ein detaillierter Blick auf
Risikomanagement-Prozesse in kritischen Infrastrukturen (KRITIS)
Was sind KRITIS?
„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
KRITIS-Definition der Bundesressorts
Es handelt sich um die Versorgung mit unentbehrlichen Gütern und Dienstleistungen wie Wasser, Strom, Lebensmitteln, Medizin, Daten oder Transport in Ballungszentren. Die dafür notwendigen Strukturen bilden die Grundlage für das Funktionieren unserer Gesellschaft.
Was ist zu tun?
Alle Risiken und Krisenszenarien, die eine Kritische Infrastruktur bedrohen, müssen erfasst und bewertet werden. Im Anschluss wird der bauliche, organisatorische und technische Schutz auf seine Eignung überprüft. Abschließend wird ein Maßnahmenplan entwickelt, nach dem die Sicherheit zu verbessern ist, um so die Resilienz zu stärken.
Kritische Infrastrukturen sind die Basis unserer Zukunft.
Schützen wir sie. Gemeinsam
Neue Gesetzeslage
Der Gesetzgeber ordnet nun auch Unternehmen und öffentliche Einrichtungen den Kritischen Infrastrukturen zu. Sie müssen ebenfalls die Anforderungen an ein All-Gefahren Risikomanagement erfüllen.
Der Risikomanagement-Prozess
Das Ziel ist die Entwicklung eines Maßnahmenplans, der dem BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) zur Prüfung vorgelegt werden kann.
Wir arbeiten schon jetzt nach den zukünftigen Vorgaben (soweit bisher bekannt) des neuen KRITIS- Dachgesetzes und bieten so zukunftssichere Konzepte an.
Risiken erkennen
Alle im KRITIS-Dachgesetz geforderten Maßnahmen fangen mit einer Risikoermittlung und Bewertung an. Dabei sind alle Risiken zu ermitteln, die eine Kritische Infrastruktur bedrohen: Cyberangriffe genauso wie Sabotage, Energieknappheit, Ausfall von Lieferketten und sogar Terrorangriffe. Somit alle denkbaren Situationen, die die IT-Sicherheit und die physische Sicherheit betreffen.
Maßnahmenplan definieren
Wie im KRITIS-Dachgesetz gefordert, entsteht mit unserem Risikomanagement-Prozess ein Maßnahmenplan. Hierin wird festgelegt, wann und mit welchen Mitteln die Sicherheit (Resilienz) einer kritischen Infrastruktur verbessert werden soll. Dabei unterstützen wir unsere Kunden, auch den aktuellen Bestand an Sicherheitstechnik zu berücksichtigen und zu bewerten. Sehr häufig kann Bestandstechnik weiter verwendet werden.
breiter Schutz
Wir verfügen über ein erfahrenes Team aus Experten für IT-Sicherheit, Risikomanagement nach DIN ISO 31000, Notfall- und Krisenmanagement, ISO 27001, Video – und Einbruchmeldetechnik, Perimeter-Sicherung, Sicherheit von Datencentern, Zufahrtschutz und vielen weiteren Bereichen der physischen Sicherheit, um eine fachlich korrekte Risikoermittlung und Bewertung durchführen zu können.
Das neue KRITIS Dachgesetz
Ein neues Bundesgesetz wird vorhandene EU-Richtlinien vereinheitlichen und erweitern. Es wird den Risikomanagement-Prozess klarer definieren. Zeitgleich werden Geldstrafen definiert, die bei Nichtwahrnehmung der Schutzpflicht erhoben werden.
Der Weg zu mehr Schutz
Die CER-Richtlinie verpflichtet die Mitgliedstaaten, ihre kritischen Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken. Sie wird durch das im Koalitionsvertrag vereinbarte KRITIS-Dachgesetz umgesetzt. Das Gesetz schafft erstmalig eine sektorenübergreifende bundesgesetzliche Regelung zum physischen Schutz Kritischer Infrastrukturen in Deutschland.
Die EU-Richtlinie NIS-2 weitet zudem die Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus. Betroffene Unternehmen werden nur noch anhand ihrer Unternehmensgröße erfasst. Das gilt grundsätzlich auch für alle mittleren- und Großunternehmen in den betroffenen Wirtschaftssektoren.
Das Deutsche KRITIS-Institut
Das im Jahr 2024 gegründete private Deutsche KRITIS-Institut zum Schutz kritischer Infrastrukturen (kurz DKI) hat sich einem umfassenden technischen Risikomanagement-Ansatz verschrieben. Es entwickelt und standardisiert die gesetzlich geforderten Risikomanagement-Prozesse, um die finanzielle und personelle Belastung für Unternehmen und öffentliche Verwaltungen möglichst gering zu halten.
Das Institut entwickelt neue, effiziente und umfassende Prozesse zur Verbesserung der Resilienz Kritischer Infrastrukturen und wendet diese an. Dabei liegt der Fokus immer auf den gesetzlichen Mindestforderungen sowie der Umsetzbarkeit in der Praxis.
Engagement von Spezialisten
Die gesteckten Ziele des Instituts stellen hohe technische und prozessorientierte Anforderungen. Diese sind nur aus einer Gruppe von erfahrenen Spezialisten aus den Bereichen Sicherheits- und IT-Technik sowie aus dem Risikomanagement heraus zu erbringen. So werden jahrzehntelange Erfahrungen aus allen Bereichen der Sicherheitstechnik, des Risikomanagements gebündelt. Das Team wird ergänzt durch Spezialisten aus den einzelnen KRITIS-Sektoren.
Mitarbeiter des Instituts sind aktiv in der Forschung sowie in der Normungs- und der Verbandsarbeit tätig.
Verhältnismäßigkeit wahren
Da die Mittel von KRITIS-Unternehmen und öffentlichen Einrichtungen begrenzt sind, ist ein ganzheitlicher Risikomanagement-Ansatz gefragt, der auf den Sektor bezogen ist. Dabei sollte auch der bauliche, organisatorische sowie technische Bestand aufgenommen werden. Dieser ist fachlich zu bewerten und auf seine Eignung zu prüfen, um ihn ggf. in das neue Konzept einzubinden. So wird nur umgesetzt was nötig ist und es wird stets der verhältnismäßige Einsatz finanzieller Mittel im Blick behalten.