Neue gesetzliche Anforderungen erhöhen Druck auf Betreiber kritischer Infrastrukturen

KRITIS-Dachgesetz macht das FM zum Resilienz-Faktor

Quelle: Lünendonk

Risikoanalyse und -bewertung für kritische Infrastrukturen nach §12 des KRITIS-Dachgesetzes.

Quelle: Lünendonk

Mit dem jüngst verabschiedeten KRITIS-Dachgesetz verschärfen sich die Anforderungen an den Betrieb kritischer Infrastrukturen deutlich. Facility Management entwickelt sich dadurch von einer operativen zu einer strategischen Managementaufgabe. Für Unternehmen der kritischen Infrastruktur wird es zum zentralen Instrument, das Resilienz, Geschäftskontinuität und regulatorische Compliance sichert.

Kritische Infrastrukturen sichern die Grundversorgung der Gesellschaft. Ob Energie- und Wasserversorgung, Gesundheit, Logistik oder Entsorgung: ihr Ausfall hat unmittelbare Folgen für Millionen von Menschen und die Funktionsfähigkeit von Wirtschaft und Staat. Mit dem KRITIS-Dachgesetz schafft der Gesetzgeber einen neuen, verbindlichen Rechtsrahmen und verankert die physische Widerstandsfähigkeit kritischer Anlagen und Betriebe als gesetzliche Pflicht.

Die Umsetzung der KRITIS-Regulatorik findet auf der Ebene des operativen Gebäudebetriebs statt. Die abstrakte Anforderung der „Resilienz“ übersetzt sich in konkrete Aufgaben wie die Sicherung von Gebäudezugängen, die Gewährleistung redundanter Energieversorgungen und die Entwicklung von Notfallplänen für kritische Gebäudetechnik.

Die gesetzliche Pflicht zur Resilienz wertet das Facility Management bedeutend auf. Es wird zum primären operativen Träger der geforderten Widerstandsfähigkeit. Da die Unternehmensführung die Gesamtverantwortung für die Einhaltung des Gesetzes trägt, agiert das Facility Management als ihr operativer Arm. Dessen Erfolg misst sich nicht mehr allein an der Servicequalität in und um das Gebäude, sondern an der strategischen Aufgabe, die Geschäftskontinuität auch im Krisenfall aktiv zu sichern und die gesetzliche Compliance jederzeit nachweisbar zu gewährleisten.

Das vorliegende Lünendonk-Whitepaper zeigt, welche operativen Anforderungen das KRITIS-Dachgesetz an den Betrieb kritischer Infrastrukturen stellt, wie Facility Management zur strategischen Führungsaufgabe wird und welche Rolle Facility-Service-Anbieter bei der Umsetzung gesetzlicher Resilienzanforderungen einnehmen. Es bietet Entscheidern, Geschäftsführungen und FM-Verantwortlichen eine fundierte Grundlage, um die betrieblichen Auswirkungen des Gesetzes zu bewerten und die Umsetzung der Anforderungen strukturiert zu planen.

Rechtliche Grundlagen und regulatorische Anforderungen

Die wachsende Komplexität globaler Krisen verlangt einen robusteren Schutz kritischer Infrastrukturen. Mit dem Dachgesetz zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz) verankert der Gesetzgeber die physische Widerstandsfähigkeit als gesetzliche Pflicht und wertet dadurch die Bedeutung von Gebäudeprozessen und Immobilienmanagement deutlich auf. Ein funktionierender Gebäudebetrieb wird damit von einer operativen Notwendigkeit zu einer tragenden Säule der nationalen Resilienz.

Regelungsinhalt, Geltungsbereich und Handlungsbedarf

Herzstück des KRITIS-Dachgesetzes ist die gesetzliche Verankerung eines fundamentalen Prinzips: Jedes Unternehmen, das wesentlich dazu beiträgt, kritische Dienstleistungen, also Versorgungsleistungen für die Allgemeinheit, zu erbringen, trägt eine besondere Verantwortung für deren Schutz und Kontinuität.

In den Geltungsbereich des Gesetzes fallen somit Unternehmen aus den folgenden, für das Gemeinwesen zentralen Marktsektoren:

 Energie

 Wasser

 Gesundheitswesen

 Ernährung

 Informationstechnik und Telekommunikation

 Transport und Verkehr

 Siedlungsabfallentsorgung

 Weltraum

 Finanzwesen

 Leistungen der Sozialversicherungen sowie Grundsicherung für Arbeitssuchende

Doch wann genau zählt ein Unternehmen innerhalb dieser Sektoren zur kritischen Infrastruktur? Ein zentraler Schwellenwert gibt erste Orientierung: die Versorgung von mindestens 500.000 Einwohnern. Das zuständige Bundesministerium kann von diesem Richtwert jedoch für bestimmte Branchen abweichen und zudem auch strategisch wichtige Betriebe unterhalb der Schwelle als kritisch einstufen, wenn ihr Ausfall besonders schwerwiegende Folgen hätte.

Mit der Einstufung als kritische Infrastruktur verbindet das Gesetz einen Katalog von Verpflichtungen. Den Auftakt bildet die Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Anschließend müssen KRITIS-Unternehmen mindestens alle vier Jahre eine umfassende Risikoanalyse durchführen (§ 12), darauf aufbauend wirksame Resilienzmaßnahmen ergreifen und diese in einem verbindlichen Plan dokumentieren (§ 13). Das gesetzliche Rahmenwerk umfasst ebenfalls eine aktive Meldepflicht für Störfälle. Unternehmen, die unter das KRITIS-Dachgesetz fallen, müssen jeden relevanten Vorfall umgehend, spätestens nach 24 Stunden, dem BBK melden, gefolgt von einem umfassenden Analysebericht innerhalb eines Monats (§ 18).

Betreiberpflichten: Verantwortung, Delegation und Haftung

Zur klassischen Betreiberverantwortung gehört die Steuerung von Risiken, die von einer Immobilie ausgehen. In der Praxis werden Betreiberpflichten wie die Verkehrssicherung, der Brandschutz oder die Prüfung elektrischer Anlagen häufig an Facility-Service-Anbieter delegiert.

Durch das KRITIS-Dachgesetz wird die Betreiberverantwortung auf ein neues Niveau gehoben. Zur bisherigen Aufgabe, die physische Sicherheit im und um das Gebäude zu gewährleisten, kommt die strategische Pflicht hinzu, dessen gesellschaftliche Funktion zu sichern. Es fordert von KRITIS-Unternehmen, dass die Immobilie die kritische Dienstleistung, die sie beherbergt, kontinuierlich und unter allen Umständen gewährleistet.

Um diese hohe Anforderung zu erfüllen, verpflichtet das Gesetz KRITIS-Unternehmen dazu, Risiken systematisch zu analysieren, Resilienzmaßnahmen zu planen und umzusetzen sowie deren Wirksamkeit gegenüber Behörden nachzuweisen. Physischer Schutz, Ausfallsicherheit technischer Systeme und ein funktionierendes Störungsmanagement sind dabei nicht mehr nur betriebliche Qualitätsziele, sondern gesetzlich geforderte Resilienzbausteine.

Diese neuen, komplexen Pflichten müssen KRITIS-Unternehmen in der bestehenden Praxis der Delegation berücksichtigen. Je umfangreicher die Delegation der Betreiberpflichten, desto wichtiger ist ein belastbares Steuerungs- und Dokumentationssystem. Verstoßen KRITIS-Unternehmen gegen die Registrierungs-, Dokumentations- oder Meldepflichten des KRITIS-Dachgesetzes, können Behörden ein Bußgeld von bis zu 500.000 Euro verhängen (§ 24).

FM unterstützt bei steigenden Anforderungen

Diese neuen gesetzlichen Vorgaben verpflichten Unternehmen, die zur kritischen Infrastruktur zählen, zu einem proaktiven Risikomanagement: Sie müssen potenzielle Gefahren systematisch analysieren, Resilienzmaßnahmen planen und deren Wirksamkeit gegenüber Behörden nachweisen. Die Risikoanalyse stellt dabei je nach Branche komplexe technische und organisatorische Anforderungen: Steigende Brandrisiken durch falsch entsorgte Akkus zwingen beispielsweise Betreiber von Entsorgungs- und Recyclingbetrieben, ihre Brandschutzkonzepte anzupassen. Mängel im Zutrittsschutz und in der Perimeterüberwachung setzen Logistikzentren dem Risiko von Sabotageakten aus, die ganze Lieferketten zum Erliegen bringen können.

„Mit dem KRITIS-Dachgesetz wird die Wahl des Facility-Service-Partners zur strategischen Entscheidung für die Resilienz kritischer Infrastrukturen. Neben Leistungsumfang und Kompetenz rücken vor allem Innovations- und Zukunftsfähigkeit in den Fokus,“ erklärt Stefan Schubert, Consultant bei Lünendonk & Hossenfelder. „Ein reaktiver Gebäudebetrieb reicht nicht mehr aus – Facility Management muss Risiken systematisch erkennen, Ausfallszenarien antizipieren und Schutzmaßnahmen nachweisbar umsetzen.“

Das Whitepaper „KRITIS-Resilienz by Partnership – Wie Facility Management kritische Infrastruktur schützt“ steht unter www.luenendonk.de zum Download bereit.

Das KRITIS-Dachgesetz nimmt „Betreiber kritischer Anlagen“ in die Pflicht. Doch wer ist damit gemeint?

Betreiber ist, wer den „bestimmenden Einfluss“ (§ 2 Abs. 1) auf eine kritische Anlage ausübt, also die Kontrolle und Entscheidungshoheit über die betrieblichen Prozesse innehat. Kritische Anlagen umfassen neben Maschinen und Geräten auch die Betriebsstätte. Diese Akteure werden nachfolgend als KRITIS-Unternehmen bezeichnet.

KRITIS-Unternehmen können operative Aufgaben an externe Anbieter wie Facility-Service-Unternehmen übertragen. Die gesetzliche Verantwortung als Betreiber im Sinne des KRITIS-Dachgesetzes verbleibt davon jedoch unberührt.

Zwei Regelwerke, eine Verantwortung

Zwei europäische Regelwerke definieren den neuen Rahmen für den Schutz kritischer Infrastrukturen:

Das KRITIS-Dachgesetz adressiert die physische Resilienz kritischer Anlagen, die NIS2-Richtlinie die Cybersicherheit von Netz- und Informationssystemen. KRITIS-Unternehmen müssen beide Regelwerke berücksichtigen und physische wie digitale Risiken systematisch gemeinsam managen.

Für das Facility Management bedeutet das: Setzen KRITIS-Unternehmen in derGebäudeautomation auf vernetzte IT- und OT-Systeme, können Resilienzpflichten aus dem KRITIS-Dachgesetz und Cybersicherheitsanforderungen aus der NIS2-Richtlinie parallel greifen.

In der kommenden Ausgabe lesen Sie einen Beitrag zur NIS2-Richtlinie.