E-Mail info@andrawas-consulting.com
Telefon 06033 / 3547155
Telefon 06033 / 3547155
E-Mail info@andrawas-consulting.com

KRITIS-Dachgesetz und ISO 22301: Anforderungen und Umsetzung für kritische Infrastrukturen

18. März 2025

Das KRITIS-Dachgesetz, auch bekannt als Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG), ist ein bedeutendes rechtliches Instrument in Deutschland, das speziell auf kritische Infrastrukturen abzielt. Es trat am 30. Juni 2021 in Kraft und legt verbindliche Sicherheitsanforderungen fest, die für Unternehmen gelten, die als kritische Infrastrukturen eingestuft sind.

Anwendungsbereich des KRITIS-Dachgesetzes:

Das Gesetz betrifft Unternehmen und Einrichtungen, die als kritische Infrastrukturen gelten. Dazu gehören Sektoren wie Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Diese Branchen sind essenziell für das öffentliche Leben und die nationale Sicherheit.

Gesetzliche Anforderungen:

  1. Meldepflicht und Mindestsicherheitsmaßnahmen: Unternehmen müssen ihre kritische Infrastruktur beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Diese Meldung ist Pflicht und muss regelmäßig aktualisiert werden.

  2. IT-Sicherheitsmaßnahmen: Es werden konkrete Mindeststandards für die IT-Sicherheit festgelegt. Dazu gehören Maßnahmen wie Risikomanagement, Incident Response, Verschlüsselung, und Zugangskontrollen, die anzuwenden sind, um die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Systeme sicherzustellen.

  3. Auditierung und Zertifizierung: Kritische Infrastrukturen müssen regelmäßig Audits unterziehen und können zur Zertifizierung verpflichtet werden, um die Einhaltung der Sicherheitsstandards nachzuweisen.

  4. Zusammenarbeit und Informationssicherheit: Es wird eine verstärkte Zusammenarbeit zwischen den Betreibern kritischer Infrastrukturen und dem BSI gefordert, um auf aktuelle Bedrohungslagen angemessen reagieren zu können.

Auswirkungen auf Unternehmen:

  • Compliance: Unternehmen müssen erhebliche Ressourcen für die Umsetzung und Aufrechterhaltung der Sicherheitsmaßnahmen bereitstellen, um gesetzlichen Anforderungen zu genügen.

  • Kosten: Die Implementierung hochwertiger Sicherheitsmaßnahmen und die regelmäßige Überprüfung können kostspielig sein.

  • Haftungsrisiken: Bei Nichteinhaltung der Vorgaben drohen Sanktionen und Haftungsrisiken für die Unternehmen.

Insgesamt ist das KRITIS-Dachgesetz ein wichtiges Instrument, um die Resilienz kritischer Infrastrukturen gegenüber digitalen Bedrohungen zu stärken und die nationale Sicherheit zu gewährleisten. Unternehmen müssen die gesetzlichen Anforderungen genau kennen und umsetzen, um den Schutz ihrer IT-Systeme und somit auch der Gesellschaft insgesamt zu gewährleisten.

Die Umsetzung des KRITIS-Dachgesetzes stellt Unternehmen vor umfangreiche Anforderungen, da es nicht nur die Einhaltung gesetzlicher Vorschriften sicherstellt, sondern auch die Sicherheit der kritischen Infrastrukturen auf ein hohes Niveau hebt. Für Unternehmen bedeutet dies, dass sie eine Reihe von Maßnahmen und Strukturen aufbauen müssen, um den Anforderungen gerecht zu werden. Hier sind die wichtigsten Schritte und Anforderungen zur Umsetzung des Gesetzes:

1. Ermittlung der Kritikalität der Infrastruktur

Unternehmen, die als Betreiber kritischer Infrastrukturen gelten (KRITIS), müssen zunächst ermitteln, ob sie unter die Regelungen des Gesetzes fallen. Dies erfolgt in der Regel auf Basis einer Meldung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Bewertung der Kritikalität erfolgt durch die Festlegung von „kritischen“ Betriebsbereichen, die für die Gesellschaft und Wirtschaft von zentraler Bedeutung sind.

2. Risikomanagement

Ein zentrales Element des KRITIS-Dachgesetzes ist die Einführung eines umfassenden Risikomanagements. Unternehmen müssen:

  • Risikobewertung durchführen: Alle IT-Systeme, die zur kritischen Infrastruktur gehören, müssen regelmäßig auf potenzielle Risiken untersucht werden.
  • Risikomanagement-Prozesse implementieren: Prozesse zur Identifikation, Bewertung und Minderung von Risiken müssen kontinuierlich etabliert und optimiert werden.

3. Sicherheitskonzepte und Schutzmaßnahmen

Unternehmen müssen Sicherheitskonzepte für ihre IT-Infrastruktur entwickeln, die folgende Elemente umfassen:

  • Schutz vor Angriffen: Hierzu gehört der Einsatz von Firewalls, Intrusion Detection und Prevention Systems (IDPS), Verschlüsselungstechnologien sowie sicheres Netzwerkdesign.
  • Notfallmanagement und Wiederherstellung: Es müssen klare Strategien und Notfallpläne für die Wiederherstellung der kritischen Systeme im Falle eines Angriffs oder Ausfalls entwickelt werden.
  • Physische und technische Sicherheitsvorkehrungen: Auch der physische Schutz von IT-Infrastrukturen ist von Bedeutung, wie etwa die Absicherung von Serverräumen, der Zugangskontrolle und die Schutzmaßnahmen gegen natürliche Gefahren wie Feuer oder Überschwemmung.

4. Meldepflichten und Reporting

Eine der zentralen Anforderungen des KRITIS-Dachgesetzes ist die Meldepflicht:

  • Unternehmen müssen Cyber-Angriffe und Sicherheitsvorfälle unverzüglich an das BSI melden, insbesondere wenn diese die Funktionsfähigkeit der Infrastruktur beeinträchtigen oder gefährden könnten.
  • Die Meldepflicht gilt für schwerwiegende Vorfälle, die das Unternehmen und die öffentliche Sicherheit gefährden könnten.

5. Kontinuierliche Überwachung und Auditierung

Die kontinuierliche Überwachung und regelmäßige Audits sind notwendig, um sicherzustellen, dass die Sicherheitsvorkehrungen eingehalten werden. Unternehmen müssen:

  • Proaktive Sicherheitsüberprüfungen und Penetrationstests durchführen, um Schwachstellen frühzeitig zu erkennen.
  • Audits von externen Prüfern oder durch interne Teams durchführen lassen, um die Einhaltung der gesetzlichen Vorgaben und die Wirksamkeit der implementierten Maßnahmen zu gewährleisten.

6. Schulung und Sensibilisierung

Ein oft übersehener, aber sehr wichtiger Punkt ist die Schulung der Mitarbeiter:

  • Alle Mitarbeiter müssen regelmäßig in den Bereichen IT-Sicherheit und Cyber-Bedrohungen geschult werden.
  • Das Unternehmen sollte Sensibilisierungsprogramme aufbauen, um das Sicherheitsbewusstsein zu stärken, insbesondere in Bezug auf Phishing, Social Engineering und andere gängige Angriffstechniken.

7. Dokumentation und Nachweise

Unternehmen müssen alle Sicherheitsmaßnahmen und Prozesse dokumentieren und im Falle einer Kontrolle Nachweise über die Implementierung und Einhaltung der Vorschriften erbringen. Dies beinhaltet:

  • Dokumentation der IT-Sicherheitsstrategie.
  • Nachweise über durchgeführte Audits, Sicherheitsüberprüfungen und Risikomanagementprozesse.
  • Berichterstattung über Sicherheitsvorfälle und deren Behebung.

8. Zertifizierung und Compliance

In einigen Fällen müssen Unternehmen nachweisen, dass ihre IT-Systeme den höchsten Sicherheitsstandards entsprechen. Hierzu können Zertifizierungen wie ISO/IEC 27001 oder IT-Grundschutz des BSI erforderlich sein. Diese Zertifikate zeigen, dass das Unternehmen die notwendigen Sicherheitsstandards in einem formalen Rahmen erfüllt und regelmäßig überprüft wird.

9. Zusammenarbeit mit anderen Akteuren

Das KRITIS-Dachgesetz fördert eine verstärkte Zusammenarbeit zwischen den Betreibern kritischer Infrastrukturen und staatlichen Stellen:

  • Unternehmen sollten regelmäßig mit dem BSI und anderen zuständigen Behörden kommunizieren.
  • Sie müssen an nationalen und internationalen Sicherheitsnetzwerken teilnehmen, um Informationen zu Bedrohungen und Angriffen auszutauschen.

Die Umsetzung des KRITIS-Dachgesetzes erfordert von Unternehmen, dass sie umfassende Sicherheitsstrukturen aufbauen und aufrechterhalten. Dies bedeutet nicht nur Investitionen in Technologie und Personal, sondern auch die Etablierung eines kontinuierlichen Verbesserungsprozesses im Bereich der IT-Sicherheit. Durch die Einhaltung der gesetzlichen Anforderungen können Unternehmen sicherstellen, dass ihre kritischen Infrastrukturen auch in Zeiten steigender Bedrohungen und komplexer Angriffsmuster zuverlässig und sicher arbeiten.

Die ISO 22301 ist eine internationale Norm, die sich mit dem Management der Unternehmensfortführung (Business Continuity Management, BCM) befasst. Sie bietet einen systematischen Ansatz zur Planung, Implementierung und Aufrechterhaltung von Maßnahmen zur Gewährleistung der Geschäftskontinuität, falls unerwartete Störungen oder Krisen auftreten. In Bezug auf das KRITIS-Dachgesetz und die Anforderungen an Unternehmen, die kritische Infrastrukturen betreiben, ist die ISO 22301 besonders relevant, da sie ein umfassendes Konzept zur Sicherstellung der Betriebskontinuität bietet.

ISO 22301 und ihre Relevanz im Kontext des KRITIS-Dachgesetzes

Unternehmen, die unter das KRITIS-Dachgesetz fallen, müssen sicherstellen, dass ihre kritische Infrastruktur im Falle eines Sicherheitsvorfalls, eines Angriffs oder eines anderen unvorhergesehenen Ereignisses funktionsfähig bleibt. Das KRITIS-Dachgesetz verlangt, dass Betreiber kritischer Infrastrukturen Maßnahmen zur Risikominderung, Sicherheitsvorkehrungen und Notfallmanagementprozesse einführen. Die ISO 22301 liefert dabei einen Rahmen, wie Unternehmen die nötigen Vorkehrungen treffen können, um ihre Betriebsabläufe im Krisenfall aufrechtzuerhalten und schnell wiederherzustellen.

Die wesentlichen Anforderungen der ISO 22301

Die ISO 22301 gliedert sich in mehrere wesentliche Teile, die Unternehmen helfen, ein Business Continuity Management System (BCMS) zu etablieren und zu betreiben:

  1. Führung und Unterstützung:

    • Verantwortlichkeiten und Engagement der Führungsebene müssen klar definiert werden. Die Unternehmensführung muss sich aktiv für das BCM einsetzen und sicherstellen, dass ausreichend Ressourcen zur Verfügung stehen.

  2. Risikomanagement:

    • Wie auch das KRITIS-Dachgesetz erfordert die ISO 22301 eine gründliche Risikobewertung. Unternehmen müssen potenzielle Bedrohungen und Risiken für ihre Geschäftsprozesse und kritischen Infrastrukturen analysieren und priorisieren.

  3. Business Impact Analysis (BIA):

    • Eine wichtige Anforderung der ISO 22301 ist die Business Impact Analysis, bei der die Auswirkungen potenzieller Störungen auf die kritischen Geschäftsprozesse ermittelt werden. Unternehmen müssen herausfinden, welche Prozesse für den Betrieb unverzichtbar sind und wie schnell diese wiederhergestellt werden müssen.

  4. Strategien zur Aufrechterhaltung der Geschäftsabläufe:

    • Auf Basis der BIA müssen Unternehmen Strategien entwickeln, um im Falle eines Ausfalls wichtige Geschäftsprozesse schnell wiederherzustellen. Dies umfasst Notfallpläne und Wiederherstellungsstrategien, die in den Krisenfall greifen.

  5. Maßnahmen zur Prävention und Vorbereitung:

    • Die ISO 22301 fordert von Unternehmen, präventive Maßnahmen zu ergreifen, die verhindern, dass eine Krise überhaupt eintritt oder sich verschärft. Dies könnte zum Beispiel die regelmäßige Überprüfung und Sicherstellung der IT-Sicherheitsvorkehrungen sowie die Schulung der Mitarbeiter im Krisenmanagement umfassen.

  6. Tests, Übungen und Verbesserung:

    • Ein weiterer wichtiger Aspekt der ISO 22301 ist die regelmäßige Überprüfung und Übung des Business Continuity Plans. Nur durch wiederholte Tests und Simulationen von Krisensituationen können Unternehmen sicherstellen, dass ihre Notfallstrategien im Ernstfall tatsächlich funktionieren.
    • Die Norm verlangt auch eine kontinuierliche Überprüfung und Verbesserung des Systems, um sicherzustellen, dass es immer auf dem neuesten Stand bleibt und neuen Bedrohungen gerecht wird.

  7. Kommunikation im Krisenfall:

    • Eine der zentralen Anforderungen der ISO 22301 ist die Entwicklung eines klaren Kommunikationsplans. Dieser sollte sowohl die interne Kommunikation innerhalb des Unternehmens als auch die externe Kommunikation mit Kunden, Behörden und anderen wichtigen Akteuren regeln.

Verknüpfung von ISO 22301 und dem KRITIS-Dachgesetz

Das KRITIS-Dachgesetz legt besonderen Wert auf die Verfügbarkeit und Integrität kritischer Infrastrukturen. Diese Aspekte sind auch die Schlüsselpunkte der ISO 22301. Beide Vorschriften betonen die Notwendigkeit, für Notfälle gewappnet zu sein und die Fortführung von Geschäftsprozessen zu sichern, wenn Störungen auftreten.

Die ISO 22301 kann Unternehmen helfen, die Anforderungen des KRITIS-Dachgesetzes umzusetzen, insbesondere im Hinblick auf:

  • Notfallmanagement und Business Continuity,
  • Risikomanagement und Risikobewertung von IT- und anderen kritischen Systemen,
  • Sicherstellung der Aufrechterhaltung des Betriebs nach einem Vorfall oder Angriff.

Darüber hinaus bietet die ISO 22301 einen strukturierten Rahmen, der Unternehmen dabei hilft, die gesetzlichen Anforderungen nicht nur zu erfüllen, sondern auch eine nachhaltige und widerstandsfähige Infrastruktur zu entwickeln, die auch langfristig auf Bedrohungen vorbereitet ist.

Die ISO 22301 und das KRITIS-Dachgesetz ergänzen sich in ihrem Ansatz zur Sicherstellung der Sicherheits- und Betriebsfähigkeit kritischer Infrastrukturen. Während das KRITIS-Dachgesetz Unternehmen zu konkreten Sicherheitsmaßnahmen und Meldepflichten verpflichtet, gibt die ISO 22301 Unternehmen einen strukturierten Rahmen zur Implementierung und kontinuierlichen Verbesserung eines Business Continuity Management Systems. Die Kombination beider Standards unterstützt Unternehmen dabei, Risiken zu minimieren und die Resilienz ihrer kritischen Infrastrukturen zu maximieren.

Zurück zur Übersicht
Beitrag teilen