40 DSD 4 | 2025 WIRTSCHAFT UND POLITIK • nach der Zweck-Mittel-Relation verhältnismäßige, technische und organisatorische Maßnahmen, die den „Stand der Technik“ einhalten, zur Gewährleistung seiner Resilienz, um Sicherheitsvorfälle zu verhindern, einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten, Notfallvorsorge zu betreiben, auf Vorfälle zu reagieren und die negativen Auswirkungen zu begrenzen sowie die zügige Wiederherstellung der kritischen Dienstleistung zu sichern; • als mögliche Maßnahmen zur Erreichung der Resilienzziele werden in § 13 Abs. 3 skizziert: – bauliche, technische und organisatorische Maßnahmen für den physischen Schutz – zur Angriffsabwehr und Begrenzung der negativen Auswirkungen Risiko- und Krisenmanagementprozesse sowie Abläufe im Alarmfall – die Notstromversorgung und alternative Lieferketten zur Wiederherstellung der kritischen Dienstleistung – ein angemessenes Sicherheitsmanagement für Mitarbeiter und externe Dienstleister – Schulungen und Übungen für die Beschäftigten – Aufstellung und Anwendung eines Resilienzplans unter Angabe von Gründen für die einzelnen Maßnahmen (§ 13 Abs. 4 E). Gemäß § 14 Abs. 1 und 3 E können das BMI oder das von ihm ermächtigte BBK sektorenübergreifende – bzw. andere für bestimmte Bereiche zuständige Ministerien sektorspezifische – Mindestanforderungen bestimmen. Und die Betreiber oder ihre Branchenverbände können branchenspezifische Resilienzstandards zur Konkretisierung der Verpflichtungen vorschlagen. Das BBK stellt auf Antrag die Geeignetheit fest (§ 14 Abs. 2 E). Betreiber kritischer Anlagen müssen gemäß § 18 E Meldungen an das BBK erstatten: • nach einem Sicherheitsvorfall unverzüglich, spätestens 24 Stunden nach Kenntnis, eine Erstmeldung mit den verfügbaren Informationen zur Ursachenermittlung • Aktualisierung während des andauernden Vorfalls • spätestens einen Monat nach Kenntnis des Vorfalls einen ausführlichen Bericht Geschäftsleitungen der Betreiber sind verpflichtet, nach § 13 Abs. 1 E zu ergreifende Maßnahmen umzusetzen und dies organisatorisch sicherzustellen. Sie haften sonst für einen schuldhaft verursachten Schaden nach Gesellschaftsrecht (§ 20 E). Regulatorische Anforderungen im IT-Sicherheitsbereich Auch wenn bei den auf physische Sicherheit fokussierten SDL die technische Expertise für die an Bedeutung stetig zunehmende IT-Sicherheit begrenzt ist, liegt es im Interesse der Betreiber von KRITIS-, besonders wichtigen und wichtigen Einrichtungen iSd NIS2-Richtlinie ebenso wie im Interesse der SDL als potenzielle Auftragnehmer, Hinweise auf die neuen normativen Anforderungen in die Kundenberatung einfließen zu lassen. Diese Anforderungen sind infolge der Überschneidung der Sektoren KRITIS und besonders wichtiger Einrichtungen, aber auch wegen des kontinuierlich wachsenden Bedrohungsspektrums der Cyberkriminalität und der kontinuierlich steigenden IT-Sicherheitstechnik, komplexer als die Anforderungen im KRITIS-Dachgesetz. Die Bundesregierung hat die Umsetzung der NIS2-Richtlinie in das BSIG transformiert und am 25. Juli 2025 einen Gesetzentwurf vorgelegt. Inzwischen ist das Gesetz nach Änderungen im Innenausschuss des Bundestages am 13. November Bild: # 482529854 / stock.adobe.com
RkJQdWJsaXNoZXIy Mjc4MQ==