Festlegung von sektorübergreifenden physischen Resilienzmaßnahmen
Inoffizieller Entwurf zum Kritis-Dachgesetz bekannt geworden
Es ist eine inoffizielle Version des Kritis-Dachgesetzes bekannt geworden. Dessen Regelungen sollen neben die Regelungen aus dem NIS 2-Umsetzungsgesetz treten und stellen Vorgaben für die physische Resilienz von kritischen Infrastrukturen auf.
18.07.23
Es ist eine inoffizielle Version des Kritis-Dachgesetzes bekannt geworden. Dessen Regelungen sollen neben die Regelungen aus dem NIS 2-Umsetzungsgesetz treten und stellen Vorgaben für die physische Resilienz von kritischen Infrastrukturen auf.
Das Bundesministerium des Innern und für Heimat (BMI) hat am 17.07.2023 einen Entwurf des Kritis-Dachgesetzes (Kritis-DachG) im Rahmen der Ressortabstimmung an die restlichen Ressorts der Bundesregierung übersendet. Den Entwurf des Gesetzes finden Sie hier. Zuvor waren lediglich die Eckpunkte zum Kritis-DachG bekannt.
Das Kritis-DachG trifft erstmalig bundeseinheitliche und sektorenübergreifende Vorgaben, um kritische Anlagen zu identifizieren und normiert erstmalig sektorübergreifende Maßnahmen und Mindeststandards für physische Resilienzmaßnahmen. Das Gesetz setzt insbesondere die europäische CER-Richtlinie in deutsches Recht um. Es ergänzt das NIS 2-Umsetzungsgesetz, durch das der Cyberschutz der kritischen Infrastrukturen geregelt wird.
Wichtige Inhaltliche Punkte:
Adressat des Kritis-DachG sind die Betreiber von kritischen Anlagen. Kritische Anlagen (§§ 2 Nr. 3; 4 Kritis-DachG) sind Anlagen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben. Es muss sich hierfür
- um eine Anlagenart in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, öffentliche Verwaltung oder Siedlungsabfallentsorgung handeln und
- der maßgebliche Schwellenwert in der (noch zu erlassenden einheitlichen) KRITIS-Verordnung erreicht oder überschritten werden
Der Schwellenwert soll (wie auch bisher im BSI-Gesetz) bei 500.000 versorgten Einwohnern liegen. Es ist somit wahrscheinlich davon auszugehen, dass nur Unternehmen, die bereits jetzt Betreiber von kritischen Infrastrukturen sind, zukünftig auch Adressat des KRITIS-DachG sind.
Die Betreiber der kritischen Anlagen treffen zukünftig eine Vielzahl von Pflichten:
- Sie müssen ihre Anlage beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren und eine Kontaktstelle als Ansprechpartner für das BBK benennen (§ 8 KRITIS-DachG).
- Auf Grundlage der durchgeführten staatlichen Risikoanalyse und -bewertung und anderer Informationsquellen erstellen sie eine Risikoanalyse und -bewertung und erneuern diese alle vier Jahre (§ 10 KRITIS-DachG)
- Es müssen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz getroffen werden. Grundlage ist die vorherige Risikoanalyse und -bewertung. Dabei soll der Stand der Technik eingehalten werden (§ 11 KRITIS-DachG). Das Gesetz nennt hierbei verschiedene Ziele der Maßnahmen und nennt in Anhang 1 zum Gesetz beispielhaft einzelne Maßnahmen die zum Erreichen der Ziele umgesetzt werden können. Auch branchenspezifische Resilienzstandards sind möglich.
- Erhebliche Störungen müssen an eine gemeinsame Meldestelle von BBK und BSI gemeldet werden. Diese Meldung muss bis spätestens 24 Stunden nach Kenntnisnahme des Vorfalls erfolgen, es sei denn dies ist in operativer Hinsicht nicht möglich
Die zuständige Aufsichtsbehörde wird das BBK sein (§§ 3, 19 KRITIS-DachG).
Das BBK kann bei Verstößen gegen die zuvor genannten Pflichten Bußgelder verhängen, wobei der Bußgeldrahmen im Gesetzesentwurf noch nicht festgelegt ist. Die Möglichkeit ein Bußgeld zu verhängen wird allerdings eingeschränkt, denn das BBK muss zuvor den Betreiber einer kritischen Anlage auffordern innerhalb eine angemessenen Frist seinen Pflichten nachzukommen (§ 19 KRITIS-DachG).
Die Norm zum Einsatz von kritischen Komponenten (§ 13 KRITIS-DachG) ist noch nicht weiter ausformuliert.
Insbesondere auf Landesebene können weiter Vorgaben getroffen werden. Dies betrifft auch Maßnahmen um, das Personal der kritischen Anlagen arbeitsfähig zu halten (z.B. durch Gewährleistung einer Unterbringung von Kindern in Kindertagesstätten, § 5 KRITIS-DachG).
Andere, über die Mindestvorgaben nach dem KRITIS-DachG hinausgehende Anforderungen an die Betreiber kritischer Anlagen bleiben unberührt (§ 5 KRITIS-DachG).
Grundsätzlich soll das Gesetz am Tag nach seiner Verkündung in Kraft treten. Die maßgeblichen Pflichten für die Betreiber von kritischen Anlagen sollen allerdings erst zum 01.01.2026 in Kraft treten. Die Bußgeldvorschriften sollen erst am 01.01.2027 in Kraft treten (§ 20 Kritis-DachG).
Vorläufige Bewertung:
Nach erster Einschätzung setzt das KRITIS-DachG die CER-Richtlinie mit Augenmaß um. Größtenteils wird nicht über die CER-Richtlinie hinausgegangen, sondern diese wird lediglich in deutsches Recht übertragen.
Positiv ist insbesondere, dass lediglich die Betreiber der kritischen Anlagen Adressat der neuen Pflichten sind. Der Adressatenkreis des KRITIS-DachG wird nicht erweitert auf die (besonders) wichtigen Einrichtungen, wie es im NIS 2-Umsetzungsgesetz der Fall ist. Ferner wird zumindest für BSI und BBK eine gemeinsame Meldestelle etabliert und es können bereits von den Unternehmen vorgenommene Maßnahmen auf die neuen Resilienzpflichten angerechnet werden. Auch wurde die Möglichkeit Bußgelder zu verhängen eingeschränkt und es sind Übergangsfristenfristen gewählt wurden, die angemessen lang erscheinen.
Keine Einzelheiten finden sich zum Einsatz der kritischen Komponenten. Hierbei geht es insbesondere um den Einsatz von Komponenten von chinesischen Herstellern. Dies wird sicherlich noch Gegenstand einer intensiven politischen Debatte sein. Mit der Einbeziehung der Siedlungsabfallwirtschaft wird über die Vorgaben der CER-Richtlinie hinausgegangen.
Mit dem Gesetz soll keine Entscheidung zur Ressourcenverteilung getroffen werden. Das Gesetz regelt daher nicht, dass Anlagen und Einrichtungen in bestimmten Situationen eine Bevorzugung erfahren sollen. Dies erscheint nicht konsistent, da im gleichen Sinne wie den Unternehmen aus gesamtgesellschaftlichen Erwägungen Pflichten auferlegt werden, diesen auch Rechte zugesprochen werden sollten. Gleichzeit muss auch die Frage gestellt werden, wer die Durchführung der Maßnahmen finanziert. Denn letztlich erhöhen die Unternehmen damit nicht lediglich die eigene Resilienz, sondern tragen maßgeblich zur gesamtgesellschaftlichen Resilienz bei.
Die einheitliche Meldestelle soll wohl nur das BSI und das BBK, nicht aber auch andere Behörden erfassen. Hiermit besteht die Gefahr, dass der Grundsatz „Ein Vorfall eine Meldung“ nicht hinreichend umgesetzt wird.
Überdies gibt es keine Hinweise, dass das BBK personell aufgestockt werden soll. Es bleibt somit fraglich ist, ob das BBK seine vielen neuen Aufgaben angemessen wahrnehmen können wird.