Ihre externe Sicherheitsabteilung.

KRITIS-Beratung

KRITIS Beratung

KRITIS ist die Abkürzung für Kritische Infra­strukturen. Damit sind unter anderem die aktuell über 1.000 Unternehmen in Deutschland gemeint, die Dienst­leistungen erbringen, die von der EU oder auf nationaler Ebene als kritisch für die Aufrecht­erhaltung des öffentlichen Lebens und der Ordnung angesehen werden. Die besondere Widerstands­fähigkeit dieser Unternehmen bezüglich unvorher­gesehener Ereignisse wie einer Pandemie oder Cyber­angiffen ist essenziell. Um diese Resilienz in Wirtschaft und Gesellschaft zu schaffen, werden regel­mäßig neue Gesetze wie das kommende KRITIS-Dach­gesetz (KRITIS-DachG) erlassen. Dies hat ebenfalls zur Folge, dass immer mehr Unternehmen als KRITIS klassifiziert werden.

Mit dem neuen Gesetz weitet sich der mit dem bisher durch das BSI-Gesetz auf Informations­sicherheit gesetzten Fokus hin zur Unternehmens­sicherheit. Der neu geforderte Resilienz­plan verpflichtet zur Erstellung von Sicherheits­konzepten, Notfall­plänen und der Einführung von Teil­management­systemen wie Bedrohungs- und Krisen­management. Dies ist Bestand­teil unseres breiten Portfolios der Sicherheitsberatung.

Unsere KRITIS-Beratung unterstützt Sie bei der Erfüllung aller Anforderungen, z. B. der Erstellung der Sicherheitskonzepte für Gebäude und Objekte. So agieren Sie jederzeit gesetzes­konform, nutzen die Potenziale von Resilienz und vermeiden hohe Buß­gelder und Haftungsrisiken.

Unser Portfolio im Bereich KRITIS-Beratung

Erstellung Resilienzplan

Wir erstellen mit Ihnen sowohl den Resilienz­plan als auch die vom BSI geforderten Nach­weise zur Einhaltung der Resilienz­pflichten. Unsere Lösungen sind prüfungs­sicher und orientieren sich sowohl an den erforderlichen Sicherheitskonzepten und dem Krisen­management als auch an den allgemein anerkannten Standards.

Checkliste Resilienzplan

  1. Buchen Sie Ihren Termin über den Button.
  2. Ihr persönlicher KRITIS-Berater erfasst unter Berücksichtigung Ihrer Angaben und auf Grund­lage des von uns erstellten Sicherheits­profils ihres Unternehmens, welche Maßnahmen zur Erfüllung aller gesetzlichen Vorgaben erforderlich sind und wie eine geeignete Umsetzung aussehen kann.
  3. Projektplanung inklusive Zeit- und Ablaufplan
  4. Die Umsetzung erfolgt mit den geeigneten Experten. Auf Wunsch arbeiten wir auch im Projekt­team Ihres Unternehmens.
  5. Anschließend vermitteln wir Ihnen das notwendige Wissen zur optimalen Nutzung der Arbeits­ergebnisse sowie deren Integration ins Unternehmen. Dies kann zum Beispiel durch eine Kurz­schulung oder durch die Einarbeitung in die Arbeits­ergebnisse erfolgen.

KRITIS

Die bislang in Deutschland gültige BSI-Kritis­verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz unterteilt diese in folgende Sektoren:

  • Energie (Strom, Mineralöl, Gas)
  • Informations­technik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen
  • Siedlungsabfall­entsorgung

Innerhalb dieser Sektoren erbringen die Infrastruktur­betreiber zur Versorgung der Allgemein­heit sogenannte kritische Dienst­leistungen. Der Ausfall einer solchen kritischen Dienst­leistung würde zu erheblichen Versorgungs­eng­pässen, zu Gefährdungen der öffentlichen Sicherheit oder zu vergleich­baren Folgen führen.

Unsere Erfolgsgeschichten

Auditierung der Sicherheit an vier Multi­standorten sowie Sicherheitsberatung zu zukunfts­fähigem Sicherheits­niveau (KRITIS)

Auftrag
Durchführung der Audits mit Schwach­stellen­analyse-Tool durch Begehungen vor Ort und Empfehlungen zur Steigerung des Sicherheitsniveaus
Kunde: Aktien­gesellschaft – Energieversorgung (KRITIS)
Funktion des Ansprech­partners: Projekt­leiter und Sach­bearbeiter Immobiliensicherheit
Format: 60 % Begehungen vor Ort und digitale Zusammenarbeit

Grund der Beauftragung

  • Entscheidung der Geschäfts­leitung nach Revisions­bericht, der Schwach­stellen aufzeigt
  • Outsourcing an neutralen Auditor STRIPEMIND
  • Das Sicherheits­niveau der Zukunft soll für die Unternehmens­standorte definiert werden, auch unter dem Eindruck vereinzelter Sicherheits­vorfälle wie Demonstrationen und Betriebs­störungen durch Aktivisten

Verlauf
Die Schwachstellen­analyse wurde fakten­basiert vor Ort vorgenommen und anschließend fachlich bewertet sowie ein Reife­grad anhand interner Benchmarks bewertet.

Rahmenbedingungen

  • Geringer Reifegrad interner Sicherheits­vorgaben, die den Soll-Zustand für die Prüfung beschreiben
  • Nutzung des kunden­eigenen Schwach­stellen-Analysetools

Ergebnis

  • Management­präsentation der identifizierten Schwach­stellen und Empfehlungen sowohl inhaltlicher Art als auch empfehlens­werter Anschluss­sicherheitsprojekte
  • Analyse­tabelle mit Informationen zu Schwach­stellen und daraus abgeleiteten identifizierten Optimierungs­potenzialen

Dauer des Services
Von Auftrag über die Begehung bis zur Abschluss­präsentation: 8 Wochen

Kostenrahmen
Unter 20.000 €

KRITIS

KRITIS-Unternehmen

Unternehmen werden nicht automatisch informiert, ob sie betroffen sind; sie sind verpflichtet, dies eigen­ständig zu prüfen.
Wird eine Betroffen­heit fest­gestellt, besteht eine Registrierungs­pflicht beim Bundes­amt für Sicherheit in der Informations­technik.
In der BSI-Kritis­verordnung finden Sie in den acht Anlagen die Formeln zur Berechnung der Schwellen­werte in den jeweiligen Sektoren, ab denen Sie Ihre Anlagen als KRITIS an das BSI melden müssen.
Für eine erste Einschätzung kann der Schwellen­wert der Versorgung oder Erbringung von Dienst­leistungen für mindestens 500.000 Menschen in einem der KRITIS-Sektoren heran­gezogen werden. Grundsätzlich wird nicht das ganze Unternehmen als KRITIS eingestuft, sondern die Unternehmens­teile und Anlagen, die für die jeweilige kritische Leistung relevant sind. Unternehmen können jederzeit von Amts wegen registriert werden, wenn diese der Registrierungs­pflicht nicht nach­kommen oder wenn kritische Betreiber durch die Logik der Anlagen/Schwellen­werte nicht erfasst werden, und dabei die nationalen Risiko­analysen und Kriterien wie Nutzer­zahlen, Abhängigkeiten, Auswirkungen, Geographie, Markt­anteil berücksichtigen.

Neu – KRITIS-Dachgesetz

Das KRITIS-Dach­gesetz sollte bereits 2024 in Kraft treten und verzögert sich um einige Monate.
Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) ist im Bund die nationale zuständige Behörde. Diverse weitere Behörden sind für die Betreiber kritischer Anlagen der verschiedenen Sektoren darüber hinaus zuständig.

Die wesentlichen Paragraphen und Regelungs­gegenstände sind:

  • §8 Registrierungspflicht
  • §13 Resilienzplan
  • §14 Mindestanforderungen
  • §16 Nachweispflicht

Sanktionen und Bußgelder
Es gibt verschiedene Tat­bestände, die Ordnungs­widrig­keiten darstellen und bis zu 500.000 Euro Bußgeld nach sich ziehen können, z. B. Nicht­registrierung, Zuwider­handlungen von Anordnungen oder das Nicht­übermitteln von Ergebnissen.

In unserem Service­prozess planen wir für jeden Kunden explizit welchen Mehr­wert wir ergänzend zur beauftragten Leistung bieten werden. Das reicht von zusätzlichen Kommunikations­konzepten für die Integration der Sicherheits­maß­nahmen im Unternehmen bis hin zu bestimmten ergänzend erstellten Arbeits­materialen zur Erleichterung der Umsetzung.

M. Rieger
Fachexpertin Krisenkommunikation & interkulturelles Management
STRIPEMIND

KRITIS-Dachgesetz Umsetzung

Resilienz ist der Schlüssel­begriff des Dachgesetzes.
Darunter versteht man die Fähigkeit […], einen Vorfall und damit ein […] Ereignis, das die Erbringung einer kritischen Dienst­leistung erheblich stört oder stören könnte, zu verhindern.
Konkret bedeutet dies für Unternehmen, sich in die Lage zu versetzen: 

  • Vorfälle zu verhindern,
  • sich davor zu schützen,
  • darauf zu reagieren,
  • einen solchen abzuwehren,
  • die Folgen zu begrenzen,
  • einen Vorfall aufzufangen,
  • einen Vorfall zu bewältigen
  • und sich von einem solchen Vorfall zu erholen.

Wesentliche Pflichten und in Summe als angemessener Schutz gemäß KRITIS-Dachgesetz gilt:

  • KRITIS-Anlagen gemäß Schwellen­werten der Kritis­verordnung beim BSI melden (auf Basis der Vorjahres­zahlen), Formeln zur Berechnung für die Sektoren finden sich aktuell noch in der BSI-Kritis­verordnung
  • Benennung eines Sicherheits­beauftragten durch das Unternehmen
  • 24/7 Kontaktstelle für das BSI einrichten
  • Überwachung aller Maßnahmen durch die Geschäftsleitung
  • Sicherheitsvorfälle erkennen und an das BSI melden: Unternehmen müssen einerseits Prozesse einführen, um Sicherheits­vorfälle zuverlässig zu erkennen und einzuordnen. Andererseits müssen definierte Melde­wege dokumentiert und in der Unternehmens­kultur verfestigt sein, damit ein Sicherheits­vorfall zuverlässig den Weg zum BSI findet. Das ist mehr als die rein technische Ebene und erfordert auch ein entsprechendes Bewusst­sein beim zuständigen Personal, eine Fehler­kultur nach innen und eine Aufmerksamkeit für Sicherheits­lücken nach außen.
  • Anforderung Resilienz­plan (Sicherheits­strategie), Ausführung nach Stand der Technik/Standards
  • Schulung der Geschäftsleitung

Übersicht dynamische Gesetzeslage 2024/2025

In der EU regulieren die NIS-2-Richtlinie (Network and Information Systems Directive) und RCE (Resilience on Critical Entities) die Sicherheit Kritischer Infrastrukturen. Beide legen Mindest­standards fest, die ab 2024 in EU-Staaten in nationalen Gesetzen umgesetzt werden müssen. Stichtag für die Umsetzung der EU-Richtlinie in den Mitgliedstaaten ist der 18. Oktober 2024.

In Deutschland sollen die Regulierungen mit dem KRITIS-Dach­gesetz und NIS2-Umsetzungs­gesetz (NIS2UmsuCG) umgesetzt werden.

Das KRITIS-Dach­gesetz soll mit einem „All-Gefahren-Ansatz“ die Resilienz der kritischen Infra­strukturen erhöhen und verfolgt sowohl die Abwehr von Natur­gefahren als auch den Schutz vor menschlichen Gefährdungen wie etwa Sabotage oder terroristischen Anschlägen.

Das NIS2-Umsetzungs­gesetz legt den Fokus auf Informations­schutz und Cybersicherheit.

Beide Gesetzes­vorhaben sind bislang untrennbar miteinander verwoben, sodass die Gesetzes­entwürfe ohne den anderen Entwurf nicht abschließend bewertet werden können.

Für das KRITIS-Dach­gesetz gibt es einen Referenten­entwurf aus dem Bundes­innen­ministerium vom November 2024. Zahlreiche Interessens­verbände haben Stellung­nahmen zu den bisherigen Entwürfen eingereicht. Es muss daher von einer Inkraft­setzung in 2025 ausgegangen werden.

Das NIS2-Umsetzungs­gesetz liegt bislang in einer beschlossenen Kabinetts­version vor und muss die Gesetz­gebung noch durch­laufen. Experten rechnen mit einer Inkraftsetzung in 2025.

Da beide Gesetze noch in Abstimmung sind, sind weitere Anpassungen an Kriterien, Pflichten und Maßnahmen nicht auszuschließen. 

Es ist von einer Mehrfach­regulierung durch die unterschiedlichen Gesetze sowie Doppel­zuständigkeiten für betroffene Unternehmen durch die Zuständigkeiten des BSI, BBK, BMI sowie die BNetzA für Energie­versorger und weitere Bundes- und Landesbehörden auszugehen.

KRITIS Unternehmen

Energieversorger: Energiewirtschaftsgesetz und KRITIS-Dachgesetz

Für Energie­versorger gilt zusätzlich und bisher vorrangig das Energie­wirtschafts­gesetz (EnWG). Die zuständige Behörde ist die Bundes­netz­agentur. Das aktuelle EnWG wird vorrangig in § 5d durch das KRITIS-Dach­gesetz harmonisiert und angepasst: Pflicht zur Umsetzung §13 (Resilienz­plan) und §14 (Resilienz­nachweis­pflicht). Die Bundes­netz­agentur kann ergänzend Sicherheits­kataloge mit Mindest­anforderungen (Branchen­standard) vorgeben.

NIS-2-Richtlinie

Die EU-Richtline NIS-2 und das deutsche NIS-2-Umsetzungs­gesetz (Nis2Um-suCG) enthalten Anforderungen an unter das Gesetz fallende Unternehmen hinsichtlich insbesondere physischer Sicherheit (u. a. Zutritts­kontrolle) und Notfall­management, analog zu den im Resilienz­plan geforderten Maßnahmen und Teil­management­systemen.
Bis 2024 ergaben sich durch das IT-Sicherheits­gesetz 2.0 Angaben, welche Unternehmen hinsichtlich Informations­sicherheit im besonderen öffentlichen Interesse (UBI) galten. Ein weiterer Faktor war die Art der Güter und des Betriebs, z. B. Rüstung.

Mit der NIS-2-Umsetzung 2024 fallen UBI als eigene Gruppe weg und werden zu besonders wichtigen und wichtigen Einrichtungen gezählt. In Deutschland wird die EU-Richtlinie in Form des NIS2UmsuCG umgesetzt. Die Sektoren für Einrichtungen sind dort in Anlage 1 definiert. Die Zugehörigkeit als Einrichtung hängt von Unternehmens­größe, Teilsektor und Art ab.

Es wird unterschieden in:

  • Besonders wichtige Einrichtungen 
    Groß­unterehmen mit mindestens 250 Mitarbeitern oder mehr als 50 Mio. Euro Umsatz in den Sektoren, Betreiber kritischer Anlagen
  • Wichtige Einrichtungen 
    Mittlere Unternehmen mit mindestens 50 Mitarbeitern oder mehr als 10 Mio. Euro Umsatz.

Kontakt­formular

Interessiert an Sicherheitsmanagement?

Kontaktieren Sie uns – wir freuen uns, Ihre Fragen zu beantworten und individuelle Lösungen für Ihr Unternehmen zu entwickeln.

Jetzt loslegen!

Termin sichern

STRIPEMIND
Agentur für Sicherheitsmanagement
Mülbergerstr. 181
73728 Esslingen

Büro: 
0711 75874072
24/7 – Notfallsupport: 0711 75874073
info(at)stripemind.de

Weitere Leistungen
Kritis-Beratung
Sicherheitskonzepte Gebäude & Objekte

Agentur

Einzugsgebiete
Sicherheitsberatung Berlin
Sicherheitsberatung Hamburg
Sicherheitsberatung Köln
Sicherheitsberatung München
Sicherheitsberatung Stuttgart