Was kommt in diesem Jahr auf die Betreiber von kritischen Infrastrukturen zu? Eine ganze Menge, wenn es nach den Anforderungen aus dem neuen KRITIS Dachgesetz und dem IT- Sicherheitsgesetz 3.0 geht. Eine der wichtigsten Neuerungen: Durch eine Neubewertung wird die Anzahl der als kritisch bewerteten Infrastrukturen steigen. Alle KRITIS-Betreiber werden zudem deutlich höhere Auflagen erfüllen müssen – auch wenn genaue gestzliche Vorgaben bis dato noch nicht feststehen. Das bedeutet für die Betreiber zunächst mehr Kosten und Aufwand für Anschaffung, Installation und Überwachung. Können die gesetzlichen Anforderungen an die physische Sicherheit einfach und Ressourcen schonend erfüllt werden?
Betreiber kritischer Infrastrukturen stehen im Jahr 2023 vor enormen Herausforderungen. Denn die Krisen der vergangenen Monate haben deutlich gezeigt, dass kritische Infrastruktur verletzlich und angreifbar ist. Spätestens seit den Sabotageakten auf die Deutsche Bahn oder auf die Ostseepipelines ist klar: Um die physische Sicherheit von lebensnotwendigen Sektoren und Strukturen wie Energieversorgung, Telekommunikation oder Mobilität ist es nicht gut bestellt.
Nicht nur die Versorgung mit essenziellen Gütern wie Energie, Wasser oder Lebensmitteln ist gefährdet. In unserer global vernetzten Welt können ganze Lieferketten durch negative Vorfälle immens gestört werden. Kritische und volkswirtschaftlich schwächende Versorgungsengpässe sind die Folge.
Politik handelt – neue Gesetze und Auflagen sind in Arbeit
Eine Sektoren- und gefahrenübergreifende gesetzliche Grundlage, die explizit den physischen Schutz von kritischen Infrastrukturen regelt, fehlt bis heute vollständig. Es existiert in der Bundesrepublik lediglich – immerhin bereits seit 2015 – das IT-Sicherheitsgesetz (IT-SiG). Dieses regelt zumindest in Teilen die Anforderungen an physische Sicherheit der zu schützenden IT-Infrastruktur. Die aktuelle Fassung, das IT-SiG 2.0, regelt seit Mai 2021 neben den als kritisch definierten Sektoren auch entsprechende Schwellwerte. Spätestens im Jahr 2024 soll das IT-SiG 3.0 in Kraft treten. Und damit wird sich für KRITIS-Betreiber eine ganze Menge ändern. Dann zählen viele neue Sektoren zu den als kritisch definierten Infrastrukturen, voraussichtlich sind das Raumfahrt, Chemie, Industrie, Digitale Dienste, ICT Services (Managed Service/Security Provider), Öffentliche Verwaltungen und Forschung.
Auch werden damit niedrigere Schwellwerte zur Identifikation der KRITIS-Unternehmen und -Organisationen umgesetzt und stärkere Sanktionen (ähnlich zur DSGVO) treten in Kraft. Neu ist, dass sich die Schwellwerte künftig nach der Unternehmensgröße und -umsatz richten sollen. Das bedeutet im Klartext: Derzeit geht man von rund 1.600 KRITIS-Betreibern in Deutschland aus. Diese Zahl wird bis 2024 deutlich steigen. Auch das neue KRITIS-Dachgesetz soll noch vor Sommer diesen Jahres in Kraft treten. Ein entsprechendes Eckpunktepapier hat die Bundesregierung bereits im vergangenen Dezember verabschiedet. (Das Eckpunktepapier gibt es hier zum Download.)
Wie können sich Unternehmen aus dem KRITIS-Sektor vorbereiten?
Die Ausgestaltung der konkreten Anforderungen bleibt abzuwarten, jedoch stehen Zugangskontrollen, Detektionssysteme und das Monitoring des Anlagenzustands an vorderer Stelle. Um die gesetzlichen Auflagen zu erfüllen, müssen die Unternehmen Investitionen tätigen. Denn mehr physische Sicherheit benötigt gerade zu Beginn einen Mehraufwand in Planung und Umsetzung. Mit mehr Sicherheitssystemen steigt auch der Personalbedarf zu ihrer Überwachung. Je nach Unternehmensgröße können die Kosten enorm hoch sein. Wer frühzeitig seinen Bedarf kennt, kann sich entsprechende Ressourcen rechtzeitig sichern, bevor diese nicht mehr ausreichend und kostengünstig am Markt verfügbar sind.
Mit IoT-Technologie lassen sich Kosten und Aufwand minimieren
Gibt es eine Möglichkeit, um die gesetzlichen Auflagen zu erfüllen und dabei die internen Prozesse zu verbessern? Die Antwort liegt in einem voll digitalisierten IoT-System, das mit möglichst wenigen Komponenten möglichst viele Gefahrenquellen überwacht und möglichst viele Daten sammelt. Ein unschlagbarer Vorteil: ein IoT-basiertes Systeme eignet sich auch für verteilte Infrastrukturen. Wenn sämtliche Komponenten die gleiche Software nutzen, spielt die Größe der zu überwachenden Fläche keine Rolle, denn das System lässt sich beliebig erweitern.
Lesen Sie für mehr Informationen hier den zugehörigen Fachartikel: „KRITIS im Jahr 2023 – neue und höhere Anforderungen an die physische Sicherheit“:
