Logo Concepture
Menü
Beratung anfordern
  • Security Compliance

NIS 2 und CER: Wie die verzögerte gesetzliche Umsetzung in Deutschland KRITIS-Betreiber unter Druck setzt

Die Resilienz unserer kritischen Infrastrukturen (KRITIS) steht auf dem Spiel. Während andere EU-Staaten längst Fakten geschaffen haben, hinkt Deutschland bei der entscheidenden Umsetzung europäischer Vorgaben zur KRITIS-Sicherheit, insbesondere der NIS 2- und CER-Richtlinie, bedenklich hinterher.

Diese Verzögerung der vorherigen Bundesregierung hat ein brisantes Vakuum an klaren nationalen Gesetzen geschaffen, das Betreiber kritischer Infrastrukturen in eine unsichere Lage manövriert. In diesem Beitrag beleuchten wir diese gefährliche Diskrepanz und analysieren die „Altlasten“, mit denen sich die KRITIS-Betreiber heute auseinandersetzen müssen. Unser Gespräch mit Holger Berens, Vorstandsvorsitzender des BSKI, liefert dabei wertvolle Einblicke in die Versäumnisse und die drängenden Herausforderungen.

Europäische Vorgaben im Wartestand: Ein gefährliches Zögern

Die NIS 2- und CER-Richtlinien der Europäischen Union zielen darauf ab, die Cybersicherheit und die physische Resilienz kritischer Infrastrukturen in allen Mitgliedstaaten zu stärken. Während diese Richtlinien längst in Kraft getreten sind und andere Länder mit Hochdruck an ihrer nationalen Umsetzung arbeiten, lässt Deutschland auf sich warten. Dieses Zögern der vorherigen Regierung hat ein deutliches Problem für die betroffenen Unternehmen hinterlassen:

  • Rechtliche Grauzone: Ohne die finale nationale Gesetzgebung operieren KRITIS-Betreiber in einem Umfeld der Unsicherheit. Welche konkreten Anforderungen gelten wann und wie?
  • Verzögerte Sicherheitsmaßnahmen: Die fehlende klare Linie aus Berlin kann dazu führen, dass notwendige Investitionen in Sicherheitsmaßnahmen aufgeschoben werden – ein gefährliches Spiel mit der Resilienz.
  • Wettbewerbsnachteil: Deutsche KRITIS-Betreiber könnten gegenüber Unternehmen in anderen EU-Ländern benachteiligt sein, die frühzeitig klare Rahmenbedingungen erhalten haben.

Im Gespräch betont Holger Berens vom BSKI die Brisanz dieser Situation: „Die versäumte Umsetzung der EU-Richtlinien schafft unnötige Unsicherheit und birgt erhebliche Risiken für die Sicherheit unserer kritischen Infrastrukturen. Die Betreiber brauchen jetzt klare und verlässliche Rahmenbedingungen.“

Die Folgen der Untätigkeit: Ein Blick auf die „Altlasten“

Die Verzögerung bei der Umsetzung der europäischen Gesetze ist keine folgenlose Nachlässigkeit. Sie hat konkrete „Altlasten“ geschaffen, mit denen sich KRITIS-Betreiber nun auseinandersetzen müssen:

  • Interpretationsspielraum: Die bestehenden deutschen Gesetze (IT-Sicherheitsgesetz etc.) müssen nun im Lichte der europäischen Richtlinien interpretiert werden, was zu Verwirrung und unterschiedlichen Auslegungen führen kann.
  • Nachholbedarf: Wenn die nationalen Gesetze endlich kommen, droht ein abrupter Anstieg der Anforderungen, auf den sich viele Unternehmen möglicherweise nicht ausreichend vorbereitet haben.
  • Komplexität: Die parallele Existenz alter und noch nicht vollständig implementierter neuer Regelungen schafft eine unnötige Komplexität für die Betroffenen.

Wie KRITIS-Betreiber sich jetzt vorbereiten können:

Auch wenn die finale nationale Gesetzgebung fehlt, dürfen KRITIS-Betreiber nicht in Schockstarre verharren. Die europäische Marschrichtung ist klar, und eine proaktive Vorbereitung ist unerlässlich:

  • EU-Richtlinien genau studieren: Machen Sie sich detailliert mit den Inhalten der NIS 2- und CER-Richtlinien vertraut. Diese geben die zukünftige Richtung der nationalen Gesetzgebung vor.
  • Betroffenheit frühzeitig prüfen: Nutzen Sie Ressourcen wie kritis.ai oder openkritis, um zu analysieren, ob Ihr Unternehmen nach den neuen EU-Definitionen als kritische Infrastruktur oder als wichtiger Sektor eingestuft wird.
  • Risikomanagement anpassen: Überprüfen und erweitern Sie Ihr Risikomanagement, um die potenziellen Auswirkungen der kommenden EU-Anforderungen zu berücksichtigen.
  • Informationssicherheitsmanagementsysteme (ISMS) stärken: Implementieren oder optimieren Sie Ihr ISMS gemäß internationaler Standards wie ISO 27001 und berücksichtigen Sie dabei bereits die Anforderungen der NIS 2.
  • Resilienzplanung intensivieren: Entwickeln Sie umfassende Pläne zur Aufrechterhaltung des Betriebs und zur schnellen Wiederherstellung im Falle von Störungen oder Cyberangriffen (gemäß CER).
  • Schnittstellen identifizieren: Analysieren Sie Ihre Abhängigkeiten und Schnittstellen zu anderen Organisationen, die ebenfalls von den neuen Richtlinien betroffen sein könnten.

Fazit: Die Uhr tickt – Vorbereitung ist der Schlüssel

Deutschlands Zögern bei der Umsetzung der europäischen KRITIS-Gesetzgebung hat ein deutliches Problem für die betroffenen Unternehmen geschaffen. Die fehlende klare nationale Linie schafft Unsicherheit und birgt Risiken. Doch anstatt auf die finale Gesetzgebung zu warten, müssen KRITIS-Betreiber jetzt proaktiv handeln und sich intensiv mit den Inhalten der NIS 2- und CER-Richtlinien auseinandersetzen. Nur so können sie die „Altlasten“ der Vergangenheit bewältigen und ihre kritischen Infrastrukturen zukunftssicher aufstellen. Für einen umfassenden Einblick empfehlen wir Ihnen, das vollständige Gespräch mit Holger Berens in unserem Security-Podcast “Fill the Gap” anzuhören.

Holger Berens

Holger Berens ist Ihr Ansprechpartner rund um den Themenkomplex der Security Compliance und berät unsere Kunden online und vor Ort.
Weitere Beiträge

Jetzt weiterlesen!

Alle anzeigen

Fill the Gap

Roboter auf Patrouille – Wie Robotic und KI die Sicherheitsbranche verändern mit Severin Pfister (Ascento)

Sicherheitsroboter, die eigenständig Gelände überwachen, Anomalien erkennen und mit bestehenden Systemen kommunizieren – was nach Science-Fiction klingt, ist längst Realität. In der aktuellen Folge von FILL THE GAP, der Security Podcast sprechen wir mit Severin Pfister von Ascento, über den Einsatz von Robotik und Künstlicher Intelligenz im Objektschutz.

Fill the Gap, Sicherheitsberatung

FILL THE GAP – der neue Security Podcast ist da! 🎙

Sicherheit ist komplex – wir helfen Ihnen, den Überblick zu behalten. In FILL THE GAP sprechen wir mit Expertinnen und Experten über aktuelle Herausforderungen, technologische Entwicklungen und reale Bedrohungsszenarien im Bereich der physischen Sicherheit!

Cybersicherheit, Managementberatung

EU Cyber Resilience Act: Alles, was Sie wissen müssen

Der EU Cyber Resilience Act (CRA) ist ein wegweisender Schritt in Richtung mehr Cybersicherheit für digitale Produkte in der Europäischen Union. Diese Verordnung definiert verbindliche Sicherheitsstandards und schützt Verbraucher sowie Unternehmen vor zunehmenden Cyberbedrohungen. In diesem Artikel erfahren Sie alles Wichtige über den CRA, seinen Anwendungsbereich, die Anforderungen und wie Unternehmen sich vorbereiten können.

Alternativ zum Formular können Sie uns auch eine E-Mail an info@concepture.de senden.