KRITIS-Dachgesetz: So reagieren die großen Verbände
Wie wir bereits vor zwei Monaten berichtet hatten, plant die Bundesregierung mit dem KRITIS-Dachgesetz hierzulande den (vor allem physischen) Schutz Kritischer Infrastrukturen zu verbessern. Mittlerweile haben weitere Verbände ihre Stellungnahmen dazu abgegeben. Ein neuer Referenten-Entwurf lässt jedoch weiterhin auf sich warten.
Der Ende Juli vorgestellte Gesetzentwurf zum KRITIS-Dachgesetz verfolgt das Ziel, ein kohärentes System für mehr Resilienz der Kritischen Infrastrukturen zu schaffen. Doch der Entwurf wurde von vielen Verbänden mit gemischten bis eher kritische Reaktionen aufgenommen. Der Tenor ist dabei oft der gleiche: Die Verbände unterstützen grundsätzlich das Vorhaben, stören sich aber an zentralen Aspekten, z.B. einem unklaren Anwendungsbereich oder widersprüchlichen Begrifflichkeiten mit anderen Gesetzen.
Bitkom: Mehr Harmonisierung und klare Zuständigkeiten nötig
So bewertet auch der Bitkom den Gesetzentwurf in seiner 15-seitigen Stellungnahme eher kritisch. Der Verband begrüßt zwar die Absicht der Bundesregierung, den Schutz der Bevölkerung und die Versorgung in Krisensituationen zu stärken, mahnt aber eine „praxistaugliche Umsetzung“ unter Beteiligung der Wirtschaft sowie die Beseitigung von Unklarheiten im Anwendungsbereich an.
„Das KRITIS-Dachgesetz sollte darauf abzielen, klare Zuständigkeiten zu definieren, Schutzpflichten zu harmonisieren, die Kooperation zwischen staatlichen Institutionen, Wirtschaft und Gesellschaft in der Vorbeugung und im Ernstfall zu optimieren und hierfür umfassende Notfall- und Krisenmanagementverfahren einzuführen.“
Zudem weist der Verband auf die Notwendigkeit hin, das KRITIS-Dachgesetz im Sinne einer ganzheitlichen Sicherheitsarchitektur mit anderen Regelungen auf nationaler und europäischer
Ebene abzustimmen, speziell mit dem NIS-2-Umsetzungsgesetz. Dieses soll unter anderem die Vorgaben zur IT-Sicherheit für Betreiber kritischer Infrastrukturen neu regeln, weshalb Bitkom für ein gemeinsames Gesetzgebungsverfahren für beide Gesetze plädiert.
Hinsichtlich Kritischer Komponenten, deren Einsatz auch über den IT-Bereich hinaus künftig von KRITIS-Betreibern angezeigt werden sollen, bemängelt der Bitkom, dass der entsprechende Artikel noch nicht ausformuliert bzw. bestehende Regelungen aus dem BSI-Gesetz nicht übernommen wurden: „Eine mögliche Ausweitung des Gesetzestextes auf Nicht-IT-Produkte stellt ein hohes unternehmerisches Risiko für die Betreiber dar“, da der Ermessensspielraum der Exekutive bei der Klassifizierung die Geschäftsbeziehungen zu Herstellern und Lieferanten maßgeblich beeinflusse.
BDI: Vollständige Bewertung nicht möglich
Der Bundesverband der Deutschen Industrie äußert sich in seiner Stellungnahme in ganz ähnlicher Form zum Gesetzentwurf, wird in seiner Kritik aber zum Teil deutlicher. So begrüßt der BDI zwar den verfolgten All-Gefahren-Ansatz, dem Anspruch eines Dachgesetzes werde der Entwurf jedoch nicht gerecht.
„Er vernachlässigt die ineinander verschränkte Risikolage im Cyber- und physischen Raum. Zudem ist er in weiten Teilen ungenau, Begrifflichkeiten werden inkonsistent verwendet.“
Wie auch der Bitkom fordert der BDI eine engere Einbindung der Wirtschaft, besonders mit Blick auf die nachgelagerten Rechtsverordnungen, sowie eine gemeinsame Implementierung der NIS-2-Richtlinie und der CER-Richtlinie in einem Gesetz.
Problematisch seien auch inkonsistente Definitionen zentraler Begriffe wie „kritische Anlagen“ oder „Kritische Infrastrukturen“ sowie das Fehlen klarer Kriterien zu deren Identifizierung. Zudem sollten Behörden, die in Krisenfällen koordinierende Aufgaben haben, z.B. das Bundesamt für Bevölkerungs- und Katastrophenschutz (BBK), ebenfalls zum KRITIS-Bereich zählen. Für Verwendung kritischer Komponenten sieht der BDI hingegen „keinen Regelungsbedarf“.
Insgesamt spricht sich der einflussreiche Bundesverband für eine weitere Runde der Verbändeanhörung aus, da zahlreiche Passagen im Gesetzentwurf offen gelassenen und sehr allgemein formuliert seien, weshalb eine vollständige Bewertung des Entwurfs nicht möglich sei. Weitere Stellungnahmen zum KRITIS-Dachgesetz haben u.a. der DGB, der BDEW oder der DVGW vorgelegt.
Was zu erwarten ist
Eine wichtige Forderung soll zumindest umgesetzt werden: im Rahmen der ersten Anhörung der Wirtschaft zur Umsetzung der EU-NIS-2-Richtlinie will das Bundesministerium des Innern und für Heimat nun die beiden Gesetze besser aufeinander abgestimmt, abweichende Begrifflichkeiten, Schwellenwerte, Zuordnungskriterien und Registrierungsanforderungen angeglichen werden.
Eigentlich sollte der Gesetzentwurf noch in diesem Jahr im Bundeskabinett beschlossen werden, damit anschließend das Parlament darüber beraten kann. Angesichts der breiten Kritik erscheint dieser Zeitplan aber mehr als fragwürdig. Es bleibt abzuwarten, ob es noch bis Ende dieses Jahres neue Entwurfstände für das KRITIS-Dachgesetz und der NIS 2 Umsetzung geben wird. Grundsätzlich bleibt aber auch noch Zeit, da alle EU-Mitgliedsstaaten, die dem KRITIS-Dachgesetz zugrundeliegende CER-Richtlinie spätestens bis 17. Oktober 2024 umgesetzt haben müssen.
Bei unserem Nachgefragt! am 16.11. mit Manuel Höferlin, dem innenpolitischen Sprecher der FDP-Fraktion erfahren wir vielleicht mehr, schauen Sie vorbei!
Weitere Informationen:
- DGB: https://www.dgb.de/downloadcenter/++co++61ee0584-4253-11ee-b6fd-001a4a160123
- BDEW-Stellungnahme: https://www.bdew.de/service/stellungnahmen/kritis-dachgesetz/
- eco neu (4.9.): https://www.eco.de/presse/eco-zum-kritis-dachgesetz-doppelregulierung-und-rechtsunsicherheiten-ausraeumen/
- DVGW Deutscher Verein des Gas- und Wasserfaches: https://www.dvgw.de/medien/dvgw/verein/aktuelles/stellungnahmen/dvgw-stellungnahme-refentwurf-cer-rl-kritis-dachgesetz.pdf sowie https://www.dvgw.de/der-dvgw/aktuelles/stellungnahmen/dvgw-stellungnahme-vom-20102023