%20(1).jpg)
Mit dem KRITIS-Dachgesetz rückt die Sicherheit kritischer Infrastrukturen in den Fokus. Erstmals gibt es damit sektorübergreifende Mindestanforderungen für den Schutz zentraler Versorgungsstrukturen. Sie sollen gegenüber physischen Bedrohungen wie Sabotage, Cyberangriffen, Naturereignissen oder technischen Ausfällen gestärkt werden. „Auf den ersten Blick richtet sich das Gesetz vor allem an große Betreiber kritischer Infrastrukturen – etwa Energieversorger, Telekommunikationsanbieter oder große Wasserwerke“, weiß Markus Weidenauer, Geschäftsführer der SecCon Group.
„Doch auch mittelständische Unternehmen und kommunale Versorger werden die Auswirkungen deutlich spüren. Sicherheit und Resilienz lassen sich in hochvernetzten Versorgungssystemen nicht isoliert betrachten. Vielmehr hängen zahlreiche Prozesse, Lieferketten und Infrastrukturen eng zusammen.“
Fünf Gründe, warum das KRITIS-Dachgesetz auch den Mittelstand betrifft
1. Kritische Infrastrukturen funktionieren nur als Gesamtsystem
Energie, Wasser, Telekommunikation, Logistik oder Lebensmittelversorgung sind eng miteinander verflochten. „Fällt ein Sektor aus, hat das unmittelbare Auswirkungen auf viele andere Bereiche des täglichen Lebens“, betont Weidenauer. Diese sogenannten Interdependenzen stehen auch im Mittelpunkt der neuen Regulierungen. „Selbst wenn ein Unternehmen formal nicht unter die KRITIS-Schwellenwerte fällt, kann es Teil einer kritischen Liefer- oder Versorgungsstruktur sein“, ergänzt der Sicherheitsexperte. Mittelständische Dienstleister, Zulieferer oder Betreiber regionaler Anlagen sind damit oft indirekt Bestandteil des Gesamtsystems und müssen Teil der Sicherheitsarchitektur werden.
2. Neue Erwartungen an Resilienz entlang der gesamten Lieferkette
Mit der stärkeren Regulierung kritischer Infrastrukturen wächst auch der Druck entlang der Lieferketten. Betreiber kritischer Anlagen müssen künftig nachweisen, dass ihre Prozesse resilient sind und Sicherheitsrisiken angemessen berücksichtigt werden. „Das betrifft jedoch nicht nur die eigenen Anlagen, sondern auch Dienstleister, Zulieferer oder technische Partner“, so Markus Weidenauer. Mittelständische Unternehmen könnten daher zunehmend mit Anforderungen konfrontiert werden, etwa in Form von Sicherheitsnachweisen, Risikoanalysen oder organisatorischen Schutzmaßnahmen.
3. Hin zu einem All-Gefahren-Ansatz
Bislang lag der Fokus vieler Sicherheitsregulierungen auf der Cyber- und IT-Sicherheit. Das neue Gesetz verfolgt dagegen einen sogenannten All-Gefahren-Ansatz. Neben digitalen Angriffen werden auch physische Bedrohungen, Sabotageakte, Naturereignisse oder organisatorische Risiken stärker berücksichtigt. Für Unternehmen bedeutet das: Sicherheit muss ganzheitlicher gedacht werden. „Technische Schutzmaßnahmen spielen eine ebenso große Rolle wie organisatorische Strukturen, klare Verantwortlichkeiten, Notfall- und Krisenpläne sowie geschulte Mitarbeitende“, ordnet der Sicherheitsexperte ein.
4. Sicherheit als Managementaufgabe
Ein weiterer zentraler Punkt des KRITIS-Dachgesetzes ist die stärkere Verantwortung der Unternehmensleitung in Sicherheitsfragen. Anders als bisher müssen Betreiber kritischer Infrastrukturen nicht nur nachweisen können, dass sie angemessene Maßnahmen zur Risikovorsorge und Resilienz umgesetzt haben, es bestehen auch umfangreiche Meldepflichten. „Unternehmen sind dazu verpflichtet, innerhalb von sehr kurzen Fristen sicherheitsrelevante Vorfälle bei den entsprechenden Aufsichtsbehörden zu melden und zu belegen, dass ihre Schutzmaßnahmen wirksam sind“, führt Weidenauer aus. Verstöße können mit Bußgeldern sanktioniert werden, sodass Sicherheit stärker in den Verantwortungsbereich der Geschäftsführung rückt.
5. Resilienz wird zum Wettbewerbsfaktor
Neben den regulatorischen Anforderungen spielt auch die wirtschaftliche Perspektive eine zentrale Rolle. „Aus zahlreichen Studien von Beratungen, Verbänden und Forschungsinstituten wissen wir, dass Resilienz ein essenzieller Faktor für die zukünftige Wettbewerbsfähigkeit ist“, sagt Weidenauer. Gerade in Zeiten geopolitischer Spannungen, zunehmend komplexer Bedrohungslagen und verflochtener Lieferketten stärken Unternehmen, die frühzeitig auf Risikoanalysen, Sicherheitsstrukturen und Krisenmanagement setzen, ihre eigene Stabilität. „In der Regel sind sie besser auf Störungen vorbereitet und können ihre Leistungsfähigkeit auch in Krisensituationen aufrechterhalten“, schließt der Sicherheitsexperte.
