Cybersicherheit wird zur obersten Priorität

Die Bedrohungslage für kritische Infrastrukturen war noch nie so intensiv wie jetzt. Cyberangriffe auf Organisationen und Behörden gehören inzwischen zum Alltag und können ein Unternehmen komplett zum Erliegen bringen. Da dies gerade bei kritischen Infrastrukturen zu Versorgungsengpässen und Gefährdungen für einen ganzen Staat führen kann, geben die NIS2-Gesetzgebung und das KRITIS-Dachgesetz ab sofort vor, mit welchen konkreten Maßnahmen die betroffenen Unternehmen ihre Cyberresilienz zu stärken haben.

Das im Jahr 2024 in Kraft tretende neue KRITIS-Dachgesetz wird in Deutschland zusammen mit dem NIS2-Umsetzungsgesetz realisiert. Damit wird der Kreis der betroffenen Unternehmen auf ca. 40.000 ansteigen. NIS steht für „Network and Information Security“, und die Zahl 2 belegt, dass es sich hierbei bereits um die zweite europäische NIS-Richtlinie handelt, die sich mit dem Thema Informationssicherheit befasst.

Das KRITIS-Dachgesetz soll neben der Erhöhung der Anforderungen an die physische Sicherheit, vor allem auch die Resilienz (die Widerstandsfähigkeit) von Betreibern kritischer Infrastrukturen stärken. Dafür werden konkrete Vorgaben zu Meldepflichten von Vorfällen gemacht, sowie konkrete Bußgelder für Verstöße gegen die Umsetzung von Anforderungen ausgesprochen. Zur Sicherstellung dieser erweiterten Vorgaben wird die Aufsichtsverantwortung des BSI durch das BBK (Bundesamt für Bevölkerungs- und Katastrophenschutz) und regionale Landesbehörden verstärkt.

Konsequenzen bei Nichtbefolgung

Die ordnungsgemäße Einhaltung von KRITIS-Dach und der NIS2-Gesetzgebung wird nicht dem Zufall überlassen. Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) prüft bei sogenannten Tiefenprüfungen, ob Betreiber den KRITIS-Anforderungen nachkommen. Unternehmen, die nicht die erforderlichen Sicherheitsstandards für kritische Infrastrukturen einhalten, können juristischen Maßnahmen unterliegen, einschließlich Geldstrafen, Bußgeldern oder sogar rechtlichen Schritten seitens der staatlichen Aufsichtsbehörden.

Welche Unternehmen sind betroffen?

KRITIS-Unternehmen versorgen mindestens 500.000 Einwohner und überschreiten sektorspezifische Schwellenwerte. Unternehmen, die mehr als 50 Mitarbeiter oder mehr als 10 Millionen Umsatz/Bilanzsumme verzeichnen, werden die NIS2-Anforderungen umsetzen müssen.

Was muss nachgewiesen werden?

Aus regelmäßig stattfindenden Risikobeurteilungen müssen zukünftig die erforderlichen Maßnahmen zur Steigerung der Resilienz gegenüber Angriffen auf die Infrastruktur nachgewiesen werden.

Wie muss auf einen Angriff reagiert werden?

Im Fall eines Angriffs müssen die betroffenen Unternehmen in der Lage sein, diesen zu erkennen und wirkungsvolle Gegenmaßnahmen einzuleiten. Die Vorfälle müssen einer zentralen Meldestelle übermittelt werden, damit die Möglichkeit einer Warnung für andere Unternehmen gegeben ist.

Wer überwacht die Einhaltung der Regularien?

Neben der Bestellung eines internen Beauftragten im Unternehmen, wird es übergeordnete Behörden geben, die die Umsetzung der gesetzlichen Anforderungen koordinieren und überwachen.

Fokus auf Risiken

Die Stärkung der Cyber-Resilienz soll durch die Umsetzung von Risikomanagement-Maßnahmen erfolgen. Betroffene Unternehmen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der IT-Systeme zu vermeiden bzw. negative Auswirkungen möglichst gering zu halten. Wir haben die ersten notwendigen Schritte für eine erfolgreiche Realisierung für Sie zusammengestellt:

Startseite » Blog » NIS2 und KRITIS-Dachgesetz

Eine Antwort

oder senden Sie eine E-Mail an Karsten Zygowski,


oder senden Sie über das Formular eine Rückrufbitte:

oder senden Sie eine E-Mail an Matthias Grund,


oder senden Sie über das Formular eine Rückrufbitte:

oder senden Sie eine E-Mail an Stefan Schleising,


oder senden Sie über das Formular eine Rückrufbitte:

oder senden Sie eine E-Mail an Sandra Weidlich,


oder senden Sie über das Formular eine Rückrufbitte:

oder senden Sie jetzt eine E-Mail an die cas_data GmbH,


oder senden Sie über das Formular eine Rückrufbitte: