder andere EU-Länder frühzeitig warnen zu können. Dazu wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zur zentralen Aufsichtsbehörde für den physischen Schutz Kritischer Infrastruktur ausgebaut. In dieser Rolle soll es eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenarbeiten, damit der physische Schutz und der Cyberschutz kohärent sind.
Unternehmen und Organisationen sollten sich vorbereiten
Klare Definitionen und einheitliche Vorgaben auch für den physischen Schutz sind begrüßenswert. Für Unternehmen und Organisationen empfiehlt es sich, schon jetzt die Pläne im Auge zu behalten und für sich Ableitungen vorzunehmen. Denn auch wenn es sich bislang nur um Eckpunkte handelt: Erfahrungsgemäß sind die dann später greifenden Fristen zur Einführung von Systemen und Maßnahmen eng gesetzt. Neben den technischen Anforderungen gilt es aber meist, auch die Arbeitsprozesse umzustellen und die Mitarbeiter*innen entsprechend zu schulen.
Zudem werden Schutzvorgaben eingeführt, um die physische Resilienz zu erhöhen und bestehende Schwachstellen zu schließen. Das ist auch für die Unternehmen und Organisationen relevant, die unterhalb der Schwellenwerte liegen. Denn es empfiehlt sich, dass auch sie anhand der Vorgaben prüfen, welche Maßnahmen sie zur Erhöhung ihrer Betriebssicherheit ebenfalls anwenden wollen.
Auch bei der Cybersicherheit werden Regelungen harmonisiert
Das KRITIS-Dachgesetz schließt eine wichtige Lücke: Denn die physische Sicherheit von Infrastruktur ist ähnlich bedeutsam wie die Cybersicherheit. Gleichzeitig ist zu erwarten, dass die Logik der Vereinheitlichung und der sektorübergreifenden Betrachtungsweise in weiteren Gesetzgebungsverfahren auch auf den Bereich Cybersicherheit ausgedehnt wird.
Die neue EU-Rechtsvorschrift NIS 2 (Netz- und Informationssicherheit) zeigt bereits erste vergleichbare Ansätze für die Cybersicherheit. Auch sie strebt eine Harmonisierung der Anforderungen an Cybersicherheit und der Cybersicherheitsmaßnahmen zwischen den EU-Staaten an.
Unser Experte im Interview
Marcel Kühne, M.Sc.
Wissenschaftlicher Mitarbeiter in der Abteilung Kognitive Energiesysteme (KES), Gruppe IT-Sicherheit für Energie- und Wasserversorgung am Fraunhofer IOSB, Institutsteil Angewandte Systemtechnik (AST)