Ihre externe Sicherheitsabteilung.

KRITIS Beratung

KRITIS Beratung

KRITIS ist die Abkürzung für Kritische Infra­strukturen. Damit sind unter anderem die aktuell über 1.000 Unternehmen in Deutschland gemeint, die Dienst­leistungen erbringen, die von der EU oder auf nationaler Ebene als kritisch für die Aufrecht­erhaltung des öffentlichen Lebens und der Ordnung angesehen werden. Die besondere Widerstands­fähigkeit dieser Unternehmen bezüglich unvorher­gesehener Ereignisse wie einer Pandemie oder Cyber­angiffen ist essenziell. Um diese Resilienz in Wirtschaft und Gesellschaft zu schaffen, werden regel­mäßig neue Gesetze wie das kommende KRITIS-Dach­gesetz (KRITIS-DachG) erlassen. Dies hat ebenfalls zur Folge, dass immer mehr Unternehmen als KRITIS klassifiziert werden.

Mit dem neuen Gesetz weitet sich der mit dem bisher durch das BSI-Gesetz auf Informations­sicherheit gesetzten Fokus hin zur Unternehmens­sicherheit. Der neu geforderte Resilienz­plan verpflichtet zur Erstellung von Sicherheits­konzepten, Notfall­plänen und der Einführung von Teil­management­systemen wie Bedrohungs- und Krisen­management. Dies ist Bestand­teil unseres breiten Portfolios der Sicherheitsberatung.

Unsere KRITIS Beratung unterstützt Sie bei der Erfüllung aller Anforderungen, z. B. der Erstellung der Sicherheitskonzepte für Gebäude und Objekte. So agieren Sie jederzeit gesetzes­konform, nutzen die Potenziale von Resilienz und vermeiden hohe Buß­gelder und Haftungsrisiken.

Unser Portfolio im Bereich KRITIS Beratung

Erstellung Resilienzplan

Wir erstellen mit Ihnen sowohl den Resilienz­plan als auch die vom BSI geforderten Nach­weise zur Einhaltung der Resilienz­pflichten. Unsere Lösungen sind prüfungs­sicher und orientieren sich sowohl an den erforderlichen Sicherheitskonzepten und dem Krisen­management als auch an den allgemein anerkannten Standards.

Checkliste Resilienzplan

  1. Buchen Sie Ihren Termin über den Button.
  2. Ihr persönlicher KRITIS-Berater erfasst unter Berücksichtigung Ihrer Angaben und auf Grund­lage des von uns erstellten Sicherheits­profils ihres Unternehmens, welche Maßnahmen zur Erfüllung aller gesetzlichen Vorgaben erforderlich sind und wie eine geeignete Umsetzung aussehen kann.
  3. Projektplanung inklusive Zeit- und Ablaufplan
  4. Die Umsetzung erfolgt mit den geeigneten Experten. Auf Wunsch arbeiten wir auch im Projekt­team Ihres Unternehmens.
  5. Anschließend vermitteln wir Ihnen das notwendige Wissen zur optimalen Nutzung der Arbeits­ergebnisse sowie deren Integration ins Unternehmen. Dies kann zum Beispiel durch eine Kurz­schulung oder durch die Einarbeitung in die Arbeits­ergebnisse erfolgen.

KRITIS

Die bislang in Deutschland gültige BSI-Kritis­verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz unterteilt diese in folgende Sektoren:

  • Energie (Strom, Mineralöl, Gas)
  • Informations­technik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Siedlungsabfall­entsorgung

Innerhalb dieser Sektoren erbringen die Infrastruktur­betreiber zur Versorgung der Allgemein­heit sogenannte kritische Dienst­leistungen. Der Ausfall einer solchen kritischen Dienst­leistung würde zu erheblichen Versorgungs­eng­pässen, zu Gefährdungen der öffentlichen Sicherheit oder zu vergleich­baren Folgen führen.

Unsere Erfolgsgeschichten

Auditierung der Sicherheit an vier Multi­standorten sowie Sicherheitsberatung zu zukunfts­fähigem Sicherheits­niveau (KRITIS)

Auftrag
Durchführung der Audits mit Schwach­stellen­analyse-Tool durch Begehungen vor Ort und Empfehlungen zur Steigerung des Sicherheitsniveaus
Kunde: Aktien­gesellschaft – Energieversorgung (KRITIS)
Funktion des Ansprech­partners: Projekt­leiter und Sach­bearbeiter Immobiliensicherheit
Format: 60 % Begehungen vor Ort und digitale Zusammenarbeit

Grund der Beauftragung

  • Entscheidung der Geschäfts­leitung nach Revisions­bericht, der Schwach­stellen aufzeigt
  • Outsourcing an neutralen Auditor STRIPEMIND
  • Das Sicherheits­niveau der Zukunft soll für die Unternehmens­standorte definiert werden, auch unter dem Eindruck vereinzelter Sicherheits­vorfälle wie Demonstrationen und Betriebs­störungen durch Aktivisten

Verlauf
Die Schwachstellen­analyse wurde fakten­basiert vor Ort vorgenommen und anschließend fachlich bewertet sowie ein Reife­grad anhand interner Benchmarks bewertet.

Rahmenbedingungen

  • Geringer Reifegrad interner Sicherheits­vorgaben, die den Soll-Zustand für die Prüfung beschreiben
  • Nutzung des kunden­eigenen Schwach­stellen-Analysetools

Ergebnis

  • Management­präsentation der identifizierten Schwach­stellen und Empfehlungen sowohl inhaltlicher Art als auch empfehlens­werter Anschluss­sicherheitsprojekte
  • Analyse­tabelle mit Informationen zu Schwach­stellen und daraus abgeleiteten identifizierten Optimierungs­potenzialen

Dauer des Services
Von Auftrag über die Begehung bis zur Abschluss­präsentation: 8 Wochen

Kostenrahmen
Unter 20.000 €

KRITIS

KRITIS-Unternehmen

Unternehmen werden nicht automatisch informiert, ob sie betroffen sind; sie sind verpflichtet, dies eigen­ständig zu prüfen.
Wird eine Betroffen­heit fest­gestellt, besteht eine Registrierungs­pflicht beim Bundes­amt für Sicherheit in der Informations­technik.
In der BSI-Kritis­verordnung finden Sie in den acht Anlagen die Formeln zur Berechnung der Schwellen­werte in den jeweiligen Sektoren, ab denen Sie Ihre Anlagen als KRITIS an das BSI melden müssen.
Für eine erste Einschätzung kann der Schwellen­wert der Versorgung oder Erbringung von Dienst­leistungen für mindestens 500.000 Menschen in einem der KRITIS-Sektoren heran­gezogen werden. Grundsätzlich wird nicht das ganze Unternehmen als KRITIS eingestuft, sondern die Unternehmens­teile und Anlagen, die für die jeweilige kritische Leistung relevant sind. Unternehmen können jederzeit von Amts wegen registriert werden, wenn diese der Registrierungs­pflicht nicht nach­kommen oder wenn kritische Betreiber durch die Logik der Anlagen/Schwellen­werte nicht erfasst werden, und dabei die nationalen Risiko­analysen und Kriterien wie Nutzer­zahlen, Abhängigkeiten, Auswirkungen, Geographie, Markt­anteil berücksichtigen.

Neu – KRITIS-Dachgesetz

Das KRITIS-Dach­gesetz sollte bereits 2024 in Kraft treten und verzögert sich um einige Monate.
Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) ist im Bund die nationale zuständige Behörde. Diverse weitere Behörden sind für die Betreiber kritischer Anlagen der verschiedenen Sektoren darüber hinaus zuständig.

Die wesentlichen Paragraphen und Regelungs­gegenstände sind:

  • §8 Registrierungspflicht
  • §13 Resilienzplan
  • §14 Mindestanforderungen
  • §16 Nachweispflicht

Sanktionen und Bußgelder
Es gibt verschiedene Tat­bestände, die Ordnungs­widrig­keiten darstellen und bis zu 500.000 Euro Bußgeld nach sich ziehen können, z. B. Nicht­registrierung, Zuwider­handlungen von Anordnungen oder das Nicht­übermitteln von Ergebnissen.

In unserem Service­prozess planen wir für jeden Kunden explizit welchen Mehr­wert wir ergänzend zur beauftragten Leistung bieten werden. Das reicht von zusätzlichen Kommunikations­konzepten für die Integration der Sicherheits­maß­nahmen im Unternehmen bis hin zu bestimmten ergänzend erstellten Arbeits­materialen zur Erleichterung der Umsetzung.

M. Rieger
Fachexpertin Krisenkommunikation & interkulturelles Management
STRIPEMIND

KRITIS-Dachgesetz Umsetzung

Resilienz ist der Schlüssel­begriff des Dachgesetzes.
Darunter versteht man die Fähigkeit […], einen Vorfall und damit ein […] Ereignis, das die Erbringung einer kritischen Dienst­leistung erheblich stört oder stören könnte, zu verhindern.
Konkret bedeutet dies für Unternehmen, sich in die Lage zu versetzen: 

  • Vorfälle zu verhindern,
  • sich davor zu schützen,
  • darauf zu reagieren,
  • einen solchen abzuwehren,
  • die Folgen zu begrenzen,
  • einen Vorfall aufzufangen,
  • einen Vorfall zu bewältigen
  • und sich von einem solchen Vorfall zu erholen.

Wesentliche Pflichten und in Summe als angemessener Schutz gemäß KRITIS-Dachgesetz gilt:

  • KRITIS-Anlagen gemäß Schwellen­werten der Kritis­verordnung beim BSI melden (auf Basis der Vorjahres­zahlen), Formeln zur Berechnung für die Sektoren finden sich aktuell noch in der BSI-Kritis­verordnung
  • Benennung eines Sicherheits­beauftragten durch das Unternehmen
  • 24/7 Kontaktstelle für das BSI einrichten
  • Überwachung aller Maßnahmen durch die Geschäftsleitung
  • Sicherheitsvorfälle erkennen und an das BSI melden: Unternehmen müssen einerseits Prozesse einführen, um Sicherheits­vorfälle zuverlässig zu erkennen und einzuordnen. Andererseits müssen definierte Melde­wege dokumentiert und in der Unternehmens­kultur verfestigt sein, damit ein Sicherheits­vorfall zuverlässig den Weg zum BSI findet. Das ist mehr als die rein technische Ebene und erfordert auch ein entsprechendes Bewusst­sein beim zuständigen Personal, eine Fehler­kultur nach innen und eine Aufmerksamkeit für Sicherheits­lücken nach außen.
  • Anforderung Resilienz­plan (Sicherheits­strategie), Ausführung nach Stand der Technik/Standards
  • Schulung der Geschäftsleitung

Übersicht dynamische Gesetzeslage 2024/2025

In der EU regulieren die NIS-2-Richtlinie (Network and Information Systems Directive) und RCE (Resilience on Critical Entities) die Sicherheit Kritischer Infrastrukturen. Beide legen Mindest­standards fest, die ab 2024 in EU-Staaten in nationalen Gesetzen umgesetzt werden müssen. Stichtag für die Umsetzung der EU-Richtlinie in den Mitgliedstaaten ist der 18. Oktober 2024.

In Deutschland sollen die Regulierungen mit dem KRITIS-Dach­gesetz und NIS2-Umsetzungs­gesetz (NIS2UmsuCG) umgesetzt werden.

Das KRITIS-Dach­gesetz soll mit einem „All-Gefahren-Ansatz“ die Resilienz der kritischen Infra­strukturen erhöhen und verfolgt sowohl die Abwehr von Natur­gefahren als auch den Schutz vor menschlichen Gefährdungen wie etwa Sabotage oder terroristischen Anschlägen.

Das NIS2-Umsetzungs­gesetz legt den Fokus auf Informations­schutz und Cybersicherheit.

Beide Gesetzes­vorhaben sind bislang untrennbar miteinander verwoben, sodass die Gesetzes­entwürfe ohne den anderen Entwurf nicht abschließend bewertet werden können.

Für das KRITIS-Dach­gesetz gibt es einen Referenten­entwurf aus dem Bundes­innen­ministerium vom November 2024. Zahlreiche Interessens­verbände haben Stellung­nahmen zu den bisherigen Entwürfen eingereicht. Es muss daher von einer Inkraft­setzung in 2025 ausgegangen werden.

Das NIS2-Umsetzungs­gesetz liegt bislang in einer beschlossenen Kabinetts­version vor und muss die Gesetz­gebung noch durch­laufen. Experten rechnen mit einer Inkraftsetzung in 2025.

Da beide Gesetze noch in Abstimmung sind, sind weitere Anpassungen an Kriterien, Pflichten und Maßnahmen nicht auszuschließen. 

Es ist von einer Mehrfach­regulierung durch die unterschiedlichen Gesetze sowie Doppel­zuständigkeiten für betroffene Unternehmen durch die Zuständigkeiten des BSI, BBK, BMI sowie die BNetzA für Energie­versorger und weitere Bundes- und Landesbehörden auszugehen.

KRITIS Unternehmen

Energieversorger: Energiewirtschaftsgesetz und KRITIS-Dachgesetz

Für Energie­versorger gilt zusätzlich und bisher vorrangig das Energie­wirtschafts­gesetz (EnWG). Die zuständige Behörde ist die Bundes­netz­agentur. Das aktuelle EnWG wird vorrangig in § 5d durch das KRITIS-Dach­gesetz harmonisiert und angepasst: Pflicht zur Umsetzung §13 (Resilienz­plan) und §14 (Resilienz­nachweis­pflicht). Die Bundes­netz­agentur kann ergänzend Sicherheits­kataloge mit Mindest­anforderungen (Branchen­standard) vorgeben.

NIS-2-Richtlinie

Die EU-Richtline NIS-2 und das deutsche NIS-2-Umsetzungs­gesetz (Nis2Um-suCG) enthalten Anforderungen an unter das Gesetz fallende Unternehmen hinsichtlich insbesondere physischer Sicherheit (u. a. Zutritts­kontrolle) und Notfall­management, analog zu den im Resilienz­plan geforderten Maßnahmen und Teil­management­systemen.
Bis 2024 ergaben sich durch das IT-Sicherheits­gesetz 2.0 Angaben, welche Unternehmen hinsichtlich Informations­sicherheit im besonderen öffentlichen Interesse (UBI) galten. Ein weiterer Faktor war die Art der Güter und des Betriebs, z. B. Rüstung.

Mit der NIS-2-Umsetzung 2024 fallen UBI als eigene Gruppe weg und werden zu besonders wichtigen und wichtigen Einrichtungen gezählt. In Deutschland wird die EU-Richtlinie in Form des NIS2UmsuCG umgesetzt. Die Sektoren für Einrichtungen sind dort in Anlage 1 definiert. Die Zugehörigkeit als Einrichtung hängt von Unternehmens­größe, Teilsektor und Art ab.

Es wird unterschieden in:

  • Besonders wichtige Einrichtungen 
    Groß­unterehmen mit mindestens 250 Mitarbeitern oder mehr als 50 Mio. Euro Umsatz in den Sektoren, Betreiber kritischer Anlagen
  • Wichtige Einrichtungen 
    Mittlere Unternehmen mit mindestens 50 Mitarbeitern oder mehr als 10 Mio. Euro Umsatz.

Kontakt­formular

Interessiert an Sicherheitsmanagement?

Kontaktieren Sie uns – wir freuen uns, Ihre Fragen zu beantworten und individuelle Lösungen für Ihr Unternehmen zu entwickeln.

Jetzt loslegen!

Termin sichern

STRIPEMIND
Agentur für Sicherheitsmanagement
Mülbergerstr. 181
73728 Esslingen

Büro: 0711 75874072
24/7 – Notfallsupport: 0711 75874073
info(at)stripemind.de

Newsletter

Weitere Leistungen
Kritis Beratung
Sicherheitskonzepte Gebäude & Objekte

Agentur

Einzugsgebiete
Sicherheitsberatung Stuttgart
Sicherheitsberatung München
Sicherheitsberatung Hamburg