Kritische Infrastrukturen (KRITIS) in Deutschland stehen vor erheblichen faktischen und rechtlichen Veränderungen. Dies betrifft die Umsetzung zweier europäischer Richtlinien: Die NIS2-Richtlinie zielt auf den Cyberschutz ab, während die Resilienz-Richtlinie (EU RCE/CER Direktive) den physischen Schutz vor nicht-cyberbezogenen Gefahren wie Naturkatastrophen und Sabotage betrifft. Obwohl beide Richtlinien gemeinsam im EU-Amtsblatt verkündet wurden, gibt es eine Besonderheit: Der Cyberschutz ist gesetzlich bereits etabliert, während die Resilienz-Richtlinie eine Neuerung darstellt.

Die Umsetzung erfolgt in Deutschland auf unterschiedliche Weise: Die NIS2-Richtlinie wird durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt, während die Resilienz-Richtlinie durch das KRITIS-Dachgesetz national umgesetzt wird. Beide Richtlinien müssen durch den Gesetzgeber bis Oktober 2024 umgesetzt werden, wobei eine frühere Umsetzung den betroffenen Einrichtungen und Unternehmen eine bessere Planung ermöglicht.

Die neuen Regelungen betreffen wichtige Einrichtungen und „kritische Anlagen“ in verschiedenen Sektoren wie Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation (IKT), Verwaltung von IKT-Diensten (Business-to-Business) sowie Weltraum. Unternehmen müssen Risikomanagement, Registrierung, Meldungen bei Sicherheitsvorfällen und Nachweise von Maßnahmen erfüllen. Die detaillierte Umsetzung technisch-organisatorischer Maßnahmen bleibt offen.

Das KRITIS-Dachgesetz erweitert den Schutz auf analoge Infrastrukturen und ermöglicht die Erarbeitung branchenspezifischer Resilienzstandards. Es werden neue Bußgeldrahmen und Management-Verantwortlichkeiten eingeführt, wobei Geschäftsleitungen für entsprechende Sicherheitsmaßnahmen haften und diese überwachen müssen. Die persönliche Haftung der Geschäftsleitung für Schäden, die durch mangelhaftes Risikomanagement entstehen, wird betont.

Insgesamt zielen die neuen Regelungen darauf ab, die Sicherheit und Resilienz kritischer Infrastrukturen in Deutschland zu stärken und Unternehmen besser auf Bedrohungen vorzubereiten. Es wird erwartet, dass die verstärkte Regulierung zu mehr Aufmerksamkeit und Investitionen in diesem Bereich führen wird.