Entscheiden & Gestalten

KRITIS-Dachgesetz: Was Unternehmen jetzt wissen müssen

· Lesezeit 5 Minuten.
KRITIS-Dachgesetz: Was Unternehmen jetzt wissen müssen
Überwachung von Anlagen: Viele Unternehmen sind verpflichtet, Maßnahmen für mehr Sicherheit zu treffen. Foto: NLawrenson/peopleimages.com

Das Wichtigste auf einen Blick: 

  • Die Gesamtverantwortung liegt bei der Unternehmensleitung: Sie muss Risikomanagement, Ressourcen, Umsetzungskontrolle und die Einbindung der Resilienzanforderungen in bestehende Compliance-Prozesse sicherstellen. 
  • Betroffen sind nicht nur direkt eingestufte KRITIS-Unternehmen: Auch andere Unternehmen können unter das KRITIS-Dachgesetz fallen, etwa über Anlagen in den Bereichen Pharma, Gesundheit, Energie oder Forschung. Zudem können Zulieferer und Dienstleister mittelbar betroffen sein, wenn Kunden höhere Sicherheitsanforderungen weitergeben.
  • Unternehmen sollten jetzt Strukturen aufbauen: Gefordert sind ein systematisches Risikomanagement, Schutzmaßnahmen, Wiederanlaufplanung, ein Resilienzplan und Meldeprozesse für erhebliche Vorfälle. 

Welche Rolle spielt die Geschäftsleitung?

Die Verantwortung für die Umsetzung der gesetzlichen Anforderungen liegt letztlich bei der Unternehmensleitung. Dazu gehören insbesondere:

  • Organisation des Risikomanagements
  • Bereitstellung notwendiger Ressourcen
  • Überwachung der Umsetzung
  • Integration der Resilienzanforderungen in bestehende Compliance-Prozesse

Die Geschäftsleitung kann einzelne Aufgaben delegieren, nicht jedoch ihre Gesamtverantwortung.

Was bedeutet der „Allgefahrenansatz“ für Unternehmen?

Unternehmen müssen Sicherheitsrisiken ganzheitlich betrachten – unabhängig davon, ob diese physischer oder digitaler Natur sind. Das KRITIS-Dachgesetz adressiert vor allem physische Gefahren wie Stromausfälle, Naturereignisse und Sabotage. NIS2 zielt auf Cybersicherheit, IT-Risiken, Hackerangriffe und Sicherheitsvorfälle in Netzwerken und Informationssystemen. 

Beide Regelwerke ergänzen sich und folgen damit einem Allgefahrenansatz.

Welche Unternehmen sind vom KRITIS-Dachgesetz betroffen? 

Der Sektor Chemie wird im KRITIS-Dachgesetz nicht als eigenständiger Sektor ausdrücklich genannt. Gleichwohl können Unternehmen der Chemie- und Pharmaindustrie betroffen sein, wenn einzelne Anlagen, Tätigkeiten oder Dienstleistungen anderen kritischen Sektoren zuzuordnen sind. 

Relevant sind beispielsweise die Bereiche

  • Gesundheitswesen
  • Pharmaproduktion
  • Energieversorgung
  • Forschungseinrichtungen

So können etwa auch Labordienstleister und Entwicklungseinrichtungen betroffen sein. Eine Anlage ist dann kritisch, wenn sie für die Erbringung einer kritischen Dienstleistung erheblich ist – sprich, wenn sie zur Versorgung der Allgemeinheit in bestimmten Sektoren relevant ist. Für die Einstufung als kritische Anlage werden sektor- bzw. dienstleistungsspezifische Schwellenwerte herangezogen. In einzelnen Bereichen wird dabei auf eine Relevanz für rund 500.000 Menschen abgestellt.

Beispiel: Der Gesetzgeber geht davon aus, dass eine Anlage, die nach derzeitigen Vorgaben pro Jahr mehr als 4,65 Millionen in Verkehr gebrachte Packungen verschreibungspflichtiger Medikamente herstellt, relevant ist für 500.000 Menschen. Wohin die Produkte geliefert werden, spielt dabei keine Rolle. 

Was bedeutet „mittelbare Betroffenheit“?

Selbst Unternehmen, die nicht direkt unter das KRITIS-Dachgesetz fallen, können betroffen sein.

Der Grund: Direkt betroffene Unternehmen stellen höhere Sicherheitsanforderungen an ihre Lieferanten und Dienstleister. Das kennen viele Unternehmen bereits vom Lieferkettensorgfaltspflichtengesetz.
Wer Teil einer kritischen Lieferkette ist, muss daher damit rechnen, künftig Sicherheitsnachweise zu erbringen, Fragebögen auszufüllen, Risikoanalysen vorzulegen und zusätzliche Sicherheitsanforderungen vertraglich zu akzeptieren. 

Kann eine kritische Anlage auch aus mehreren Anlagen bestehen? 

Mehrere Anlagen derselben Kategorie, die durch einen betriebstechnischen Zusammenhang verbunden sind, gelten als eine Anlage, wenn sie gemeinsam zur Erbringung der kritischen Dienstleistung notwendig sind. 
Und: Betreiben zwei oder mehr Personen gemeinsam eine Anlage, so ist jeder für die Erfüllung der Pflichten als Betreiber verantwortlich.

Welche Pflichten kommen konkret auf betroffene Unternehmen zu?

Zentral ist der Aufbau eines systematischen Risikomanagements. Dazu gehören insbesondere:

Risikoanalyse

Unternehmen müssen Gefährdungen identifizieren und bewerten – zum Beispiel unter Berücksichtigung der nationalen Risikoanalyse und von vertrauenswürdigen Informationen der Behörden. Die Risikoanalyse ist regelmäßig sowie bei wesentlichen Änderungen zu aktualisieren. Das Gesetz sieht zudem eine erneute Durchführung innerhalb festgelegter Fristen vor. Beispiele: 

  • Naturereignisse wie Starkregen und Hochwasser
  • Stromausfälle
  • Sabotage
  • Ausfälle von Zulieferern

Schutzmaßnahmen

Auf Basis der Risikoanalyse müssen geeignete Maßnahmen umgesetzt werden. Orientieren können Unternehmen sich künftig an branchenspezifischen Resilienzstandards.
Schutzmaßnahmen sind zum Beispiel:

  • Zugangskontrollen
  • Werkschutz/Objektschutz
  • Detektionssysteme
  • Notstromversorgung

Bei der Umsetzung solcher Maßnahmen sind insbesondere datenschutz-, arbeits- und mitbestimmungsrechtliche Anforderungen zu berücksichtigen.

Wiederanlaufplanung

Unternehmen müssen nachweisen können, wie sie nach einem Vorfall möglichst schnell wieder arbeitsfähig werden. Das Thema Business Continuity Management (BCM) gewinnt dadurch weiter an Bedeutung. 

Müssen Unternehmen jede Gefahr ausschließen?

Nein. Das Gesetz verlangt keine hundertprozentige Sicherheit. Gefordert werden angemessene und verhältnismäßige Maßnahmen nach dem Stand der Technik. Dabei dürfen auch wirtschaftliche Aspekte berücksichtigt werden.
Wichtig ist vor allem, dass Unternehmen ihre Entscheidungen nachvollziehbar dokumentieren können.

Was ist ein Resilienzplan?

Der Resilienzplan ist ein zentrales Dokument, das vom KRITIS-Dachgesetz verlangt wird. Er dient gleichzeitig als Nachweis gegenüber den Aufsichtsbehörden. Zum Resilienzplan gehören unter anderem: 

  • Ergebnisse der Risikoanalyse
  • identifizierte Gefahren
  • umgesetzte Schutzmaßnahmen
  • Notfall- und Wiederanlaufkonzepte
  • Begründungen für bestimmte Maßnahmen 

Gibt es Meldepflichten?

Ja. Ähnlich wie bei NIS2 bzw. dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) müssen erhebliche Vorfälle gemeldet werden, und zwar per Erstmeldung innerhalb von 24 Stunden und Aktualisierung der Meldung innerhalb eines Monats. Die Meldungen sollen insbesondere Informationen enthalten zu:

  • Art des Vorfalls
  • betroffene Bereiche
  • Anzahl der betroffenen Personen
  • mögliche Auswirkungen
  • Dauer der Störung

Der konkrete Meldeprozess wird durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe noch näher bestimmt. Insgesamt lohnt es sich aktuell, die Internetseite des Bundesamts regelmäßig im Blick zu behalten, da dort immer wieder Informationen bereitgestellt werden.

Was sollten Unternehmen jetzt tun?

Auch wenn viele Details noch in Verordnungen konkretisiert werden müssen, sollten Unternehmen bereits heute

  1. bestehende Sicherheitsmaßnahmen erfassen
  2. physische und digitale Risiken gemeinsam betrachten
  3. Business-Continuity- und Krisenmanagement überprüfen
  4. Verantwortlichkeiten klar definieren
  5. Lieferketten auf mögliche Anforderungen vorbereiten
  6. vorhandene Schutzmaßnahmen aus Bereichen wie Arbeitsschutz, Werkschutz, Datenschutz oder Geheimnisschutz systematisch bündeln

Weiterführende Informationen

Mehr Wissenswertes rund um das KRITIS-Dachgesetz bietet der Verband der Chemischen Industrie (VCI) hier

  • Like
  • PDF
Schlagworte

Das könnte Sie auch interessieren

Wie lassen sich Unternehmen besser durch turbulente Zeiten navigieren? Szenarioanalysen zeigen mögliche Zukunftsbilder auf, machen Risiken und Chancen sichtbar – und geben Denkanstöße. Sie helfen, Entscheidungen systematisch auf ihre Zukunftschancen abzuklopfen. Hier sind die Expertentipps.

Wir.Hier. zeigt, was die Betriebe bewegt

Lust mitzumachen?

Wir sind ganz nah dran an den Unternehmen, um die Geschichten und Erfahrungen aus den Belegschaften weiterzugeben. Als Branchenhub bieten wir Überblick und Einsichten – über die Werkzäune hinaus. Damit machen wir die Perspektiven und Stärken der Betriebe sichtbar – direkt aus der Region für die Region. Wir haben ein offenes Ohr für das, was Sie beschäftigt.

Kein Risiko: Alle Inhalte entstehen in enger Abstimmung mit Ihnen – ob kurzes Zitat, Interview oder Videoreportage. Nichts geht ohne Ihr „Go“ online. 

Zeigen Sie uns, was Ihr Team besonders macht! Welche Projekte treiben Sie gerade voran? Wie meistern Sie die Transformation im Arbeitsalltag? Wir freuen uns auf Ihre Perspektiven und Anregungen.

 

Jetzt für eine Reportage bewerben!
Wechseln zur Seite International Articles Wechseln zur Seite Wir.Hier.news.