Dies wird ein Problem für Unternehmen, die sich in den Lieferketten von KRITIS-Betreibern befinden und gleichzeitig die komplementäre NIS2-Direktive umsetzen müssen.

Denn mit dem KRITIS-Dachgesetz kommen weitere Herausforderungen jenseits der neuen IT-Sicherheitsvorgaben rund um NIS2 auf Unternehmen zu. Insbesondere das Thema Risikoanalyse dürfte viele Unternehmen jetzt vor Hürden stellen.

Szenarien wie Sabotage, Naturgefahren, Extremismus oder Ausfall von Lieferketten sollen bedacht werden. Doch an dieser ganzheitlichen Risikobewertung mangelt es heute vielen Mitspielern in der kritischen Infrastruktur.

Bild AI-generiert

Ein Grund hierfür ist sicherlich das verbreitete Silodenken in Organisationen.

In diesem Bereich müssen die Strukturen grundsätzlich neu aufgestellt werden. Denn zur Resilienz gehört ausdrücklich die „Business Continuity“.

Und auch das Erfüllen der Meldepflichten ist sicherzustellen: Bei Verstößen droht der Gesetzgeber mit Bußgelder bis zu 500.000 Euro, in besonders gravierenden Fällen sogar bis zu einer Million Euro.

Für Nachweise sind regelmäßige Dokumentation und Audits notwendig – etwa der physischen Schutzmaßnahmen wie Zugangskontrollen, Perimeter- und Anlagenüberwachung.

Anzahl der KRITIS-Anlagen
Energie 522
Wasser 180
Ernährung 107
IT und Telekommunikation 119
Gesundheit 349
Finanzwesen 189
Transport und Verkehr 216
Abfallentsorgung 379
Sozialversicherung und Grundversorgung 48
(Quelle: BSI)

Technologische Grundlagen sind Sensorik und Künstliche Intelligenz, Drohnenüberwachung oder Geo-Fencing. Tatsächlich werden viele Kontrollen möglich, die früher nicht realisierbar gewesen wären.

Jetzt müssen Betreiber analysieren, mit welchen Technologien sie neue Sicherheitskonzepte umsetzen.

Ganz ähnlich wie in der IT-Sicherheit sind organisatorische Aspekte gefragt. Notfallpläne und -prozesse oder Wiederanlaufpläne dürfen nicht nur einmal erstellt und in die Schublade gelegt werden. Sie werden kontinuierlich angepasst und geübt.