Ustawa ramowa KRITIS 2026: Obowiązki dla operatorów w pigułce | Security Airline

W 2024 roku Niemcy po raz pierwszy wprowadziły jednolite obowiązki dla operatorów infrastruktury krytycznej za pośrednictwem ustawy ramowej KRITIS. Termin wdrożenia zbliża się do końca 2025 roku, a równocześnie dyrektywa NIS2 zaostrza wymagania dotyczące cyberbezpieczeństwa. W 2026 roku około 4500 przedsiębiorstw z dziesięciu sektorów będzie musiało wykazać się fizycznymi i cyfrowymi koncepcjami ochrony, a w przypadku naruszenia grożą im kary grzywny do 10 milionów euro.

Niniejszy przewodnik wyjaśnia, czego ustawa ramowa KRITIS wymaga od operatorów, czym różnią się te obowiązki od dotychczasowego rozporządzenia BSI-KritisV oraz gdzie leży punkt styku z dyrektywą NIS2. Szczególny nacisk położono na fizyczne obowiązki ochronne, ponieważ ochrona przed dronami, sabotażem i szpiegostwem zostanie po raz pierwszy jasno uregulowana w 2026 roku. Przeznaczony dla zarządów, inspektorów bezpieczeństwa informacji (ISB) i osób odpowiedzialnych za bezpieczeństwo w sektorach: energetyka, woda, żywność, transport, zdrowie, finanse, IT i telekomunikacja.

Uwaga: Ustawa ma charakter ramowy, wiele szczegółów zostanie doprecyzowanych w drodze rozporządzeń i standardów branżowych. Kto czeka na ostateczny tekst interpretacyjny, traci czas. Rozsądniej jest zacząć już teraz od jasnych obowiązków.

Co to jest KRITIS?

KRITIS to skrót od infrastruktury krytycznej i odnosi się do obiektów, których awaria lub zakłócenie miałoby poważne konsekwencje dla zaopatrzenia, bezpieczeństwa publicznego lub gospodarki. Dotychczas operatorzy byli klasyfikowani jako KRITIS tylko wtedy, gdy przekraczali określone progi, np. określoną liczbę obsługiwanych osób lub minimalną ilość wytwarzanych towarów. Dzięki ustawie ramowej KRITIS krąg ten się poszerza, a przede wszystkim obowiązki są po raz pierwszy jednolicie uregulowane.

Kompleksową analizę status quo zagrożeń dla infrastruktury krytycznej oraz roli, jaką odgrywają w tym drony, znajdziesz w naszym artykule Ochrona KRITIS przed dronami.

Co to jest ustawa ramowa KRITIS?

Ustawa ramowa KRITIS, oficjalnie Ustawa o wzmocnieniu odporności infrastruktury krytycznej (KRITIS-DachG), łączy fizyczne obowiązki ochronne dla operatorów KRITIS. Implementuje ona do prawa niemieckiego dyrektywę UE w sprawie odporności podmiotów krytycznych (CER, UE 2022/2557). Podczas gdy dyrektywa NIS2 reguluje cyberbezpieczeństwo, ustawa ramowa obejmuje jej fizyczny odpowiednik: zabezpieczenia budowlane, kontrolę dostępu, odporność łańcuchów dostaw oraz obronę przed zagrożeniami zewnętrznymi, w tym dronami.

Po raz pierwszy fizyczna i cyfrowa odporność są rozpatrywane w sposób zintegrowany. Federalny Urząd Ochrony Ludności i Pomocy w Katastrofach (BBK) przejmuje centralny nadzór nad obszarem fizycznym, natomiast BSI pozostaje odpowiedzialne za cyberbezpieczeństwo. Obie instytucje wymieniają się raportami sytuacyjnymi i zgłoszeniami incydentów.

Zakres obowiązywania i objęte sektory

Ustawa ramowa KRITIS obejmuje dziesięć sektorów. Uproszczony przegląd:

• Energia: Sieci energetyczne, elektrownie, farmy słoneczne i wiatrowe powyżej progu, infrastruktura gazowa
• Woda: Dostawcy wody pitnej, oczyszczalnie ścieków
• Żywność: Handel hurtowy, logistyka w sektorze spożywczym
• Transport i ruch drogowy: Lotniska, porty, sieci kolejowe, centra logistyczne
• Zdrowie: Szpitale, logistyka apteczna, laboratoria
• Finanse i ubezpieczenia: Banki, dostawcy usług płatniczych, ubezpieczyciele
• Technologia informacyjna i telekomunikacja: Centra danych, węzły wymiany ruchu internetowego, sieci komórkowe
• Państwo i administracja: Organy bezpieczeństwa, wymiar sprawiedliwości, usługi administracyjne
• Media i kultura: Radiofonia i telewizja, centra prasowe
• Gospodarka odpadami komunalnymi: Spalarnie odpadów, zakłady recyklingu

Instytucja jest uznawana za KRITIS, jeśli przekracza określone progi. Przykłady: operatorzy sieci energetycznych obsługujący ponad 500 000 osób, szpitale z ponad 30 000 przypadków hospitalizacji rocznie, producenci żywności z roczną produkcją powyżej 434 500 ton. Ustawa ramowa obniża niektóre progi, obejmując nowych aktorów, w tym po raz pierwszy centra logistyczne i centra danych o określonej pojemności.

Główne obowiązki w skrócie

Ustawa ramowa określa sześć kluczowych obowiązków:

1. Analiza ryzyka i zagrożeń

Operatorzy muszą sporządzić systematyczną analizę, która obejmuje zagrożenia naturalne, techniczne i ludzkie. Wyraźnie wymienione są drony, sabotaż, szpiegostwo i ataki hybrydowe. Analiza musi być aktualizowana co dwa lata.

2. Środki odporności

Na podstawie analizy należy wdrożyć środki techniczne i organizacyjne. W obszarze fizycznym obejmuje to ochronę obwodową, kontrolę dostępu, detekcję i gotowość na wypadek sytuacji awaryjnych. Konkretny dowód zgodności jest przedstawiany zgodnie ze stanem techniki, który jest precyzowany przez BBK w standardach branżowych.

3. Obowiązek zgłaszania incydentów

Wszystkie poważne incydenty muszą zostać zgłoszone właściwemu organowi nadzoru w ciągu 24 godzin, a szczegółowa ocena następuje po 72 godzinach. Przeloty dronów z podejrzeniem szpiegostwa lub sabotażu są traktowane jako poważny incydent.

4. Koncepcje awaryjne i wznowienia działalności

Operatorzy muszą udokumentować, w jaki sposób wznawiają działalność po incydencie, jak funkcjonują struktury zapasowe oraz jakie rezerwy kadrowe posiadają. Ćwiczenia są obowiązkowe co trzy lata.

5. Odporność łańcuchów dostaw

Ochrona wykracza poza bramę zakładu. Kto jest uzależniony od niewielu dostawców, musi sprawdzić alternatywy, zabezpieczyć łańcuchy logistyczne i udokumentować pojedyncze punkty awarii.

6. Wyznaczenie pełnomocnika ds. odporności

Każdy operator KRITIS wyznacza osobę odpowiedzialną, która pełni funkcję łącznika z organem nadzoru i odpowiada za wdrożenie. W dużych koncernach jest to często Chief Security Officer.

Ochrona przed dronami jako obowiązek KRITIS

Ochrona przed bezzałogowymi statkami powietrznymi jest po raz pierwszy jasno uregulowana w ustawie ramowej KRITIS. Uzasadnienie odnosi się do gwałtownego wzrostu liczby przelotów dronów nad obiektami krytycznymi, które Federalny Urząd Kryminalny szacuje na ponad 1000 incydentów w 2025 roku. Konkretnie oznacza to:

• Analiza ryzyka musi zawierać ocenę zagrożenia ze strony dronów.
• Środki odporności muszą przewidywać wykrywanie dronów i drogi zgłaszania incydentów.
• Przeloty dronów z podejrzeniem szpiegostwa lub sabotażu są incydentami podlegającymi zgłoszeniu.
• Koncepcje awaryjne muszą opisywać łańcuchy reakcji na zdarzenia związane z dronami.

Czego nie ma w ustawie ramowej, ale jest praktycznie obowiązkowe: aktywna obrona przed dronami (zagłuszanie, spoofing GNSS, kinetyczne środki rażenia) pozostaje zarezerwowana dla organów państwowych. Operatorzy muszą zatem pracować z łańcuchem wykrywania i zgłaszania i mogą wykorzystywać autonomiczne drony szybkiego reagowania wykorzystywać, aby w ciągu kilku minut zweryfikować incydenty.

Sensowna architektura zgodna z KRITIS łączy detekcję RF, radar, optykę i czujniki akustyczne. Więcej na temat konkretnego wdrożenia w artykule Obrona i detekcja dronów.

Interfejs z dyrektywą NIS2

NIS2 (UE 2022/2555) to cyfrowy odpowiednik ustawy ramowej i została uchwalona w Niemczech w 2024 roku jako ustawa implementująca NIS2. Kto jest KRITIS, prawie zawsze podlega również NIS2 i musi dodatkowo:

• Dokumentować środki zarządzania ryzykiem w zakresie bezpieczeństwa IT.
• Zgłaszać incydenty cybernetyczne w ciągu 24 godzin, ocena po 72 godzinach.
• Zarząd ponosi osobistą odpowiedzialność w przypadku naruszenia obowiązków.
• Zarządzać ryzykami związanymi z dostawcami.

W praktyce oznacza to: analiza ryzyka zgodnie z ustawą ramową KRITIS i NIS2 powinna zostać połączona, podobnie jak ścieżki zgłaszania incydentów. Organy nadzoru (BBK plus BSI) wymieniają się informacjami, co pozwala uniknąć podwójnej dokumentacji.

KRITIS Terminy i grzywny

Ustawa ramowa KRITIS wchodzi w życie stopniowo. Najważniejsze daty 2026 w skrócie:

• Q2 2026: Złożyć pierwszą analizę ryzyka w BBK
• Q4 2026: Środki odporności wdrożone i udokumentowane
• Od 2027 roku i w kolejnych latach: Obowiązek zgłaszania incydentów wchodzi w życie, rozpoczynają się audyty przeprowadzane przez BBK
• Co 2 lata: Aktualizacja analizy ryzyka
• Co 3 lata: Ćwiczenia dotyczące koncepcji awaryjnych i wznowienia działalności

Grzywny są drastyczne: do 10 milionów euro lub 2 procent światowego rocznego obrotu, w zależności od tego, która wartość jest wyższa. Zarządy mogą ponosić osobistą odpowiedzialność. W przypadku systematycznych naruszeń dodatkowo grozi utrata zezwolenia na prowadzenie działalności.

Wdrożenie w 90 dni: Plan działania

Kto rozpocznie wdrożenie w 2026 roku, może osiągnąć stabilny stan w ciągu 90 dni. Poniższy harmonogram sprawdził się w doradztwie dla operatorów infrastruktury krytycznej (KRITIS):

Dzień 1 do 10: Inwentaryzacja

Inwentaryzacja wszystkich lokalizacji, obiektów, dostawców. Identyfikacja progów KRITIS, wyznaczenie pełnomocnika ds. odporności, pierwsze warsztaty z interesariuszami.

Dzień 11 do 30: Analiza ryzyka i zagrożeń

Ustrukturyzowana ocena zagrożeń naturalnych, ryzyk technicznych, sabotażu, szpiegostwa i zagrożeń ze strony dronów. Wynikiem jest rejestr priorytetowych działań.

Dzień 31 do 60: Wdrożenie szybkich usprawnień

Szybko wdrażalne działania: poprawa kontroli dostępu, aktualizacja planów awaryjnych, wprowadzenie 24-godzinnego łańcucha zgłoszeń, projekt pilotażowy wykrywania dronów w jednej lokalizacji. Zalecamy równoległe dostosowanie ochrony obiektów do nowych zadań, więcej na ten temat w artykule Ochrona w centrach logistycznych.

Dzień 61 do 90: Architektura i przygotowanie do audytu

Budowa systemu obrazowania sytuacji, wdrożenie czujników, szkolenie personelu, próba generalna dla ścieżek zgłaszania incydentów. Na koniec uzyskujemy udokumentowany stan, który wytrzyma pierwszy audyt BBK.

Podsumowanie

Ustawa ramowa KRITIS zmienia zasady gry dla około 4500 operatorów infrastruktury krytycznej w Niemczech. Rok 2026 będzie rokiem wdrożenia, ponieważ od IV kwartału środki odpornościowe muszą być udokumentowane, a od 2027 roku rozpoczną się audyty. Kto zacznie wcześnie, uniknie kosztownych projektów realizowanych w pośpiechu i jednocześnie wypełni luki we własnej obronie przed dronami, sabotażem i atakami hybrydowymi.

Security Airline wspiera operatorów KRITIS od analizy ryzyka po całodobową (24/7) eksploatację systemów wykrywania dronów. Mini-mur antydronowy, który realizujemy za pomocą sensorów RF, radaru, autonomicznych dronów z systemu Arrow-401 oraz centrum operacyjnego VdS, jest zgodny z KRITIS i gotowy do audytu.

Kolejne kroki

Czy są Państwo operatorem KRITIS i chcą bezproblemowo przejść audyt w 2026 roku?

Security Airline dostarcza analizę ryzyka zgodną z KRITIS, dopasowaną koncepcję ochrony przed dronami oraz plan wdrożenia, który odpowiada Państwa terminom.

• Analiza ryzyka i zagrożeń zgodnie z §6 KRITIS-DachG
• Wykrywanie dronów i system DFR zgodny ze stanem techniki
• Podłączenie do certyfikowanej przez VdS centrali monitoringu
• Przygotowanie do audytu i pakiet dokumentacji

Kontakt: +49 30 921 046 38   |   Zapytaj o doradztwo KRITIS

‍