Kritis-Dachgesetz: Wie können sich Unternehmen darauf vorbereiten?

Holger Berens: Zunächst möchte ich klarstellen, dass zwei EU-Richtlinien den Schutz der Kritischen Infrastrukturen regeln und demgemäß auch zwei Umsetzungsgesetze im Raum stehen. Das ist zum einen die NIS2-Richtlinie, die durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt werden soll, und zum anderen die CER-Richtlinie, die Gegenstand des KRITIS-Dachgesetzes ist. Regelungsgegenstand des NIS2UmsuCG ist die Cybersicherheit, während das KRITIS-Dachgesetz die Resilienz kritischer Einrichtungen gegen Gefahren auch außerhalb des Schutzes der IT-Sicherheit im Fokus hat. 

Als Verband für den Schutz Kritischer Infrastrukturen begrüßen wir die europäische Initiative bezüglich NIS 2 und CER-Richtlinien. Dadurch wird aus unserer Sicht die Sicherheit der Versorgung der Bevölkerung gestärkt und zwar sowohl aus dem Blickwinkel der Cybersicherheit als auch der Resilienz.

Holger Berens: Ich sehe es nicht als Verlagerung, sondern als notwendigen Zusatz. In den letzten Jahren haben wir uns verständlicherweise sehr auf IT- und Cybersicherheit konzentriert. Dadurch ist der Fokus auf physische Sicherheit leider zu kurz gekommen. Aber gerade die letzten Vorfälle, wie zum Beispiel Northstream 2, die Sabotageakte auf die Deutsche Bahn und nicht zu vergessen Naturkatastrophen haben gezeigt, dass wir uns auch wesentlich mehr auf die physische Sicherheit und Resilienz konzentrieren müssen. Kritisch sehen wir, dass durch die Umsetzungsgesetze zwei behördliche Strukturen aufgebaut werden, zum einen das BSI als Aufsichtsbehörde im Bereich der IT-Sicherheit und zum anderen das BBK für das KRITIS-Dachgesetz. Wir als Verband wünschen uns die Stärkung des BSI mit Unterstützung des BBK.

Holger Berens: Genau das ist ja unser Kritikpunkt. Durch den Aufbau zweier voneinander getrennter Aufsichtsstrukturen wird der Aufwand für die betroffenen Unternehmen unnötig verkompliziert. IT-Sicherheit und physische Sicherheit beziehungsweise Resilienz bedingen einander. Also sollte auch ein einheitliches Sicherheits- und Risikomanagement aufgebaut werden. Ich habe die Befürchtung, dass durch zwei getrennte Gesetze und zwei Aufsichtsbehörden in den betroffenen Unternehmen Insellösungen geschaffen werden. Zumindest ist aber eine einheitliche Meldeplattform in Planung.

Holger Berens: Das ist unser zweiter Kritikpunkt. In unseren Nachbarländern, insbesondere in Frankreich, werden diese Sektoren im nationalen Umsetzungsgesetz erfasst werden. Polizei ist aufgrund des Föderalismus in Deutschland allerdings Ländersache. Daher ist es schwierig, hier einheitliche Regelungen seitens des Bundes vorzugeben. Beim Militär ist es einfacher, da dies Bundessache ist. Gerade diese Sektoren sind besonders wichtig, da sie unsere innere und äußere Sicherheit gewährleisten. Ich weiß allerdings, dass sich die zuständigen Stellen ihrer Verantwortung sehr bewusst sind und entsprechend der Vorgaben der Umsetzungsgesetze ein hohes Sicherheitsniveau intrinsisch implementieren. 

Holger Berens: Noch sind die Umsetzungsgesetze nicht in Kraft getreten. Es sind sicherlich noch Änderungen zu erwarten. Für die Unternehmen, die bisher schon in den Anwendungsbereich des BSIG2.0 fallen, ändert sich nicht sehr viel. Da sie eh schon im Bereich des Risikomanagements einen All-Gefahren Ansatz durchführen, also neben Cyber- auch alle anderen für sie einschlägigen Bedrohungsszenarien berücksichtigen, ist der Aufwand zur Erfüllung des Kritis-Dachgesetzes überschaubar. Das Kritis-Dachgesetz wird zum Stand heute auch nur diese Kritischen Infrastrukturen erfassen.

Das BSI rechnet mit zusätzlich rund 30.000 Unternehmen, die in den erweiterten Scope des NIS2UmsuCG fallen werden. Für diejenigen, die ein Informationssicherheitsmanagement (ISMS) nach der ISO 27000er Gruppe (insbesondere nach Stand 2022), oder BSI-Grundschutz implementiert haben, bedarf es lediglich einer GAP-Analyse, um die zusätzlichen Anforderungen umzusetzen. Es gibt aber immer noch Unternehmen, die aus welchen Gründen auch immer bisher die Kosten für den Aufbau eines ISMS gescheut haben. Auf diese kommt jetzt der nicht zu unterschätzende Aufwand des Aufbaus eines ISMS zu. Mein Rat ist, jetzt anzufangen!

Holger Berens: Wir als Verband werden ständig von Unternehmen angesprochen, die sich nicht sicher sind, ob sie demnächst unter die Regelungen fallen werden. Das zeigt mir, dass eine große Unsicherheit bei den Unternehmen herrscht, aber auch, dass eine Sensibilisierung vorhanden ist.

Holger Berens: Ein eindeutiges „Nein“. In der Regel fehlt es an Ressourcen und Wissen. Diese Unternehmen sind auf die Beratung von seriösen Beratungsgesellschaften angewiesen. Unsere Beobachtung des Marktes zeigt jedoch, dass sehr viele Beratungsgesellschaften mit „einfachen und schnellen“ Lösungen werben. Hier sollten die betroffenen Unternehmen sehr vorsichtig sein. Gerne sind wir als neutraler Verband bereit, entsprechende von uns geprüfte Beratungsgesellschaften zu vermitteln.

Holger Berens: Ich hatte ja schon den All-Gefahren Grundsatz angesprochen. Selbstverständlich gehören dazu auch Maßnahmen, um die Zuverlässigkeit der Mitarbeitenden zu überprüfen. Wenn es demnächst eine gesetzliche Grundlage gibt, ist eine solche Sicherheitsüberprüfung auch nach der DSGVO gerechtfertigt. Aber auch ohne gesetzliche Ermächtigung halte ich den Zweck einer solchen Überprüfung – die Versorgungssicherheit der Allgemeinheit – für höher zu bewerten als das Persönlichkeitsrecht des Einzelnen. Aus meiner Sicht steht der Datenschutz also nicht entgegen.

Holger Berens: Diese Frage legt den Finger in die Wunde. Das BSI und BBK sind ja als Behörden zuständig. Allerdings müssen viel mehr Planstellen geschaffen werden. Gerade in Zeiten des Fachkräftemangels sehe ich dies als fast unmöglich an. Es wäre ein Weg, sogenannte akkreditierte Zertifizierungsstellen als „Beliehene“ zu beauftragen, die im Wege von Audits die Einhaltung der Auflagen bescheinigen. Ähnlich wie der TÜV bei Hauptuntersuchung von PKW.

Holger Berens: Große Sicherheitsdienstleister sind ja auch in unserem Verband Mitglied. Daran wird deutlich, dass sich die Sicherheitswirtschaft aus eigenem verantwortungsbewusstem Antrieb als systemrelevant ansieht. Wir unterstützen die Forderung des Bundesverbandes der Sicherheitswirtschaft (BDSW) vollumfänglich. Aufgaben sind ja unter anderem der Objektschutz, Schutz von Lieferketten, Sicherstellung der Bargeldversorgung, Gewährleistung von Sicherheit und Ordnung im Personenverkehr und Durchführung von Luftsicherheitskontrollen. Daher sehen auch wir, dass unabdingbar Sicherheitsdienstleister in den Anwendungsbereich gerade des Kritis-Dachgesetzes aufgenommen werden müssen.