Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.
DE EN

Im Fadenkreuz

Regulatorische Anforderungen an die Resilienz kritischer Infrastruktur

16.04.2025
PDF download

„Wir befinden uns schon lange nicht mehr im Frieden, weil wir täglich angegriffen werden.“ – Generalleutnant André Bodemann.

Deutschland ist zunehmend Ziel niederschwelliger (hybrider) Angriffe. Diese reichen von Desinformationen über Ausspähung bis hin zu Sabotage. Häufig betroffen ist die kritische Infrastruktur – etwa Energie- und Wasserversorgung, Transport und Verkehr sowie Informationstechnik und Telekommunikation. Dadurch rückt die Resilienz von Unternehmen, insbesondere solche der kritischen Infrastruktur, verstärkt auch in den Fokus gesetzlicher Regulierung. Grund genug zu beleuchten, inwiefern die Wirtschaft in Deutschland derzeit und zukünftig in die Verantwortung genommen wird, sich gegen Angriffe zu schützen und im Krisenfall zu reagieren.

Der Status quo: Mehrfach-Regulierung mit Schwerpunkt IT-Sicherheit

Ein übergreifendes Gesetz zur Sicherstellung eines Resilienz-Mindeststandards der Wirtschaft existiert bislang nicht. Stattdessen wurden einzelne Schutzaspekte in spezifischen Fachgesetzen verankert, auch zur Umsetzung europäischer Vorgaben. Es besteht eine Mehrfach-Regulierung mit je nach Sektor unterschiedlichen Anforderungen:

Im Fokus steht bislang die Sicherheit von Netz- und Informationssystemen (IT-Sicherheit). Das BSI-Gesetz (BSIG) – mehrfach erweitert durch das IT-Sicherheitsgesetz von 2015, die NIS-Richtlinie von 2016 und das IT-Sicherheitsgesetz 2.0 von 2021 – verpflichtet die Betreiber kritischer Infrastrukturen zu angemessenen Vorkehrungen zur Sicherstellung – u.a. – der Integrität ihrer Systeme. Wer Betreiber ist, definiert die BSI-KritisVO. Abseits der IT-Sicherheit existieren bislang keine sektorenübergreifenden Vorgaben zur physischen Resilienz kritischer Infrastrukturen.

Daneben bestehen teilweise sektorspezifische IT-Sicherheitsvorgaben. So werden die Betreiber bzw. Anbieter öffentlicher Telekommunikationsnetze und -dienste durch das Telekommunikationsgesetz (TKG, § 165 Abs. 2 und 3) und die Betreiber von Energieanlagen und -versorgungsnetzen durch das Energiewirtschaftsgesetz (EnWG, § 11 Abs. 1a ff.) zu einem angemessenen Schutz ihrer IT-Sicherheit verpflichtet. Dabei konkretisieren die IT-Sicherheitskataloge der BNetzA sowohl die Anforderungen als auch wer unter die Regulierung fällt.

Derartige sektorspezifische Vorschriften zielen zwar primär darauf ab, die Versorgungssicherheit im regulären Betrieb zu gewährleisten und im Krisenfall schnell wiederherzustellen. Damit tragen sie indirekt aber auch zur Resilienz gegen hybride Bedrohungen bei. Etwa sind pharmazeutische Unternehmen zur Sicherstellung einer kontinuierlichen Versorgung mit Arzneimitteln verpflichtet, § 52b AMG.

Neue sektorenübergreifende Vorhaben: NIS-2 und KRITIS-Dachgesetz

Die Richtlinie (EU) 2022/2555 (sog. NIS-2-Richtlinie) soll die Anforderungen an die IT-Sicherheit in der EU weiter erhöhen. Sie führt neue Kategorien ein („wesentliche“ und „wichtige“ Einrichtungen) und weitet den Anwendungsbereich erheblich aus, von bisher ca. 2.000 auf bis zu 30.000 betroffene Unternehmen. Der Gesetzentwurf der Ampelkoalition zur Umsetzung der NIS-2-Richtlinie sah eine umfassende Reform des BSIG vor, ohne die Mehrfach-Regulierung in EnWG und TKG aufzulösen. Die Verabschiedung des Umsetzungsgesetzes ist der Ampelkoalition nicht mehr gelungen, obwohl die Umsetzungsfrist bereits im Oktober 2024 endete. In Anbetracht des von der EU-Kommission mittlerweile eingeleiteten Vertragsverletzungsverfahrens gegen Deutschland steht die zukünftige Bundesregierung unter Handlungsdruck.

Ähnliches gilt für das KRITIS-Dachgesetz. Dieser Gesetzentwurf der Ampelkoalition sollte erstmals eigenständige und sektorenübergreifende Anforderungen an die physische Resilienz kritischer Infrastrukturen etablieren und zugleich die Richtlinie (EU) 2022/2557 (sog. CER-Richtlinie) umsetzen. Ziel war es, die Betreiber kritischer Infrastruktur zur Durchführung von Risikobewertungen, Erstellung von Resilienzplänen und Entwicklung branchenspezifischer Resilienzstandards und damit zu geeigneten und verhältnismäßigen Maßnahmen zum physischen Schutz der Anlagen zu verpflichten. Auch das KRITIS-Dachgesetz wurde nicht mehr verabschiedet. Da jedoch auch die CER-Richtlinie bis Oktober 2024 umzusetzen war, besteht auch hier dringender Handlungsbedarf.

Fazit

Bisher beschränken sich Resilienzanforderungen vorwiegend auf die IT-Sicherheit. Die NIS-2-Richtlinie verschärft diese Vorgaben und erfasst deutlich mehr Unternehmen, wurde aber noch nicht umgesetzt. Über die IT-Sicherheit hinaus bestehen bislang keine sektorenübergreifenden Anforderungen. Das KRITIS-Dachgesetz hätte dies erstmal geändert, wurde jedoch nicht verabschiedet. Damit steht auch die Umsetzung der CER-Richtlinie noch aus. Aufgrund des Diskontinuitätsprinzip müssen diese Vorhaben neu in den Bundestag eingebracht werden. Klar ist: Angesichts der aktuellen Bedrohungslage werden künftige Regelungen IT-Sicherheit und physische Resilienz zunehmend ganzheitlich abbilden. Unternehmen sollten sich frühzeitig darauf vorbereiten.

BLOMSTEIN berät umfassend zu Fragen der Verteidigung und Sicherheit und verfolgt die aktuellen legislativen Entwicklungen aufmerksam. Dr. Christopher Wolters und Dr. Leonard von Rummel stehen Ihnen bei Fragen gerne zur Verfügung.

Weitere Neuigkeiten

CELIS German Chapter

KI in der Exportkontrolle und im Zollrecht

AKB-Vergabemonitoring beendet, die Defizite bleiben