Liebe Leserinnen und Leser,
wegen der mehrstufigen Entwicklungshistorie des KRITIS-DachG ist nicht davon auszugehen, dass noch wesentliche Änderungen vorgenommen werden.
Wir haben die Entwicklung beider IT-Sicherheitsgesetze (SIG) ebenso intensiv verfolgt wie die aktuelle Entwicklung des KRITIS-DachG. So können wir heute festhalten, dass dieser zweite Referentenentwurf wesentliche Vorschläge und Änderungen enthält:
- Klarere Definitionen zur Vermeidung von Missverständnissen
- Abgrenzungen der Befugnisse zwischen Bund und Ländern
- Festlegungen, ab wann eine Infrastruktur als kritisch gilt
- Konkretisierungen zu Risikoanalyse, Nachweis- und Berichtspflichten
- präzisere Anforderungen für Unternehmen
- strengere Sanktionen bei Nichteinhaltung.
Das KRITIS-DachG setzt sich primär mit der physischen Sicherheit kritischer Infrastrukturen auseinander und grenzt sich damit von der digitalen Sicherheit, wie sie im Cyber Resilience Act der EU und dem NIS 2 Umsetzungsgesetz geregelt wird, ab. Während das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) für das KRITIS-DachG zuständig ist, liegt die Verantwortung für die Cybersicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die parallele Entstehung des KRITIS-DachG (physische Sicherheit) und des NIS-2-Umsetzungsgesetzes (digitale Sicherheit) zeigt, dass beide Bereiche unabhängig voneinander geregelt sind. Während die NIS-2-Richtlinie und deren nationales Umsetzungsgesetz (NIS2UmsuCG) die digitale Sicherheit fördern, konzentriert sich das KRITIS-DachG auf die physische Sicherheit. Diese Gesetze gelten parallel und ergänzen sich nicht juristisch.
Unternehmen und Institutionen sind gefordert, umfassende Sicherheitskonzepte zu entwickeln, die sowohl physische als auch digitale Aspekte integrieren. Deren enge Verzahnung wird in den kommenden Jahren immer wichtiger werden. Das KRITIS-DachG bietet hier eine solide Grundlage für die Weiterentwicklung von Strategien zum Business Continuity Management.
Der Referentenentwurf des KRITIS-Dachgesetzes nimmt ausdrücklich Bezug auf die Objektsicherheit, indem er klar definiert, welche Maßnahmen erforderlich sind, um einen wirksamen Schutz zu gewährleisten. Dabei sind physische Sicherheitsvorkehrungen integraler Bestandteil der allgemeinen Resilienzstrategie.
Das KRITIS-Dachgesetz stellt eine willkommene regulatorische Ergänzung der bestehenden Sicherheitsarchitektur in Deutschland zur Erhöhung der Resilienz dar. Wir empfehlen Unternehmen und Organisationen, sich bereits jetzt intensiv mit den Inhalten des aktuellen Referentenentwurfs auseinanderzusetzen. In einer Beitragsserie zum KRITIS-DachG gehen wir detailliert auf die Konsequenzen des Gesetzes für Ihr Unternehmen ein (siehe rechts). Bei Fragen kontaktieren Sie uns gern.