Schutz in unsicheren Zeiten

00:00:00: Wenn man das Ziel haben will, dass man die Versorgung weiterhin gewährleistet bei solchen

00:00:06: Großschadenslagen, dann halte ich das für eine konsequente Vorgehensweise, das zu fordern

00:00:12: innerhalb der EU und damit auch dieses gemeinsame Miteinander, gerade in diesen aktuellen Zeiten,

00:00:17: um so besser zu stärken und es miteinander zu fördern.

00:00:20: "HiWay", dein Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:00:32: Hi und herzlich Willkommen zu einer weiteren Folge von "HiWay", dem Podcast von HiSolutions.

00:00:44: Mein Name ist Valerie und heute sprechen wir über das Kritis-Dach-Gesetz. Wie auch schon,

00:00:50: NIS-2 ist das Kritis-Dach-Gesetz basiert auf einer EU-Richtlinie und beschäftigt sich mit Sicherheit.

00:00:56: Wie das genau, was das alles genau bedeutet, das sehen wir uns heute genauer an und dazu

00:01:02: habe ich wieder meinen Kollegen Manuel Atug am Start. Für diejenigen, die die Folge mit Manuel

00:01:07: noch nicht gesehen haben, ich würde euch empfehlen das nachzuholen, das war auf jeden Fall sehr

00:01:11: interessant, aber ich stelle dich trotzdem noch mal vor und zwar Manuel ist Principal hier bei uns

00:01:16: bei der HiSolutions und er beschäftigt sich jetzt schon seit mehreren Jahren auch mit NIS-2,

00:01:22: kommentiert da auch die Entwürfe für den Bundestag und eben aber auch für verschiedene

00:01:27: Verbände, aber er berät auch Unternehmen zu Kritis und deshalb habe ich dich heute mit hier und

00:01:34: mit mir über das Kritis-Dach-Gesetz zu sprechen. Deswegen würde ich sagen, starten wir gleich mal rein.

00:01:39: Ich habe es ja eben nur kurz angerissen, aber da können wir noch viel tiefer gehen. Was ist

00:01:47: denn eigentlich das Kritis-Dach-Gesetz? Ja, das Kritis-Dach-Gesetz ist basiert auf der EU-Richtlinie,

00:01:53: wie du schon erwähnt hattest, die verabschiedet wurde für Oktober 24. Deutschland ist auch da mal

00:02:01: wieder im Verzug und es schafft es nicht, Richtlinien rechtzeitig in nationale Gesetzgebung zu

00:02:06: überführen. Die Idee hinter dem Kritis-Dach-Gesetz ist, dass man sagt, im EU-Binnmarkt gibt es natürlich

00:02:12: die Cyber-Sicherheit über die NIS-2-Regulierung, aber wir brauchen eben auch die physische

00:02:17: Sicherheit und das gemeinsame Wirken des Binnenmarkts und auch der Mitgliedsstaaten,

00:02:22: sodass man eben auch gesagt hat, bei der physischen und baulichen Schutzmaßnahmen-Definition

00:02:28: müssen wir da auch eine einheitliche Vorgehensweise haben und auch ein gemeinsames und starkes Europa.

00:02:33: Daher hat man eben gesagt, wir adressieren all diese Dinge wie Zäune, Mauern oder

00:02:39: Perimeterüberwachung, Resilienzpläne, alles in der Richtung über diese Gesetzgebung.

00:02:44: Okay, und ich bin jetzt Unternehmen, dass darunter fällt. Was bedeutet das denn für mich,

00:02:50: dass ich die Richtlinien befolgen muss und vor allem auch wieder für meine Kunden?

00:02:53: Eine hervorragende Frage. Ja, das in dem, also aufgrund des Diskontinuitetsprinzips ist

00:03:01: ja die deutsche Entwurfsfassung jetzt erstmal sozusagen Adakta gelegt, das wird neu aufgesetzt,

00:03:07: aber im Wesentlichen wird es ja das, was in der EU schon beschlossen wurde, wieder aufnehmen.

00:03:12: Das heißt, als Wirtschaftsunternehmen oder als kritische Infrastruktur soll ich eben,

00:03:18: aktuell ist es aus dieser Entwurfsfassung, § 11, naturbedingte, technische oder

00:03:23: menschlich verursachte Risiken adressieren, wenn sie denn in irgendeiner Form die Verfügbarkeit dieser

00:03:29: kritischen Dienstleistungen, die ich an die Bevölkerung erbringe, entscheidend beeinträchtigen

00:03:33: können und das sogar dann gegebenenfalls sektorübergreifend oder grenzüberschreitend für

00:03:38: die ganze EU. Und da sollen diese Risiken eben adressiert werden. Das sind dann extrem Ereignisse

00:03:44: wie Unfälle, Naturgefahren, gesundheitliche Notlagen, aber eben auch hybride Bedrohung,

00:03:49: Sicherheitsgefährdene oder andere feindliche Bedrohung, einschließlich sogar terroristischer

00:03:55: Straftaten. Das heißt, das, was wir jetzt auf der Ostsee zum Beispiel mit den Pipelines und den

00:04:00: Datenkabeln erleben, das fällt da wirklich klassisch darunter. Das soll dann eine Wirkung dagegen sein.

00:04:06: Damit hast du die Risiken ja schon aufgegriffen, vor denen das schützen soll. Was ist genau das

00:04:15: Ziel? Das Ziel ist, dass man über die Maßnahmen, die ich dann ergreife, eine physische Resilienz

00:04:24: bekomme und eben auch kein Risiko für die EU sozusagen oder für Deutschland als Staat darstelle,

00:04:31: wenn ich eine kritische Dienstleistung erbringe als Kritisbetreiber und die Bevölkerung dann auch

00:04:37: die Versorgungsleistung weiterhin gewährleistet bekommt. Das ist so die Zielsetzung, die man ganz

00:04:42: generisch auch für NIS-2 im Cyberraum definieren kann. Man hat eben den Cyberraum und die physische

00:04:48: Sicherheit eben separiert und getrennt betrachtet. Eigentlich macht es aus dem Betrachtungswinkel

00:04:54: keinen Sinn des Business Continuity Management und der Krisenvorsorge oder dem Krisenverständnis,

00:05:01: wie man Krisenmanagement macht und auch Risikomanagement. Aber in der Regel ist es in den

00:05:05: Unternehmen ja schon so, dass die physische Sicherheit und Werkschutz und dergleichen halt

00:05:11: nochmal eine andere Betrachtung und auch andere Teams sind als eben diejenigen, die die Cybersicherheit machen

00:05:16: Sicherheit machen. Frage 3

00:05:19: Wenn jetzt was passiert, welche Maßnahmen muss ich ergreifen, damit nichts passiert,

00:05:24: was er gefragt so herum.

00:05:26: Da hat die EU tatsächlich einen großen Katalog schon vorgegeben und gesagt,

00:05:30: das ist dann in dem Entwurf der §13, dass man sagt,

00:05:34: es gibt Resilienzpflichten für die kritischen Anlagenbetreiber.

00:05:38: Das sieht so aus, dass man einmal ein Resilienzplan entwickeln muss,

00:05:43: in dem all diese Maßnahmen adressiert werden.

00:05:45: Und das sind dann eben Teile der baulichen oder technischen Sicherung

00:05:49: und organisatorischer Schutz, also auch Objektschutz und dergleichen.

00:05:52: So Liegenschaftsabgrenzungen, dass man altmauern, Zäune etc. baut.

00:05:57: Hemmendefassadenelemente, die dann Schutzmaßnahmen darstellen.

00:06:01: Instrumente und Verfahren für die Überwachung der Umgebung,

00:06:05: sodass man also auch sieht, was für Gefahrenpotenzial vielleicht drumherum existiert

00:06:10: zu einem entsprechenden Produktionswerk oder so.

00:06:13: Ein Satz von Detektionsgeräten ist gefordert

00:06:17: und wird ganz konkret auch erwähnt Zugangskontrollen logischerweise.

00:06:21: Wie kommen Leute in ein solches Werk rein oder wieder raus?

00:06:25: Risikokrisenmanagementverfahren und auch Krisenmanagementprotokolle,

00:06:29: also Protokolle, die ich ablaufen lassen muss im Krisenmanagement,

00:06:33: wenn die Gefahrenlage wie im Ahrthalsszenario ist,

00:06:36: dass ich eine riesen Sturzflut habe, dann muss ich ja auch zur Gefahrenabwehr,

00:06:41: beispielsweise dann die Behördenkontaktieren und Amtshilfeverfahren einleiten.

00:06:45: Und das muss natürlich alles im Krisenmanagement koordiniert sein.

00:06:49: Dann gibt es noch vorgegebene Abläufe im Alarmfall,

00:06:52: dass man da also auch entsprechende Wege- und Alarmfallmeldeverfahren entwickeln muss

00:06:58: oder schon idealerweise hat und minimal anpasst.

00:07:02: Dann haben wir Maßnahmen zur Aufrechterhaltung des Betriebs,

00:07:05: auch Notstromversorgung beispielsweise,

00:07:08: auch eine Ermittlung alternativer Lieferketten.

00:07:11: Ich kann also nicht sagen, ich habe meine Dienstleister

00:07:13: und dann ist die Welt schön.

00:07:14: Ich muss mir also alternative Methoden und alternative Lieferanten überlegen,

00:07:18: um dann diesen wesentlichen Dienst an der Erbringung der Bevölkerung

00:07:23: eben weiterhin aufrecht halten zu können.

00:07:26: Darüber hinaus gibt es die Vorgabe angemessen,

00:07:29: das Sicherheitsmanagement zu haben, hinsichtlich der Mitarbeitenden.

00:07:32: Das muss auch gewährleistet werden.

00:07:34: Das heißt, dass Personal und die externen Dienstleister

00:07:38: müssen eben schauen, dass Informationsmaterial

00:07:42: für die alle bereitgestellt wird,

00:07:44: dass Schulungen durchgeführt werden,

00:07:46: für die aber auch Übungen gemacht werden

00:07:48: und dass Vertrauen in die Mitarbeitenden auch noch überprüft wird,

00:07:52: dass man teilweise nach Geheimschutz- oder Sicherheitsüberprüfungsgesetz

00:07:56: dergleichen entsprechende Absicherung macht,

00:08:00: dass eben nicht sozusagen unkontrolliert

00:08:03: alle möglichen Leute komische Dinge aus Gründen machen könnten.

00:08:07: Das ist so der Katalog, der schon sehr konkret in dem Gesetz abgebildet ist.

00:08:11: Es gibt eine Klausel, die sagt, das schränkt das Ganze nicht ein,

00:08:15: sondern das sind erst mal die Dinge, die man als Stand der Technik betrachtet

00:08:19: und mindestens adressieren muss.

00:08:21: Aber aufgrund der Risikoanalysen und des Resilienzplans

00:08:25: muss man gegebenenfalls noch weitere Maßnahmen zu dem ganzen Katalog,

00:08:28: den ich gerade erzählt habe, auch noch dazu packen.

00:08:31: Aber wenn man das Ziel haben will,

00:08:33: dass man die Versorgung weiterhin gewährleistet

00:08:36: bei solchen Großschadenslagen,

00:08:38: dann halte ich das für eine konsequente Vorgehensweise,

00:08:41: das so zu fordern innerhalb der EU

00:08:44: und damit auch dieses gemeinsame Miteinander,

00:08:47: gerade in diesen aktuellen Zeiten, um so besser zu stärken

00:08:50: und es miteinander zu fördern.

00:08:52: Danke, dass du uns hier die ganzen Einblicke heute gegeben hast.

00:08:55: Und ich fass noch mal zusammen.

00:08:57: Du ergänzt gerne, falls ich irgendwas über sehe oder vergesse.

00:09:01: Also das Kritis-Dach-Gesetz ist wie NIS-2 auch eine EU-Richtlinie,

00:09:06: die im Nationales Gesetz umgesetzt werden muss.

00:09:10: Durch die Neuwahlen verzögert sich das leider jetzt aktuell alles ein bisschen.

00:09:14: Aber im Gegensatz zu NIS-2

00:09:16: adressiert das Kritis-Dach-Gesetz eben die physische Sicherheit.

00:09:19: Das heißt, alle Cyber-Sicherheitsaspekte

00:09:22: von NIS-2 physische Sicherheit ist das Kritis-Dach-Gesetz.

00:09:25: Und dazu zählen eben vor allem viele extreme Ereignisse wie Pandemien,

00:09:29: Naturereignisse, wie du hast das Ahrthal angesprochen,

00:09:33: das ist eines der bekanntesten aktuellen Ereignisse vermutlich.

00:09:37: Und es gibt aber eben Maßnahmen, die vorgesehen sind

00:09:40: und das kann eine Vielzahl umfassen.

00:09:42: Präventive Maßnahmen haben wir eben gehört von dir.

00:09:45: Pläne, was man macht, wenn was passiert,

00:09:48: aber auch Schulungen von Mitarbeitern

00:09:50: oder auch von Kunden bzw. die Lieferanten,

00:09:53: hat es so eben extra beziehungslos gesagt.

00:09:56: Also im Grunde sehr umfassend

00:09:59: und als Ergänzung zu NIS-2 bzw. die beiden Ergänzen sich gegenseitig.

00:10:04: Genau.

00:10:05: Dann vielen Dank, dass du heute hier warst.

00:10:08: Und ich bedanke mich bei Ihnen, liebe Zuhörende,

00:10:12: dass Sie heute wieder hier eingeschaltet haben,

00:10:14: dass Sie uns zugehört haben.

00:10:16: Und dann sage ich Danke

00:10:18: und bis zum nächsten Mal.

00:10:20: Abonnieren Sie uns gerne und tschüss.