KRITIS-Dachgesetz KRITIS-DachG

§ 13 Resilienzpflichten der Betreiber kritischer Anlagen; Resilienzplan

(1) Der Betreiber kritischer Anlagen ist verpflichtet, nach Maßgabe der Absätze 2 und 3 Maßnahmen zur Gewährleistung seiner Resilienz zu treffen, um

  1. das Auftreten von Vorfällen zu verhindern,
  2. einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten,
  3. auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und
  4. nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten.

(2) Für die Erreichung der Ziele sind auf Grundlage der nationalen Risikoanalysen und Risikobewertungen sowie der Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zu treffen. Der Stand der Technik soll eingehalten werden. Insgesamt ist ein Verhältnismäßigkeitsmaßstab anzuwenden. Dabei ist eine Zweck-Mittel-Relation vorzunehmen, bei der insbesondere der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls gegen das Risiko eines Vorfalls abzuwägen ist. Wirtschaftliche Aspekte, darunter die Leistungsfähigkeit des Betreibers, sind zu berücksichtigen.

(3) Zu den Maßnahmen zur Erreichung der Ziele nach Absatz 1 können die folgenden zählen, soweit ihnen nicht bereits bestehende spezialgesetzliche Regelungen in den jeweiligen Branchen vorgehen:

  1. zum Zweck der Zielerreichung nach Absatzes 1 Nummer 1 zählen Maßnahmen der Notfallvorsorge,
  2. zum Zweck der Zielerreichung nach Absatzes 1 Nummer 2 zählen:
    a) Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente,
    b) Instrumente und Verfahren für die Überwachung der Umgebung,
    c) der Einsatz von Detektionsgeräten und
    d) Zugangskontrollen,
  3. zum Zweck der Zielerreichung nach Absatzes 1 Nummer 3 zählen:
    a) Risiko- und Krisenmanagementverfahren und -protokolle und
    b) vorgegebene Abläufe im Alarmfall,
  4. zum Zweck der Zielerreichung nach Absatzes 1 Nummer 4 zählen:
    a) Maßnahmen zur Aufrechterhaltung des Betriebs, darunter die Notstromversorgung
    und
    b) die Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen,
  5. ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden zu gewährleisten, einschließlich des Personals externer Dienstleister, und
  6. das Personal für die unter den in Absatz 1 Nummer 1 bis 4 sowie in Nummer 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen vertraut zu machen.

(4) Der Betreiber kritischer Anlagen muss die Maßnahmen nach Absatz 1 in einem Resilienzplan darstellen und diesen anwenden. Aus dem Resilienzplan müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen. Auf die Risikoanalyse und Risikobewertung des Betreibers ist Bezug zu nehmen. Der Resilienzplan ist bei Bedarf sowie nach Durchführung einer Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen zu aktualisieren.

(5) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stellt bis einschließlich 17. Januar 2026 Vorlagen und Muster für die Erstellung von Resilienzplänen auf seiner Internetseite bereit.

Stand: 05.11.2024

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!