Die Energieversorgung gehört zum wichtigen Sektor Kritischer Infrastrukturen. Dazu gehört die Versorgung der Allgemeinheit mit Elektrizität (Erzeugung, Übertragung und Verteilung). Ebenfalls zum Kritischen Sektor gehört die Informationstechnik und Telekommunikation (IKT), zu der die Sprach- und Datenübertragung sowie die Datenspeicherung und Datenverarbeitung gehören. Kritische Infrastrukturen (kurz: Kritis) sind unverzichtbar für das Funktionieren der Gesellschaft und des täglichen Lebens. Entsprechend wichtig ist es, ihre Sicherheit und Integrität zu schützen.
Drei Gefährdungsarten stehen dabei besonders im Fokus: physische Bedrohungen, Cyberkriminalität und geopolitische Beeinträchtigungen. Mit der NIS-2-Richtlinie (die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit) hat die Europäische Union bereits eine Gesetzgebung zur Cybersicherheit in Kraft gesetzt. Die CER-Richtlinie (CER = Critical Entities Resilience) zielt ergänzend auf die physische Widerstandsfähigkeit kritischer Infrastrukturen ab.
Das Kritis-Dachgesetz (Kritis-DachG) stellt die deutsche Umsetzung beider Richtlinien in nationales Recht dar: Unter einem Dach adressiert das Gesetz den Schutz der kritischen Infrastrukturen vor Bedrohungen aller Art. Für Staat und Bevölkerung bedeutet das mehr Sicherheit – für Betreiber jedoch zunächst viel Arbeit. Zumal die Zeit drängt: Verantwortliche müssen sich darauf einstellen, dass das Gesetz bereits zum 17. Oktober 2024 in Kraft treten soll.
Nach einer nationalen Risikobewertung soll eine verpflichtende Umsetzung in Resilienzmaßnahmen bis zum November 2026 erfolgen. Alle vier Jahre ist dann durch die Betreiber eine Neubewertung durchzuführen. Darüber hinaus erweitert sich der Geltungsbereich.
Lieferketten und Dienstleister im Fokus
Denn mit dem Dachgesetz erkennt der Gesetzgeber an, dass für den Betrieb sicherer Infrastrukturen nicht nur die Anlagen selbst geschützt werden müssen, sondern auch deren gesamte Lieferkette. Die Folge ist dann einerseits, dass für wesentliche Betriebsmittel eine zweite oder gar dritte Lieferkette aufgebaut werden muss – beispielsweise für Gas als Energieträger.
Abseits der eigentlichen Anlagen der Kritischen Infrastrukturen definiert das Kritis-Dachgesetz zudem »Unternehmen von besonderem Interesse«. Ist etwa für die Aufrechterhaltung der Prozesse einer Anlage ein Dienstleister verantwortlich, kann dieser automatisch zu einem Unternehmen von besonderem Interesse werden.
Diese Neuerung des Gesetzes erweitert den Kreis der betroffenen Akteure erheblich: Während in Deutschland die Kritischen Infrastrukturen im engeren Sinne schätzungsweise 5000 Betriebe umfassen, wird davon ausgegangen, dass die gesamten Lieferketten bundesweit aus bis zu 30.000 weiteren Unternehmen bestehen.
Anforderungen des Kritis-Dachgesetzes
(Bild: Siemens AG)
Das Kritis-DachG soll Kritische Infrastrukturen schützen, indem es Betreiber zu technischen, sicherheitsbezogenen und organisatorischen Maßnahmen für die Stärkung der physischen Sicherheit und Resilienz ihrer Anlagen verpflichtet. Dabei wird zwischen verschiedenen Pflichten unterschieden:
- Prävention: Vorbeugende Maßnahmen, die Risiken reduzieren und Anlagen gegen künftige Bedrohungen schützen. Dazu zählt das Gesetz auch Aspekte des Klimawandels wie Sturmschäden oder Überflutungen.
- Physischer Schutz: Mit Videosicherheit (Bild 1), Zäunen und Sperren (Bild 2), Detektionseinrichtungen und Zutrittskontrollen (Bild 3) müssen Anlagen gegen den unbefugten Zutritt von Angreifern geschützt werden.
- Reaktion: Betreiber müssen Risiko- und Krisenmanagementverfahren etablieren, Protokolle führen und Krisenreaktionspläne erstellen.
- Wiederherstellung: Im Falle eines Angriffs soll die Aufrechterhaltung des Betriebs sichergestellt werden (etwa durch Notstromaggregate) bzw. die schnellstmögliche Wiederaufnahme gewährleistet sein. Dabei müssen Betreiber auch ihre Lieferketten berücksichtigen.
- Personalsicherheit: Das Gesetz verpflichtet Betreiber, Personen mit kritischen Funktionen zu definieren, individuelle Zutrittskontrollen zu etablieren und eine Rechte- und Rollenprüfung zu gewährleisten. Außerdem müssen sie Schulungsanforderungen berücksichtigen und alle relevanten Qualifikationen der Mitarbeitenden sicherstellen.
- Sensibilisierung: Mit Pflichtveranstaltungen (wie Webinare oder Schulungen) und Übungen zum Notfallmanagement müssen Betreiber die Aufrechterhaltung aller relevanten Tätigkeiten zu jeder Zeit sicherstellen.
- Stand der Technik: Verantwortliche haben die Pflicht, ihre Anlage auf dem Stand der Technik gemäß europäischen Richtlinien zu halten. Dabei müssen sie Normen und Standards, Zertifizierungen, Best Practices und aktuelle Softwareversionen berücksichtigen.
Der Geschäftsführer haftet persönlich
Besonders der erweiterte physische Schutz und die Betrachtung der gesamten Lieferkette stellen Betreiber vor neue Herausforderungen. Nicht zuletzt aufgrund der erwartungsgemäß hohen Strafen bei Nichtbeachtung sollten Verantwortliche hier unverzüglich aktiv werden: Das Gesetz nennt den Betreiber einer kritischen Anlage als Verantwortlichen für die Umsetzung der Maßnahmen. Das heißt: Der Geschäftsführer haftet dafür auch persönlich.
Außerdem müssen Betreiber umfangreiche Meldepflichten bei Störungen beachten, die das Kritis-Dachgesetz vorgibt: Sie besagen, dass Meldungen innerhalb von 24 Stunden nach Bekanntwerden an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeldet werden müssen. Anschließend bleibt dem Betreiber ein Monat Zeit für einen zusätzlich einzureichenden ausführlichen Bericht (Bild 4).
Alle Lösungen unter einem Dach vereinen
Ob Einbruchschutz, Zutrittskontrolle oder Cybersicherheit: Für jeden Baustein der Maßnahmen des Kritis-Dachgesetzes gibt es zahlreiche Dienstleister, die Betreiber unterstützen. Wer für jeden Bereich einen individuellen Anbieter wählt, steht jedoch schnell vor einem Flickenteppich an Maßnahmen, Produkten und Dienstleistungen.
Betreiber sind deshalb gut beraten, sich an einen Komplettanbieter, wie z. B. Siemens mit seinem 360-Grad-Ansatz, zu wenden, der ebenso wie das Kritis-Gesetz alle Schutzmaßnahmen unter einem Dach vereint (Bild 5).
Ein ganzheitliches Angebot sollte alle vom Gesetz geforderten Aspekte umfassen:
- Zutrittskontrolle
- Perimeterschutz
- Einbruchschutz
- Physical Security as a Service
- Digitale Services
- Videosicherheit
- Gefahrenmanagement
- Cybersecurity Services
- Sichere Cloud- und Hybrid-Lösungen
- Modernisierungskonzepte.
So startet Siemens den Umsetzungsprozess mit einem so genannten »Gap Assessment«, das eine systematische und umfassende Beurteilung des Cybersicherheitsstatus der Anlage ermöglicht. Darauf aufbauend werden konkrete Handlungsempfehlungen erstellt. Diese umfassen individuelle Schutzkonzepte, die auf den betreiberspezifischen Sicherheitsanforderungen basieren.
Ein Schutzkonzept besteht aus physischen und Cyber-Sicherheitsmaßnahmen, um einen ganzheitlichen Schutz der Anlagen zu gewährleisten. Nach der Umsetzung erfolgt eine Wirksamkeitsprüfung. Über eine Siemens-eigene Notruf- und Serviceleitstelle (NSL) wird zu jedem Zeitpunkt die Aufrechterhaltung der Geschäftskontinuität und eine schnelle Störungsbehebung gewährleistet.
Kritische Infrastrukturen decken alle Bereiche des Lebens ab und halten zahlreiche branchenspezifische Besonderheiten bereit. Sicherheit muss für alle Bereiche der kritischen Infrastrukturen gegeben sein, damit Staat und Gesellschaft sich im Alltag auf die Leistungen der Kritischen Infrastrukturen verlassen können.
