WISSENSWERTES | 18.08.2023
KRITIS-Dachgesetz – Schutz Kritischer Infrastrukturen abseits von Cybersicherheit
Das neue KRITIS-Dachgesetz soll einen bundesweit einheitlichen, sektorübergreifenden Rahmen für Regelungen zum Schutz vor physischen Gefahren für die Kritische Infrastruktur schaffen. Für den Bereich der Cybersicherheit Kritischer Infrastrukturen ist mit dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) und der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritsV) bereits ein umfassendes Regelwerk vorhanden. Eine gesetzliche Regelung zum Schutz vor physischen Einwirkungen fehlt jedoch bislang.
Ziele des Gesetzes
Das nun geplante KRITIS-Dachgesetz dient der Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie). Der Referentenentwurf des Bundesministeriums des Inneren und für Heimat zum KRITIS-Dachgesetz definiert das Hauptziel in der Schaffung von einheitlichen Mindestverpflichtungen für Betreiber Kritischer Anlagen und deren Umsetzung durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen.
Indem Kritische Infrastrukturen als solche definiert und einheitliche Mindestvorgaben für Resilienzmaßnahmen in allen Sektoren vorgegeben werden, soll die Resilienz des Gesamtsystems der kritischen Infrastrukturen gestärkt werden. Dies ist für die Aufrechterhaltung wichtiger wirtschaftlicher Tätigkeiten und Funktionen unerlässlich. Der Begriff der Kritischen Infrastruktur umfasst dabei Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der wirtschaftlichen Tätigkeit, der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Betroffene Unternehmen
Das neue KRITIS-Dachgesetz spricht die Betreiber Kritischer Anlagen an. Diese definiert der Referentenentwurf als natürlich oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage ausübt.
Kritische Anlagen
Als Kritische Anlagen sind Anlagen zu verstehen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für wirtschaftliche Tätigkeiten, die öffentliche Sicherheit oder Ordnung eintreten würden. § 4 des Referentenentwurfes spricht konkret von Anlagenarten in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, öffentliche Verwaltung oder Siedlungsabfallentsorgung. Eine noch zu erlassende Rechtsverordnung soll Schwellenwerte bestimmen, welche die Kritischen Anlagen identifizieren.
Wenngleich die konkreten Schwellenwerte und Anlagenarten noch nicht feststehen, ist ein Rückgriff auf die bereits bekannten KRITIS Anlagen und Schwellenwerte aus den Anhängen der BSI-KritisV naheliegend. Wie dort ist es wahrscheinlich, dass die Schwellenwerte jeweils pro Anlage gelten sollen. Dies hätte zur Folge, dass Konzerne, Unternehmen oder Standorte selbst keine Kritischen Infrastrukturen darstellen, sondern eine Bewertung der einzelnen Anlage(n) als solche zu erfolgen hat.
Betreibern von Kritischen Anlagen wird in § 8 des Referentenentwurfs eine Registrierungspflicht auferlegt. Deshalb ist anzunehmen, dass die Einordnung der eigenen Anlage als eine Kritische Anlage nach dem KRITIS-Dachgesetz den Betreibern selbst obliegt.
Pflichten von Betreibern
Darüber hinaus reichen die geplanten Betreiberpflichten von der Einhaltung zusätzlicher Formalien wie der schon genannten Registrierung, Einhaltung von Meldepflichten und der Erbringung von Nachweisen bis hin zur Umsetzung von Resilienzmaßnahmen.
Erstmals neun Monate und dann spätestens alle vier Jahre nach der Registrierung haben Betreiber Risikoanalysen und –bewertungen durchzuführen. Auf der Grundlage dieser Ergebnisse sind durch die Betreiber nach § 11 des Referentenentwurfs geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen. Diese Maßnahmen sind zu dokumentieren und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (kurz: BBK) nachzuweisen.
Ausblick
Aktuell befindet sich das KRITIS-Dachgesetz noch im Stadium eines Referentenentwurfs, der selbst in der Bundesregierung noch nicht abschließend abgestimmt ist. Länder- und Verbändestellungnahmen wurden angefordert. Aufgrund der Regelung in Art. 26 der CER-Richtlinie, ist mit einer Umsetzung ins nationale Recht bis spätestens Oktober 2024 zu rechnen.
Einige der Maßnahmen werden aber wohl erst im Januar 2026 in Kraft treten, wie der Referentenentwurf in § 20 zeigt.