Alle Glossar-Artikel
Kritis Dachgesetz – Verordnung, Methodik und Inhalte
Beitrag verfasst von:
MAKONIS-Team
veröffentlicht am
24.12.2024

Kritis Dachgesetz – Verordnung, Methodik und Inhalte

Kritis Dachgesetz

Das Kritis Dachgesetz entstand als Antwort auf die zunehmende Abhängigkeit von digitalen Infrastrukturen und die wachsende Bedrohung durch Cyberangriffe. In einer Welt, in der kritische Infrastrukturen wie Energieversorgung, Gesundheitswesen, Transportwesen und insbesondere die Bereiche Energie, Transport und Verkehr immer stärker vernetzt sind, hat der Schutz dieser Systeme höchste Priorität. Dabei spielen auch Aspekte im Bereich Transport und Verkehr, Finanzen eine bedeutende Rolle. Störungen oder Ausfälle in diesen Bereichen könnten schwerwiegende Folgen für die Gesellschaft und Wirtschaft haben und das Gemeinwesen bei deren Ausfall erheblich beeinträchtigen.

Das Kritis Dachgesetz ergänzt bestehende Regelungen wie das IT-Sicherheitsgesetz 2.0 und zielt darauf ab, Betreibern kritischer Infrastrukturen klare Vorgaben zur Absicherung ihrer Systeme und zur Verbesserung der Stärkung der Resilienz kritischer Systeme gegenüber Bedrohungen zu geben. Dabei orientiert es sich auch an europäischen Vorgaben wie der CER-Richtlinie (Critical Entities Resilience Directive), die Mindestanforderungen an die Widerstandsfähigkeit kritischer Infrastrukturen innerhalb der EU definiert.

Was ist das Kritis Dachgesetz?

Das Kritis Dachgesetz ist eine zentrale Verordnung in Deutschland, die sich mit der IT Sicherheit kritischer Infrastrukturen (KRITIS) befasst. Diese Regelung soll die Sicherheit und Widerstandsfähigkeit von Systemen gewährleisten, die für das Funktionieren unserer Gesellschaft unerlässlich und essenziell für die Gesamtversorgung in Deutschland sind. Es definiert, welche Unternehmen und Einrichtungen als Betreiber kritischer Infrastrukturen gelten und verpflichtet sie, Maßnahmen zur Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme zu ergreifen.

KRITIS-Verordnung

Die KRITIS-Verordnung bildet den rechtlichen Rahmen des Kritis Dachgesetzes. Sie legt fest, welche Sektoren und Unternehmen als kritische Infrastruktur eingestuft werden und daher den Anforderungen des Gesetzes unterliegen. Dazu zählen unter anderem die Sektoren Energie, Gesundheit, Informationstechnik und Transport.

In welchen Sektoren wird es angewendet?

Das Kritis Dachgesetz findet Anwendung in mehreren lebenswichtigen Sektoren (Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung und Energieversorgung), die für die Aufrechterhaltung des öffentlichen Lebens unverzichtbar sind. Diese kritischen Infrastrukturen betreffen alle Bereiche, die für das Funktionieren der Gesellschaft und der Wirtschaft essenziell sind. Die wichtigsten Sektoren sind:

  1. Energieversorgung
    Dieser Sektor umfasst die Strom-, Gas- und Wasserkraftwerke sowie die Energieverteilung. Ein Ausfall in der Energieversorgung hätte weitreichende Folgen für Haushalte, Unternehmen und öffentliche Einrichtungen, da Strom und Gas für den Betrieb nahezu aller weiteren Infrastrukturen unverzichtbar sind.
  2. Gesundheitswesen
    Im Gesundheitssektor spielen Krankenhäuser, Kliniken, Arzneimittelversorgung und Rettungsdienste eine zentrale Rolle. Der Schutz der IT-Systeme in diesem Bereich ist besonders wichtig, um die Versorgung von Patienten zu gewährleisten. Cyberangriffe oder Systemausfälle könnten die Funktionsfähigkeit von Notfall- und Versorgungseinrichtungen beeinträchtigen und Menschenleben gefährden.
  3. Transport und Verkehr
    Der Sektor umfasst die Straßen-, Schienen-, Luft- und Schifffahrt sowie die Steuerung und Überwachung von Verkehrsinfrastrukturen. Ein Ausfall in diesem Bereich könnte zu schwerwiegenden Störungen im Personen- und Güterverkehr führen, mit erheblichen wirtschaftlichen und sozialen Folgen.
  4. Informationstechnik und Telekommunikation
    Dieser Sektor bildet die Grundlage für alle Kommunikationsprozesse in Wirtschaft und Gesellschaft. IT-Dienstleister, Mobilfunknetzbetreiber und Internetdienstanbieter gehören zu den Unternehmen, die durch das Dachgesetz geschützt werden sollen. Besonders im Bereich der IT kommt dem Schutz vor Cyberangriffen eine zentrale Bedeutung zu, da Störungen in der Telekommunikation große Teile des öffentlichen Lebens lahmlegen könnten. Sowohl private als auch geschäftliche Kommunikation sind davon abhängig.
  5. Wasserversorgung
    Wasserwerke und Kläranlagen zählen ebenfalls zu den kritischen Infrastrukturen. Ein Ausfall dem frischen Trinkwasser, Abwasser, Siedlungsabfallentsorgung Informationstechnik würde sowohl die öffentliche Gesundheit als auch die landwirtschaftliche und industrielle Produktion bedrohen.
  6. Finanzwesen
    Verkehr, Finanz und Versicherungswesen spielen eine zentrale Rolle in der Stabilität des Finanzsystems. Cyberangriffe auf diesen Sektor könnten das Vertrauen in das Finanzsystem erschüttern und zu weitreichenden wirtschaftlichen Schäden führen. Ein stabiler und sicherer Betrieb der Finanzmärkte ist daher essenziell.

Zusätzlich zu diesen Sektoren gibt es weitere kritische Bereiche, die unter die Regelungen des Dachgesetzes fallen, darunter Lebensmittelversorgung, öffentliche Verwaltung und Medien. Alle diese Sektoren sind besonders schutzbedürftig, da ihre Funktionsfähigkeit eng mit der Sicherheit, Gesundheit und dem Wohlstand der Bevölkerung verknüpft ist. Der Schutz dieser Infrastrukturen ist entscheidend, um gesellschaftliche Stabilität zu gewährleisten und das öffentliche Leben auch in Krisensituationen aufrechtzuerhalten.

Sektoren Kritis Dachgesetz

KRITIS-Methodik

Die Methodik des Kritis Dachgesetzes basiert auf der Risikoanalyse, der Implementierung von Sicherheitsmaßnahmen und einer robusten Data Governance. Betreiber kritischer Infrastrukturen müssen potenzielle Bedrohungen identifizieren und geeignete Vorkehrungen treffen, um Risiken zu minimieren. Dies schließt technische Maßnahmen wie IT-Sicherheitsvorkehrungen, aber auch organisatorische Ansätze wie Schulungen, Notfallpläne und eine effektive Datenverwaltung ein.

KRITIS-Inhalte

Das Kritis Dachgesetz enthält Vorschriften zu:

  • Meldepflichten:
    Betreiber müssen Sicherheitsvorfälle unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI Gesetz) melden.
  • Überprüfungen:
    Unternehmen müssen regelmäßig ihre Sicherheitsmaßnahmen überprüfen lassen.
  • Sanktionsmöglichkeiten:
    Bei Verstößen gegen das Gesetz drohen empfindliche Strafen.

Risiken und Maßnahmen

Zu den wesentlichen Risiken, denen kritische Infrastrukturen ausgesetzt sind, zählen:

  • Cyberangriffe:
    Besonders in Zeiten zunehmender Digitalisierung und Prozessdigitalisierung stellen Hackerangriffe eine erhebliche Bedrohung dar. Die zunehmende Vernetzung von Systemen bietet Angreifern zahlreiche Angriffspunkte.
  • Naturkatastrophen:
    Überschwemmungen, Stürme und Erdbeben können den Betrieb empfindlich stören.
  • Technische Störungen:
    Ausfälle in der Energieversorgung oder IT-Systeme können weitreichende Folgen haben.

Um diesen Risiken zu begegnen, setzt das Dachgesetz auf Maßnahmen wie:

  • Regelmäßige Sicherheitsüberprüfungen der Systeme.
  • Verpflichtende Notfallpläne für den Ernstfall.
  • Verpflichtung zur Meldung von Störungen und Sicherheitsvorfällen.

Cyberangriff

Aufbau eines wirksamen Resilienz-Managements durch ein Business Continuity Managementsystem (BCMS)

Ein zentrales Element des Dachgesetzes ist der Aufbau eines Business Continuity Managementsystems (BCMS). Dieses System stellt sicher, dass kritische Infrastrukturen auch im Falle eines Zwischenfalls weiter betrieben werden können. Wichtige Bestandteile eines BCMS sind:

  • Risikobewertung: Identifikation möglicher Bedrohungen.
  • Notfallpläne: Erstellung von Plänen, um auf verschiedene Bedrohungsszenarien vorbereitet zu sein.
  • Regelmäßige Tests: Simulationen von Notfallsituationen zur Überprüfung der Wirksamkeit der Maßnahmen.

Cloud Computing und KRITIS

Cloud Computing spielt eine immer größere Rolle bei der Digitalisierung kritischer Infrastrukturen. Sowohl das Dachgesetz als auch NIS 2 enthalten spezifische Anforderungen an die Nutzung von Cloud-Diensten. NIS 2 legt beispielsweise Wert auf die Vertrauenswürdigkeit von Cloud-Anbietern und die Einhaltung hoher Sicherheitsstandards.
Die Vorteile wie Skalierbarkeit, Flexibilität und Kosteneffizienz sind attraktiv. Gleichzeitig birgt die Migration von Anwendungen und Daten in die Cloud neue Herausforderungen im Hinblick auf Sicherheit und Compliance.

Viele Unternehmen verfolgen hybride Cloud-Strategien, bei denen sowohl eigene Rechenzentren als auch öffentliche Clouds genutzt werden. Dies erfordert eine sorgfältige Planung und Umsetzung, um die Risiken zu minimieren.

Fazit

Das Kritis Dachgesetz spielt eine entscheidende Rolle im Schutz kritischer Infrastrukturen in Deutschland. Es fordert von den Betreibern umfassende Sicherheitsvorkehrungen und Notfallpläne, um die kontinuierliche Versorgung der Bevölkerung sicherzustellen. Unternehmen in den betroffenen Sektoren (Versicherungswesen, Gesundheit, Trinkwasser, Abwasser) sollten daher sicherstellen, dass sie alle Anforderungen des Gesetzes umsetzen, um Sanktionen zu vermeiden und ihre Systeme bestmöglich zu schützen.

zum Seitenanfang

TÜV Rheinland Zertifikat und Tisax ZertifikatBundesverband IT-Mittelstand Siegel für Software Made in GermanyMicrosoft Solutions Partner für Digital & App Innovation AzureMicrosoft Solutions Partner für Digital & App Innovation Azure
© 2024 MAKONIS