18 www.net-im-web.de 10/25 phen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Die Betreiber müssen außerdem Vorfälle melden. Welche Anlagen in Deutschland unter die Regelungen des Gesetzes fallen, bemisst sich nach quantitativen und qualitativen Kriterien. Wenn eine Einrichtung zum Beispiel essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Personen versorgt, zählt sie zur kritischen Infrastruktur im Sinne des Gesetzentwurfs. Zudem wird das Ausmaß der wechselseitigen Abhängigkeiten der kritischen Infrastrukturen untereinander berücksichtigt: So hängen vom Energiesektor auch alle anderen Sektoren ab. Genauso sind Wasser und Transportwege für die jeweils anderen Sektoren unverzichtbar. Aufstellen von Resilienzplänen Jeder Betreiber muss in Zukunft auf die spezifischen Risiken für seine Anlage mit passgenauen Maßnahmen reagieren. Diese werden in Resilienzplänen dargestellt. Dabei muss jedes denkbare Risiko berücksichtigt werden (All-Gefahren-Ansatz). Wesentliche Resilienzmaßnahmen können etwa die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung sein. Eine Grundlage hierfür sind staatliche sowie betreiberseitige Risikoanalysen und Risikobewertungen. Die Betreiber kritischer Infrastrukturen werden künftig dazu verpflichtet, Vorfälle auf einem Onlineportal des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu melden. Die Erkenntnisse aus diesem Störungsmonitoring helfen dabei, Schwachstellen zu entdecken und Lücken zu schließen und insgesamt die Widerstandskraft kritischer Anlagen weiter zu erhöhen Das KRITIS-Dachgesetz wird zudem die Regelungen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) ergänzen, welches das bereits existierende Schutzsystem für die Cybersicherheit kritischer Infrastrukturen in Deutschland weiter ausbaut und bereits am 30. Juli 2025 im Kabinett beschlossen wurde. Ziel von NIS2 Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro, im Jahr 2023 bei 205,9 Milliarden Euro und im Jahr 2024 bei 266,6 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die rund 3,4 Millionen Unternehmen mit mindestens 10 Beschäftigten in Deutschland ergibt sich ein Schadensvolumen pro Unternehmen von rund 500.000 Euro. www.bmi.bund.de KRITIS-Definition der Bundesregierung „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden." Resilienz Resilienz bezeichnet die Fähigkeit eines Systems, Ereignissen zu widerstehen oder sich daran anzupassen und dabei seine Funktionsfähigkeit zu erhalten oder schnell wiederzuerlangen. Grundsätzlich geht die Bundesregierung von einer abstrakten Gefährdung der Kritischen Infrastrukturen einschließlich der besonders im öffentlichen Fokus stehenden Energieinfrastruktur aus. Kritische Infrastrukturen in Deutschland gut geschützt Den Schutz dieser Infrastrukturen zu gewährleisten, ist eine Kernaufgabe für Staat und Wirtschaft und ein zentrales Thema der Sicherheitspolitik Deutschlands. Grundsätzlich sind Kritische Infrastrukturen in Deutschland sehr gut geschützt. Für den Schutz ihrer Anlagen sind in erster Linie deren Betreiber verantwortlich. Diese müssen sich umfassend gegen Gefahren wie Naturkatastrophen, Terrorismus, Sabotage, aber auch menschliches Versagen, wappnen. Um auf die unterschiedlichen Gefahren flexibel reagieren zu können, tritt die Resilienz Kritischer Infrastrukturen zunehmend in den Vordergrund. Gesetzentwurf zum KRITIS-Dachgesetz
RkJQdWJsaXNoZXIy MjE2Mzk=