Compliance & Regulatorik

Physische Sicherheit für KRITIS

Mit dem KRITIS-Dachgesetz (KRITIS-DachG) setzt Deutschland die europäische Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER) in nationales Recht um. Ziel ist es, den physischen und organisatorischen Schutz kritischer Infrastrukturen deutlich zu stärken und die Widerstandsfähigkeit gegenüber Krisen und Bedrohungen aller Art zu erhöhen.

Kontakt

Künftig sind Betreiber kritischer Einrichtungen (KRITIS-Betreiber) verpflichtet, auf Basis eines risikobasierten All-Gefahren-Ansatzes regelmäßig Risikoanalysen und Resilienzpläne zu erstellen. Dabei müssen sowohl natürliche, technische, gesundheitliche als auch menschlich verursachte Risiken berücksichtigt werden – darunter Naturereignisse, Industrie- oder Versorgungsstörungen, Pandemien, Sabotage, terroristische oder kriminelle Handlungen, Insider-Tätigkeiten, hybride Angriffe, Personalausfälle sowie gesellschaftliche und wirtschaftliche Störungen.

Die neuen Vorgaben verpflichten KRITIS-Betreiber, geeignete Resilienzmaßnahmen nachzuweisen, die

• das Auftreten von Vorfällen verhindern,
• einen angemessenen physischen Schutz kritischer Anlagen gewährleisten,
• eine Reaktion und Abwehr im Krisenfall ermöglichen und
• den Wiederanlauf kritischer Dienstleistungen sicherstellen.

Zur Umsetzung müssen die Maßnahmen auf nationalen und betrieblichen Risikoanalysen aufbauen und regelmäßig überprüft werden. Die Verantwortung liegt künftig auf der Leitungsebene, die Aufsicht übernimmt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

HiSolutions AG berät und begleitet KRITIS-Betreiber bei der praktischen Umsetzung der gesetzlichen Anforderungen aus dem KRITIS-DachG (EU-CER-Richtlinie) und harmonisiert diese auf Wunsch mit weiteren regulatorischen Vorgaben in einem integrierten Managementsystem (IMS). Unsere Leistungen umfassen:

• Betroffenheitsanalyse: Prüfung, ob und in welchem Umfang ein KRITIS-Betreiber unter das KRITIS-DachG fällt, inklusive Zuordnung zu Sektoren und Schwellenwerten.
• Gap-Analyse: Bewertung des aktuellen Umsetzungsstands gegenüber den gesetzlichen Anforderungen und Identifikation bestehender Abweichungen.
• Risikoanalysen (All-Gefahren-Ansatz): Durchführung oder Begleitung von Risikoanalysen und Risikobewertungen gemäß §§ 12,13 KRITIS-DachG zur Identifikation natürlicher, technischer und menschlich verursachter Risiken.
• Resilienzplan-Erstellung und -Beratung: Entwicklung gesetzeskonformer Resilienzpläne mit Maßnahmen zur Notfallvorsorge, Objektschutz, Krisenmanagement, BCM und Personalsicherheit.
• Operatives Krisen- und Notfallmanagement: Aufbau, Überprüfung und Optimierung organisatorischer Strukturen, Krisenstäbe, Melde- und Kommunikationswege (§ 13 Abs. 3 KRITIS-DachG).
• Integration CER, NIS-2 und weiterer Regulatorik: Harmonisierung und Integration der Anforderungen aus dem KRITIS-DachG (physische Resilienz), der NIS-2-Richtlinie (Cybersicherheit) sowie weiterer regulatorischer Vorgaben in ein integriertes Managementsystem (ISMS + BCM + ITSCM --> IMS).
• Awareness- und Management-Schulungen: Schulung und Sensibilisierung von Geschäftsleitungen, Entscheidern und Sicherheitsverantwortlichen zu Risikoanalysen, Resilienzplänen, Krisenmanagement, Pflichten, Meldeprozessen und Haftung
• Krisenübungen: Durchführung von Planspielen und Tests zur Überprüfung der Wirksamkeit von Krisen- und Notfallstrukturen
• Umsetzungsbegleitung: Unterstützung bei Ausschreibungen, Erstellung und Prüfung von Sicherheitskonzepten, Überprüfung technischer und physischer Schutzmaßnahmen.

HiSolutions AG unterstützt KRITIS-Betreiber dabei, ihre Widerstandsfähigkeit zu erhöhen, von der Risikoanalyse über den Resilienzplan bis zur Nachweiserbringung der regulatorischen Anforderungen.