Kritische Infrastruktur: Das KRITIS-Dachgesetz ist auf dem Weg

Foto: Unsplash User David Arrowsmith | Ausschnitt bearbeitet
Foto: Unsplash User David Arrowsmith | Ausschnitt bearbeitet
Veröffentlicht am 25.08.2023

Um den Schutz Kritischer Infrastrukturen hierzulande zu verbessern, plant die Bundesregierung bereits seit längerem die Einführung des sogenannten KRITIS-Dachgesetzes. Ende Juli wurde nun ein entsprechender Gesetzentwurf veröffentlicht. Was der Entwurf beinhaltet und wie die Verbände ihn bewerten, fassen wir hier zusammen.

In einer zunehmend digitalisierten und vernetzten Welt ist die Sicherheit kritischer Infrastrukturen (KRITIS) von immenser Bedeutung. Zu ihrem Schutz auch über verschiedene Verantwortungsebenen hinweg soll das KRITIS-Dachgesetz beitragen. Es zielt darauf ab, erstmalig bundeseinheitliche und sektorenübergreifende Vorgaben zu schaffen, um kritische Anlagen zu identifizieren und die physische Resilienz durch entsprechende Maßnahmen und Mindeststandards zu erhöhen.

Warum das Gesetz notwendig ist

Zum einen soll damit die Zuständigkeit und Koordination zwischen Bund, Ländern und Kommunen geregelt werden. Zum anderen handelt es sich auch um eine Umsetzung der EU-Richtlinie über „Critical Entities Resilience“ (CER). Diese sieht vor, dass alle Mitgliedstaaten über eine nationale Strategie zur Stärkung der Resilienz kritischer Einrichtungen verfügen, regelmäßig eine Risikobewertung durchführen und eine Liste kritischer Einrichtungen erstellen. Außerdem ergänzt es das NIS 2-Umsetzungsgesetz, durch das der Cyberschutz der kritischen Infrastrukturen geregelt wird. Der deutsche Rahmen für den Schutz Kritischer Infrastrukturen wird somit in ein europäisches Gesamtsystem eingebettet.

Nancy Faeser, Bundesministerin des Innern und für Heimat | BMI | Quelle: Peter Jülich

„Mit dem KRITIS-Dachgesetz wollen wir die zukünftige Stärkung der Resilienz der Kritischen Infrastrukturen erreichen. Damit werden die Kritischen Infrastrukturen vor allen denkbaren Risiken, die durch die Natur oder den Menschen verursacht werden können, besser geschützt: sei es ein Unwetter, menschliches Versagen oder ein Sabotageakt.“ (Bundesinnenministerin Nancy Faeser)

Das Gesetz richtet sich an die Betreiber kritischer Anlagen in verschiedenen Sektoren – u.a. Energie, Transport, Wasserversorgung, Gesundheitswesen, Ernährung und Telekommunikation – unter der Voraussetzung, dass sie mindestens 500.000 Einwohner mit ihren Leistungen versorgen.

Neue Pflichten für KRITIS-Betreiber

Diese Betreiber müssen ihre Anlagen künftig bei einer Registerstelle anmelden, die gemeinsam vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geführt wird. Die Betreiber sind zudem verpflichtet, erstmals neun Monate nach der Registrierung und dann periodisch alle vier Jahre eigene Risikoanalysen und Bewertungen durchzuführen. Dabei sollen folgende Aspekte für die Anlagen betrachtet werden:

  • naturbedingte, klimatische und vom Menschen verursachte Risiken, die die Wirtschaftsstabilität beeinträchtigen,
  • Risiken sektorübergreifender und grenzüberschreitender Art,
  • hybride und andere feindliche Bedrohungen sowie
  • die Möglichkeit terroristischer Straftaten.

Jeder Betreiber muss darüber hinaus geeignete und verhältnismäßige Maßnahmen zur Gewährleistung der Resilienz ergreifen, sei es technischer oder organisatorischer Art. Kritische Vorfälle müssen an die zuständigen Behörden gemeldet werden unter der Angabe, wie viele Menschen von der Störung betroffen sind, wie lange sie voraussichtlich dauern wird und welches geografische Gebiet das umfasst.

Pressefoto: Bundesamt für Sicherheit in der Informationstechnik

Sanktionen und Zeitplan

Bei Verstößen gegen diese Pflichten kann das BBK Bußgelder gegen die Betreiber verhängen. Allerdings ist der Bußgeldrahmen im Gesetzesentwurf noch nicht festgelegt. Vor der Verhängung eines Bußgelds soll dem betroffenen Betreiber aber eine angemessene Frist eingeräumt werden, um den Pflichten nachzukommen. Die wesentlichen Pflichten des Gesetzes sollen zum 1. Januar 2026 in Kraft treten, die Bußgeldvorschrift erst ein Jahr später.

Änderungen am KRITIS-Dachgesetz, besonders in den Details, sind noch möglich, da es zunächst im Bundeskabinett beschlossen und dann im parlamentarischen Verfahren beraten werden muss. Dort müssen noch einige Punkte geklärt werden, zum Beispiel ist die Regelung zum Einsatz kritischer Komponenten (etwa von chinesischen Herstellern) noch nicht ausformuliert. Der Zeitplan der Bundesregierung sieht die Verabschiedung des Gesetzes aber noch in diesem Jahr vor.

Dabei darf nicht außer Acht gelassen werden, dass die Resilienz und Sicherheit der Telekommunikationsnetze bereits durch mehrere Gesetze (Telekommunikationsgesetz, BSI-Gesetz, IT-Sicherheitsgesetz) sowie beispielweise den Sicherheitskatalog der Bundesnetzagentur umfangreich reguliert sind. Eine einheitliche Begriffsdefinition sowie überschneidungs- und widerspruchsfreie Vorgaben sind daher entscheidend, um Doppelregulierung und zusätzliche Bürokratie zu vermeiden.

Gemischte Reaktionen der Verbände

Logo: Verband kommunaler Unternehmen (VKU)

Der Entwurf der Bundesregierung wurde im Juli bereits einige Tage vor der offiziellen Veröffentlichung geleakt, weshalb einzelne Verbände vorab dazu Stellung nehmen konnten. Der Verband kommunaler Unternehmen (VKU) etwa begrüßt die Fokussierung des Gesetzes auf die Betreiber kritischer Anlagen – anders als beim NIS 2-Umsetzungsgesetz, wo der Adressatenkreis auch die (besonders) wichtigen Einrichtungen umfasst. Ebenso werden die Einrichtung einer gemeinsamen Meldestelle, die eingeschränkte Möglichkeit für Bußgelder sowie angemessene Übergangsfristenfristen positive gesehen.

Kritik übt der VKU daran, dass die einheitliche Meldestelle nur das BSI und das BBK umfasst und andere Behörden außen vor bleiben, sowie dass das BBK trotz der neuen Aufgaben personell wohl nicht aufgestockt wird. Zudem vermisst der Verband eine Entscheidung zur Ressourcenverteilung und Priorisierung:

„Das Gesetz regelt daher nicht, dass Anlagen und Einrichtungen in bestimmten Situationen eine Bevorzugung erfahren sollen. Dies erscheint nicht konsistent, da im gleichen Sinne wie den Unternehmen aus gesamtgesellschaftlichen Erwägungen Pflichten auferlegt werden, diesen auch Rechte zugesprochen werden sollten.“

Kritik von eco

Logo: eco – Verband der Internetwirtschaft e.V.

Deutlich kritischer äußerte sich der Verband der Internetwirtschaft eco. Er bemängelt besonders die geringe Einbindung von betroffenen Institutionen und Verbänden in den Gesetzgebungsprozess und mahnt eine angemessene Beteiligung an. Dies entspreche sonst nicht dem Koalitionsvertrag. Problematisch sei zudem, dass die „künftige Verordnung zur Identifizierung kritischer Anlagen noch gar nicht absehbar“ ist und „das Verantwortungsgeflecht der Aufsichtsbehörden“ nicht transparent gemacht werde.

In der Branche wird darüber hinaus bemängelt, dass mit dem Artikel zum Einsatz kritischer Komponenten ein wesentliches Element des Dachgesetzes nicht ausformuliert ist, sondern nur als Platzhalter dient. Dabei wird dieser Abschnitt den Betrieb von kritischen Infrastrukturen entscheidend prägen und könnte gravierende Auswirkungen sowohl auf die Hersteller und Lieferanten als auch auf die ausbauenden Unternehmen haben. Besonders diese Vorschrift ist deshalb von zentraler Bedeutung für die Planungs- und Rechtssicherheit für die gesamte Branche und für den weiteren Fortschritt beim Ausbau der Gigabit-Netze.

Angesichts dieser Kritikpunkte könnte es im anstehenden parlamentarischen Verfahren durchaus noch zu relevanten Änderungen am Gesetz kommen. Vorausgesetzt, die vom KRITIS-Dachgesetz betroffenen Unternehmen und Verbände können ihre Hinweise und Bedenken noch entsprechend einbringen.

Schlagworte

Empfehlung der Redaktion