Mit dem IT-Sicherheitsgesetz 3.0 und dem KRITIS Dachgesetz kommen 2023 und 2024 neue Herausforderungen und Aufwand auf Unternehmen zu. Mit den Gesetzen soll die kritische Infrastruktur in Deutschland besser geschützt werden.

Rolf Brilla, Geschäftsführer der ProComp Professional Computer GmbH aus Marktredwitz, berichtet über die geplanten Änderungen und gibt Tipps für betroffene Unternehmen.

Die jüngsten Krisen wie die Corona-Pandemie, die Hochwasserkatastrophe an der Ahr, der Angriffskrieg Russlands auf die Ukraine sowie verschiedene Sabotageakte haben das öffentliche Brennglas auf die Schwachstellen unserer kritischen Infrastrukturen gerichtet. Neben essenziellen Dingen wie Energie-, Wasser- und Lebensmittelversorgung, können in der global vernetzten Welt Lieferketten durch negative Vorfälle empfindlich gestört werden, die multiple kritische und volkswirtschaftlich schwächende Versorgungsengpässe nach sich ziehen.

Die Bundesregierung steuert 2023 und 2024 mit entsprechenden Gesetzen gegen. Rolf Brilla weist darauf hin, dass das bereits 2015 umgesetzte IT-Sicherheitsgesetz erweitert werden soll und voraussichtlich im ersten Halbjahr 2023 der Sektor Entsorgung sowie Unternehmen im besonderen öffentlichen Interesse zukünftig zur kritischen Infrastruktur gezählt werden sollen. Der Marktredwitzer Unternehmer blickt noch einen Schritt weiter nach vorn und erwähnt die Umsetzung der sogenannten NIS2-Direktive, die vom EU-Parlament und dem EU-Rat beschlossen wurde und spätestens Anfang 2024 umgesetzt werden soll. Mit dieser dritten Version des IT-Sicherheitsgesetzes werden die KRITIS Sektoren mit den Bereichen Raumfahrt, Chemie, Industrie, Digitale Dienste, ICT Services (Managed Service/Security Provider), Öffentliche Verwaltungen und Forschung nochmals deutlich erweitert. Zukünftig zählen noch deutlich mehr Unternehmen und Einrichtungen aufgrund einer Änderung der Schwellwerte zur kritischen Infrastruktur: „In Zukunft wird die Unternehmensgröße als Faktor herangezogen. Voraussichtlich wird dann jedes Unternehmen aus den definierten Sektoren, das über 50 Mitarbeiter hat und zusätzlich mehr als zehn Mio. Euro Umsatz erwirtschaftet, als KRITIS definiert.“, so Brilla. Mit der Umsetzung der Direktive solle eine stärkere Abdeckung von potenziellen IT-Bedrohungen erreicht werden.

Ein weiteres für die KRITIS-Unternehmen relevantes Gesetz ist das sogenannte KRITIS-Dachgesetz. Dieses soll explizit den physischen Schutz, beispielsweise Einbrüche oder Brände, in kritischen Infrastrukturen absichern. Ein im Dezember 2022 vom Bundestag verabschiedetes Eckpunktepapier soll noch vor der Sommerpause 2023 in einem entsprechenden Gesetz umgesetzt werden. Ziel sei

es, einen gesamtheitlichen Schutz und damit eine deutliche Resilienz der kritischen Infrastrukturen

zu erreichen.

„Die Sektoren für das KRITIS-Dachgesetz sind Energie, Verkehr, Banken, Finanzmärkte,

Gesundheit, Trinkwasser, Abwasser, Ernährung, Digitale Infrastruktur, öffentliche Verwaltungen,

Raumfahrt, Medien/Kultur sowie Bildung und Betreuung.“ Die Identifikation der Betreiber solle nach

quantitativen und qualitativen Kriterien erfolgen, die im Gesetz noch zu definieren sind, erläutert Rolf Brilla. „Die Ausgestaltung der konkreten Anforderungen sind noch abzuwarten, jedoch stehen

Zugangskontrollen, Detektionssysteme und das Monitoring des Anlagenzustands an vorderer

Stelle.“ erklärt er.

Als langjähriger Unternehmer erkennt der Geschäftsführer schon jetzt die Herausforderungen, die auf die Firmen und Einrichtungen in der kritischen Infrastruktur zukommen. „Alleine der relativ kurzfristige zeitliche Horizont wird den Unternehmen einiges abverlangen. Auf jeden Fall empfiehlt es sich, schon jetzt zu planen und den Aufwand in Personal und Material nicht zu unterschätzen.“ Frühzeitige Bedarfs- und Umsetzungsplanung sorge dafür, dass Ressourcen rechtzeitig und ausreichend am Markt gesichert werden, bevor diese teuer und knapp werden. Um Kosten und Aufwand zu sparen, empfiehlt der Unternehmer, sich über einfach handzuhabende, intuitive und digitalisierte Sicherheitssysteme zu informieren. Diese hätten wenige Komponenten und würden gleichzeitig mehrere Funktionen wie Einbruchssicherung, Brandmeldungen, Zutrittskontrollsystem und Videoüberwachung erfüllen.