KRITIS-Dachgesetz KRITIS-DachG

§ 13 Resilienzpflichten der Betreiber kritischer Anlagen; Resilienzplan

(1) Der Betreiber kritischer Anlagen ist verpflichtet, verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen, um:

  1. das Auftreten von Vorfällen zu verhindern,
  2. einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten,
  3. auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen,
  4. nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten,
  5. ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden zu gewährleisten, einschließlich des Personals externer Dienstleister, und
  6. das Personal für die unter den Nummern 1 bis 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen vertraut zu machen.

(2) Die Maßnahmen nach Absatz 1 sind auf Grundlage der nationalen Risikoanalysen und Risikobewertungen sowie der Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen zu treffen. Der Stand der Technik soll eingehalten werden.

(3) Zu den Maßnahmen nach Absatz 1 können insbesondere die folgenden zählen:

1. Zum Zweck des Absatzes 1 Satz 1 Nummer 1:

a) Maßnahmen der Notfallvorsorge und
b) Maßnahmen zur Anpassung an den Klimawandel,

2. Zum Zweck des Absatzes 1 Satz 1 Nummer 2:

a) Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente,
b) Instrumente und Verfahren für die Überwachung der Umgebung,
c) der Einsatz von Detektionsgeräten und
d) Zugangskontrollen,

3. Zum Zweck des Absatzes 1 Satz 1 Nummer 3:

a) Risiko- und Krisenmanagementverfahren und -protokolle und
b) vorgegebene Abläufe im Alarmfall,

4. Zum Zweck des Absatzes 1 Satz 1 Nummer 4:

a) Maßnahmen zur Aufrechterhaltung des Betriebs, darunter die Notstromversorgung und
b) die Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen,

5. Zum Zweck des Absatzes 1 Satz 1 Nummer 5:

a) die Festlegung

aa) von Kategorien von Personal, das kritische Funktionen wahrnimmt,
bb) von Zugangsrechten zu Liegenschaften, kritischen Anlagen und zu sensiblen Informationen sowie
cc) von angemessenen Schulungsanforderungen und Qualifikationen und

b) unbeschadet der Vorschriften über Zuverlässigkeitsüberprüfungen die Berücksichtigung von Verfahren für Zuverlässigkeitsüberprüfungen und die Benennung von Kategorien von Personal, die Zuverlässigkeitsüberprüfungen durchlaufen müssen,

6. Zum Zweck des Absatzes 1 Satz 1 Nummer 6:

a) Schulungen,
b) die Bereitstellung von Informationsmaterial und
c) Übungen.

(4) Der Betreiber kritischer Anlagen muss die Maßnahmen nach Absatz 1 in einem Resilienzplan darstellen und diesen anwenden. Aus dem Resilienzplan müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen. Auf die Risikoanalyse und Risikobewertung des Betreibers ist Bezug zu nehmen. Der Resilienzplan ist bei Bedarf sowie nach Durchführung einer Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen zu aktualisieren.

(5) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stellt bis spätestens 17. Juli 2026 Vorlagen und Muster für die Erstellung von Resilienzplänen auf seiner Internetseite bereit.

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!