Share
Beitragsbild zu Die Bedeutung kritischer Infrastrukturen für den europäischen Wirtschaftsraum

Die Bedeutung kritischer Infrastrukturen für den europäischen Wirtschaftsraum

Im digitalen Zeitalter ist die Aufmerksamkeit der politischen Entscheidungsträger und Branchenführer für den Schutz kritischer Infrastrukturen rapide gestiegen. Denn mit der zunehmenden Vernetzung und Weiterentwicklung Europas steigt zwangsläufig auch die Abhängigkeit von kritischen Infrastrukturen, die derzeit einem erhöhten Risiko ausgesetzt sind, das jedoch von vielen Unternehmen unterschätzt wird. Als Reaktion darauf werden in ganz Europa bedeutende neue Vorschriften eingeführt, die sich unmittelbar auf jene Unternehmen auswirken werden, die entweder Teil dieser kritischen Infrastrukturen sind oder stark von ihnen abhängen. Die Änderungen des Rechtsrahmens erfordern eine Neubewertung und Verstärkung der Sicherheitsmaßnahmen, was inbesondere für mittelständische Unternehmen, die ihre Sicherheit intern verwalten, ein Kraftakt darstellen könnte. Dennoch bringt diese Entwicklung sowohl Herausforderungen als auch Chancen mit sich – insbesondere aber erfordert sie einen proaktiven Ansatz bei der Einhaltung von Vorschriften und der Sicherheit.

Deutschland ist eine der führenden Industrie- und Technologienationen der Welt. Seine Bedeutung als Wirtschaftsstandort, seine Wettbewerbsfähigkeit und der Fortschritt des Landes hängen von der Verfügbarkeit einer leistungsfähigen und funktionierenden Infrastruktur ab.

Infolgedessen wurde hierzulande ein solider Rahmen von Vorschriften und Gesetzen geschaffen, der darauf ausgelegt ist, wesentliche Dienste und Systeme vor Bedrohungen, wie Cyberangriffen, Naturkatastrophen und anderen Vorfällen, zu schützen. Zu den wichtigsten Vorschriften gehören:

  • Das deutsche IT-Sicherheitsgesetz 2.0

Das IT-Sicherheitsgesetz zählt zu den wichtigsten Verordnungen und schreibt den Betreibern kritischer Infrastrukturen vor, robuste Cybersicherheitsmaßnahmen umzusetzen. Zu den kritischen Infrastrukturen zählen demnach alle Einrichtungen, Anlagen oder Bereiche, die zum Energiesektor, zur Informationstechnologie und Telekommunikation, zum Transport- und Verkehrswesen, zum Gesundheitswesen, zur Wasserwirtschaft, der Ernährungsbranche oder zum Finanz- und Versicherungswesen zählen und zum Erhalt des Gemeinwohls von hoher Bedeutung sind. Denn hier könnte ein Ausfall oder eine Beeinträchtigung des Betriebs zu erheblichen Versorgungsengpässen oder Gefahren für die öffentliche Sicherheit führen.

Nach dem Gesetz müssen Betreiber kritischer Infrastrukturen regelmäßig Sicherheitsaudits durchführen und wesentliche IT-Sicherheitsvorfälle an das BSI melden. Mit den 2021 verabschiedeten Aktualisierungen wurden die Anforderungen nochmals verschärft und der Geltungsbereich des Gesetzes auf weitere Sektoren ausgeweitet.

  • KRITIS-Strategie

Die vom Bundesministerium des Innern, für Bau und Heimat (BMI) entwickelte KRITIS-Strategie ist auch Teil des deutschen IT-Sicherheitsgesetzes 2.0. Sie skizziert einen nationalen Ansatz zur Identifizierung, zum Schutz und zur Verbesserung der Sicherheit kritischer Infrastrukturen. Die Strategie sieht eine Zusammenarbeit zwischen Bund, Ländern und der Privatwirtschaft vor und ist im Mai 2023 in Kraft getreten. Alle Bereiche, die als kritische Infrastrukturen gelten, sind enthalten, neu hinzugekommen ist der Sektor Abfallwirtschaft. Darüber hinaus sind auch die „Unternehmen von wissenschaftlichem öffentlichem Interesse“ an die zusätzlichen Verpflichtungen gebunden. Hierzu zählen Auftragnehmer im Verteidigungsbereich, Chemieunternehmen sowie die größten Unternehmen in Deutschland.

Anstehende regulatorische Änderungen mit der NIS2-Richtlinie

Die NIS2-Richtlinie ist das kommende EU-Gesetz zur Cybersicherheit, mit dem ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union erreicht werden soll. Bis zum 17. Oktober 2024 müssen die Mitgliedstaaten die erforderlichen Maßnahmen zur Einhaltung der NIS-2-Richtlinie erlassen und veröffentlichen.

Die NIS2 folgt weitgehend denselben Grundsätzen wie die NIS, enthält jedoch einige wichtige Ergänzungen, etwa die Ausweitung des Anwendungsbereichs auf weitere Sektoren, strengere Fristen für die Meldung von Vorfällen, die Einführung höherer Sicherheitsstandards und Strafen bei Nichteinhaltung der Anforderungen. NIS2 unterstreicht außerdem die Bedeutung der Sicherung von Lieferketten. So müssen Unternehmen sicherstellen, dass auch ihre Partner und Anbieter die neuen Standards einhalten.

Das EU-KI-Gesetz

Im Rahmen ihrer digitalen Strategie will die EU die künstliche Intelligenz (KI) regulieren, um bessere Bedingungen für ihre Entwicklung und Nutzung zu schaffen. Obwohl sich das Gesetz noch in der Anfangsphase befindet, wurden bereits wichtige Wirkungsbereiche identifiziert:

  • Risikobasierter Ansatz: Das KI-Gesetz stuft KI-Systeme in verschiedene Risikokategorien ein (unannehmbares, hohes, begrenztes und minimales Risiko). Für KI-Systeme mit hohem Risiko gelten strenge Anforderungen, darunter Konformitätsbewertungen, Transparenzpflichten und menschliche Aufsicht.
  • Compliance-Anforderungen: Unternehmen, die KI-Systeme mit hohem Risiko entwickeln oder einsetzen, müssen Risikomanagementsysteme einführen, eine detaillierte technische Dokumentation führen und regelmäßige Audits durchführen, um die Einhaltung der Vorschriften zu gewährleisten.
  • Transparenz und Rechenschaftspflicht: Das KI-Gesetz schreibt vor, dass die Nutzer von KI-Systemen über deren Einsatz und die Fähigkeiten des Systems informiert werden müssen. Die Unternehmen müssen sicherstellen, dass ihre KI-Systeme transparent sind und den Nutzern klare Informationen liefern.
  • Innovation und Regulierung: Das KI-Gesetz zielt zwar auf die Förderung von Innovationen ab, bringt aber auch regulatorische Belastungen für Unternehmen mit sich. Diese müssen ein Gleichgewicht zwischen Innovation und Einhaltung der Vorschriften finden, was möglicherweise erhebliche Investitionen in die Infrastruktur und die Vorhaltung des nötigen Fachwissens zur Einhaltung der Vorschriften erfordert.
Die Critical Entities Resilience (CER)-Richtlinie

Die CER-Richtlinie verpflichtet die EU-Mitgliedstaaten, spezifische Maßnahmen zu ergreifen, um sicherzustellen, dass wesentliche Dienste zur Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten ungehindert im Binnenmarkt bereitgestellt werden. Sie zielt darauf ab, einen umfassenderen und koordinierteren Ansatz für den Schutz kritischer Infrastrukturen zu schaffen. Gemäß der Richtlinie müssen kritische Einrichtungen regelmäßige Risikobewertungen durchführen und Pläne zur Verbesserung der Widerstandsfähigkeit entwickeln. Diese Pläne müssen sich mit verschiedenen Bedrohungen befassen und Maßnahmen zur Sicherstellung der Kontinuität der wesentlichen Dienste enthalten. Betont wird hier auch die Notwendigkeit einer verbesserten Koordination und eines verstärkten Informationsaustauschs zwischen den Mitgliedstaaten und kritischen Stellen. So sollten Unternehmen grenzüberschreitend zusammenarbeiten, um die Widerstandsfähigkeit und die Reaktionsfähigkeit zu verbessern.

Ein Gastbeitrag von Gerald Eid, Regional Managing Director DACH bei Getronics