Kritische Infrastrukturen (KRITIS), insbesondere die Sektoren Trinkwasser, Strom und Gas, seien als gemeinschaftliche Aufgabe für Wirtschaft, Staat und Verwaltung zu schützen, erklärt Johann Saathoff, Parlamentarischer Staatssekretär im Bundesministerium des Innern und für Heimat (BMI). Eine Reihe von nationalen und europäischen Gesetzen würden die Sicherheitsstandards dafür bereitstellen, so der Staatssekretär.
Die vergangenen Monate hätten gezeigt, dass KRITIS verwundbar seien. Aktuell werde das KRITIS-Dachgesetz in den Ressorts diskutiert. Mit der neuen Verordnung, die die physischen Aspekte der Sicherung der Anlegung betrachtet, werde ein „ein Dach über die verschiedenen Sektoren gelegt und bundesgesetzliche Mindeststandards definiert“, so Saathoff. Dabei würden alle denkbaren Risiken in einem Allgefahrenansatz betrachtet, also insbesondere aus Natur, Mensch und technischen Aspekte, erzählt der SPD-Politiker.
Cyber-Sicherheit in die Fläche tragen
Mit der NIS2-Richtlinie hingegen, betrachte man den virtuellen Schutz der Einrichtungen. Durch das Gesetz werden in der gesamten EU mehr Unternehmen in mehr Sektoren eingeteilt und müssen Cyber-Sicherheitsvorgaben umsetzen. Cyber-Sicherheit werde dabei grenzüberschreitend in die Fläche gebracht, sagt Saathoff. Das NIS2-Umsetzungsgesetz, was Ende nächsten Jahres in Kraft treten werde, ersetze die erste NIS-Richtlinie aus dem Jahr 2016. Während bei der Umsetzung von NIS1 das IT-Sicherheitsgesetz 1.0 als Blaupause genutzt werden konnte, gilt das nicht für NIS2: „Hier ist ein hoher Umsetzungsaufwand vonnöten. Insbesondere die size-cap rule ist dafür entscheidend.“ Diese besagt, dass alle Unternehmen der regulierten Sektoren, mit mindestens 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz, zur Anwendung der NIS2 angewiesen sind. Unterscheidungen gibt es dabei in „wichtige“ und „besonders wichtige“ Einrichtungen. Vor allem letztere würden bei Nichteinhaltung der neuen Regelungen durch einen hohen Bußgeldrahmen sanktioniert, erklärt der Politiker auf der Public IT-Security Konferenz in Berlin.
Insgesamt läge eine Menge Arbeit für Wirtschaft, Verwaltung und Staat vor. Es seien beträchtliche Erfüllungsaufwände notwendig, um die Resilienz der KRITIS zu erhöhen: „Cyber-Sicherheit ist eben Teamarbeit“, resümiert Saathoff.
