39 DSD 4 | 2025 WIRTSCHAFT UND POLITIK Kundenberatung im KRITIS-Bereich Von Reinhard Rupprecht Kritische Infrastrukturen (KRITIS) ebenso wie wichtige und besonders wichtige Einrichtungen nach der NIS2-Richtlinie bilden insgesamt ein breites Kundensegment der Sicherheitsdienstleister (SDL). Insbesondere mittelständische und kleinere Unternehmen erwarten im Rahmen der Auftragsvergabe eine umfassende Sicherheitsberatung. Die schließt regulatorische Anforderungen an die Betreiber solcher Einrichtungen ein. Dieses Kundenberatungssegment ist Gegenstand des nachfolgenden Beitrags. Regulatorische Anforderungen im physischen Sicherheitsbereich Zum Schutz Kritischer Infrastrukturen hat die EU im Dezember 2022 mehrere Rechtsakte erlassen: • die Richtlinie (EU 2022/2555) über Maßnahmen für ein hohes gemeinsames Cyber-Sicherheitsniveau in der Union (NIS2-Richtlinie) • die Richtlinie (EU 2022/2557) über die Resilienz kritischer Einrichtungen gegenüber physischen Angriffen (CER-Richtlinie) • die Verordnung (EU 2022/2554) über die digitale operationale Resilienz im Finanzsektor (DORA-Verordnung) Die aus den beiden erstgenannten Richtlinien ablesbaren Pflichten der Betreiber werden nachfolgend skizziert, ohne dass jeweils alle normierten Details dargestellt werden können. Die CER-Richtlinie wird in Deutschland durch das KRITIS-Dachgesetz im nationalen Recht umgesetzt. Die Bundesregierung hat dazu im August 2025 einen Entwurf verabschiedet und diesen am 6. November in den Deutschen Bundestag eingebracht, der den Betreibern von KRITIS eine noch festzulegende Größenordnung an Pflichten zum Schutz vor physischen Angriffen auferlegt. SDL sollten im Zusammenhang mit der Übernahme eines Auftrags zum Schutz der kritischen Einrichtungen den Auftragnehmer, insbesondere Unternehmen ohne eigene Sicherheitsabteilung, über die möglichen und geeigneten Vorkehrungen zur Erfüllung dieser Pflichten beraten.„Betreiber kritischer Anlagen“ sind nach § 2 Nr.1 iVm § 4 Nr.1 des Gesetzesentwurfs (im Folgenden: E) insbesondere natürliche oder juristische Personen, die einen bestimmenden Einfluss auf die Anlagen in folgenden Sektoren ausüben: Energie; Transport und Verkehr; Finanzwesen; Leistungen der Sozialversicherung für Arbeitssuchende; Gesundheitswesen; Wasser; Ernährung; IT und TK; Weltraum; Siedlungsabfallentsorgung. Dabei gelten bestimmte, im Einzelnen in § 4 Abs. 2 E aufgeführte Vorschriften nicht für Finanzunternehmen und Betreiber in den Sektoren IT und TK, Siedlungsabfallentsorgung und Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitssuchende. Wichtig für die Frage, ob ein Unternehmen vom KRITIS-DachG erfasst wird, ist, ob es den Schwellenwert zum Grad der Versorgung der Bevölkerung überschreitet. Der Regelwert beträgt grundsätzlich 500.000 von einer Anlage zu versorgende Einwohner. Das BMI muss aber zunächst durch Rechtsverordnung zur Bestimmung des Schwellenwerts die nationalen Risikoanalysen und Risikobewertungen sowie eine Reihe weiterer Kriterien festlegen (§ 5 E). Und das BMI muss die kritischen Dienstleistungen (zur Versorgung der Allgemeinheit in den einzelnen Sektoren) bestimmen, die jeweils zu den Sektoren gehören (§ 4 Abs. 3 E). Die vom KRITIS-DachG erfassten Betreiber sind zu mehreren Maßnahmen und Vorkehrungen verpflichtet: Nach § 8 E müssen sie spätestens drei Monate, nachdem eine Anlage als kritische Anlage gilt – aber frühestens zum 17. Juli 2026 –, dem BBK bestimmte, in dieser Norm festgelegte, Angaben zur Registrierung übermitteln. Rechtfertigen Tatsachen die Annahme, dass der Betreiber dieser Verpflichtung nicht nachkommt, kann das BBK von ihm relevante Unterlagen und Auskünfte verlangen (§ 8 Abs. 2 E). Der Gesetzentwurf benennt in den §§ 12, 13 die von den Betreibern verlangten Präventions- und Reaktionsvorkehrungen: • eine Risikoanalyse und Risikobewertung im Bedarfsfall, mindestens jedoch alle vier Jahre, unter Berücksichtigung der in § 11 Abs. 2 Satz 1 genannten Risiken und der Risiken, die geeignet sein können, die Verfügbarkeit der kritischen Dienstleistungen zu beeinträchtigen; inhaltliche und methodische Vorgaben bestimmt das BMI oder das von ihm ermächtigte BBK durch RVO; Vizepräsident des BKA a.D., Ministerialdirektor beim BMI a.D. und heute als unabhängiger Berater in Sicherheitsfragen tätig. Reinhard Rupprecht
RkJQdWJsaXNoZXIy Mjc4MQ==