FAQ: Kernpflichten der Betreiber – Risikomanagement & Resilienz 2026
Kernpflichten der Betreiber
Die Identifizierung als KRITIS-Betreiber ist nur der erste Schritt. Das Gesetz verlangt nun eine kontinuierliche Systemhärtung, die weit über einfache IT-Sicherheitsmaßnahmen hinausgeht. Betreiber müssen ein ganzheitliches Risikomanagement etablieren, das sowohl digitale Abwehrmechanismen (SzA) als auch physische Schutzmaßnahmen (Objektschutz) umfasst. Erfahren Sie hier, wie Sie Risikoanalysen durchführen, Resilienzpläne erstellen und welche technischen Standards Sie 2026 einhalten müssen.
Kontaktieren Sie uns bei weiteren Fragen gerne:
FAQ: Risikomanagement & Resilienz 2026
Welche grundlegenden Pflichten haben KRITIS-Betreiber im Jahr 2026?
Betreiber sind verpflichtet, geeignete und verhältnismäßige Maßnahmen zu treffen, um Vorfälle zu verhindern, die Folgen von Störungen zu begrenzen und die zügige Wiederherstellung ihrer Dienste zu gewährleisten . Dies umfasst Risikoanalysen, Resilienzpläne sowie technische und organisatorische Schutzvorkehrungen.
Wie oft muss eine Risikoanalyse durchgeführt werden?
Betreiber kritischer Anlagen müssen spätestens neun Monate nach ihrer Identifizierung eine Risikoanalyse vorlegen. Danach ist diese im Bedarfsfall, mindestens jedoch alle vier Jahre, zu wiederholen.
Welche Gefahren müssen in der Risikoanalyse berücksichtigt werden?
Das Gesetz verlangt einen All-Gefahren-Ansatz. Dies umfasst:
- Naturbedingte Risiken: Hochwasser, Stürme, Extremwetter.
- Menschliche Einwirkungen: Terroristische Straftaten, Sabotage und hybride Bedrohungen.
- Technische Risiken: Technisches Versagen oder Unfälle.
Was genau ist ein „Resilienzplan“?
Ein Resilienzplan dokumentiert alle technischen, sicherheitsbezogenen und organisatorischen Maßnahmen, die ein Betreiber auf Basis seiner Risikoanalyse getroffen hat. Dieser Plan muss alle zwei Jahre zur Überprüfung vorgelegt werden.
Welche physischen Schutzmaßnahmen sind für Anlagen vorgeschrieben?
Zu den geforderten baulichen und technischen Maßnahmen gehören unter anderem:
- Objektschutz: Liegenschaftsabgrenzungen (Zäune) und hemmende Fassadenelemente.
- Überwachung: Einsatz von Detektionsgeräten und Überwachung der Umgebung.
- Zugang: Strenge Zugangskontrollsysteme.
Was sind die Anforderungen an Systeme zur Angriffserkennung (SzA)?
KRITIS-Betreiber müssen Systeme einsetzen, die kontinuierlich und automatisch Parameter erfassen, um Angriffe auf die IT-Infrastruktur zu erkennen und abzuwehren. Diese Systeme müssen dem aktuellen Stand der Technik entsprechen.
Wie muss die Notstromversorgung geregelt sein?
Die Aufrechterhaltung des Betriebs bei Stromausfällen ist eine Kernpflicht. Betreiber müssen Maßnahmen zur Notstromversorgung (z. B. Netzersatzgeräte) treffen, um die Erbringung ihrer wesentlichen Dienste sicherzustellen.
Muss ich auch meine Lieferketten absichern?
Ja. Betreiber müssen alternative Lieferketten ermitteln, um nach einem Vorfall die Dienstleistung zügig wiederaufnehmen zu können. Die Sicherheit der Lieferkette ist integraler Bestandteil des Risikomanagements.
Welche Pflichten bestehen gegenüber dem Personal?
Betreiber müssen ein angemessenes Sicherheitsmanagement für das eigene Personal sowie für Mitarbeitende externer Dienstleister gewährleisten. Dazu gehören Informationsmaterialien, regelmäßige Schulungen und Übungen zu Resilienzthemen.
Was bedeutet „Stand der Technik“ im rechtlichen Sinne?
Maßnahmen gelten dann als verhältnismäßig, wenn der Aufwand zur Verhinderung eines Vorfalls in einer angemessenen Relation zum potenziellen Risiko steht. Die technischen Standards orientieren sich an anerkannten Normen wie ISO/IEC 27001 oder branchenspezifischen Standards (B3S).
Gibt es spezielle Anforderungen für den Sektor Staat und Verwaltung?
Auch Behörden müssen ihre Handlungsfähigkeit durch präventive Maßnahmen sichern. Das BBK stellt hierfür spezielle Vorlagen, Muster und Leitlinien für Resilienzpläne bereit.
Welche Rolle spielen Krisenmanagement-Protokolle?
Betreiber müssen vorgegebene Abläufe im Alarmfall sowie Krisenreaktionspläne etablieren. Ziel ist es, Vorfälle kontrolliert aufzufangen und die Folgen so gering wie möglich zu halten.