Durch den Bruch der Ampelkoalition liegt das KRITIS-Dachgesetz vorerst auf Eis. Können Unternehmen also erst mal durchatmen – weniger Bürokratie, weniger Aufwand?
Aufschieben ist falsch! Diese Gesetze auf Basis der EU-Richtlinien werden kommen. Die Inhalte liegen auf dem Tisch. DORA – der Digital Operational Resilience Act für den Finanzsektor und seine Dienstleister – gilt bereits seit Januar 2025.
Aber warum sollten Unternehmen die Regelflut jetzt angehen?
Cyberangriffe, Ransomware, IT-Ausfälle und physische Angriffe halten sich nicht an Fristen – und können jeden treffen.
Die Umsetzung liegt im ureigensten Interesse jedes Unternehmens und seiner Verantwortlichen. Wer abwartet, dem wird es umso schwerer auf die Füße fallen.
NIS 2 und das KRITIS-Dachgesetz sind der Sicherheitsgurt für Wirtschaft und Verwaltung. Und wer steigt schon ohne Gurt ins Auto – oder auf den Everest?
Wenn diese neuen Regulierungen und Gesetze so wichtig sind, was ist denn ihr Ziel?
Es geht um physische Sicherheit, den Schutz von IT, Daten und Infrastruktur – also um Cybersicherheit, auch für Gebäude.
Ziel ist ein belastbares Sicherheitsniveau, das kritische Einrichtungen und Unternehmen resilient macht. Es geht um Verfügbarkeit – und damit um Zukunftsfähigkeit. Nicht nur KRITIS-Unternehmen sind angesprochen, sondern alle, die auch morgen noch am Markt sein wollen.
In den Gesetzestexten selbst steht aber sehr wenig Konkretes zum „Wie“.
Das ist richtig, für Texte der Legislative jedoch typisch. Es werden Themen und Handlungsziele formuliert.
Das KRITIS-Dachgesetz zum Beispiel verpflichtet Betreiber kritischer Anlagen zu Krisen- und Risikomanagement, Business Continuity Management, personeller und physischer Sicherheit. Die konkrete Umsetzung dieser Ansätze bleibt den Unternehmen weitestgehend überlassen. Das lässt Handlungsfreiheit. Viele und mehrere Wege führen nach Rom.
Ist das Vorgehen nicht kompliziert und aufwändig?
Nicht unbedingt. Erfahrungsgemäß starten viele Unternehmen nicht bei null, sondern haben bereits Ansätze zur physischen und IT-Sicherheit. Diese lassen sich gezielt erweitern, etwa mit der ISO/IEC-27k oder dem BSI-Grundschutz.
Gleiches gilt für das KRITIS-Dachgesetz zur Resilienz und physischen Sicherheit: Ausgangspunkt sind Risiko- und Gefährdungsanalysen, aus denen Schutzziele, Vorgaben, Zuständigkeiten, Konzepte und konkrete Maßnahmen abgeleitet werden – ein strukturiertes, höchst wirksames und individuell anpassbares Vorgehen.
Und, wichtig: Denken Sie nicht nur an die Büro-IT, sondern auch an vernetzte Systeme wie Gebäudetechnik, Klima, Zutritt und Alarmanlagen, die ebenfalls potenziell angreifbar sind.
Peter Loibl, Geschäftsführer VZM GMBH
www.vzm.de
