News

Das KRITIS-Dachgesetz: Stärkung der physischen Resilienz

09.08.2023

Die staatliche Regulierung kritischer Infrastruktur geht in die nächste Runde und zielt auf die physische Resilienz von bedeutsamen Anlagen ab. Vor kurzem wurde der Entwurf des sogenannten KRITIS-Dachgesetzes zur Umsetzung der CER-Richtlinie bekannt (abrufbar etwa hier). Es geht also vor allem um den Schutz vor nicht-cyberbezogenen Gefahren. Bildlich gesprochen nimmt das das Dachgesetz die äußere Hülle von kritischen Anlagen in den Fokus: Wäre diese Hülle bereits brüchig, wären digitale Maßnahmen der IT-Sicherheit im „Inneren“ fast schon nutzlos. Die Regelungen betreffen verschiedene Sektoren, wie Energie, Transport, Gesundheitswesen und Informationstechnologie.

Der folgende Beitrag gibt Antworten auf die wichtigsten Fragen zu diesem neuen Gesetz.

Was ist das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz ist eine Ergänzung zum BSIG, das die Cybersecurity in Deutschland adressiert und gerade eine weitreichende Überarbeitung erfährt. Während das BSIG umfassende Pflichten zum Schutz vor digitalen Gefahren wie Hackerangriffen enthält, sieht das KRITIS-Dachgesetz mehrere Maßnahmen zur Stärkung der analogen Sicherheit vor.

Der Entwurf hat einen „All-Gefahren-Ansatz“, der die deutsche Infrastruktur vor jeglichen Gefährdungen physischer Art schützen soll, seien es Naturkatastrophen oder menschlich verursachte Bedrohungen. Das Ziel des Gesetzes ist die Stärkung der Resilienz von Betreibern kritischer Anlage, also deren Fähigkeit, einen Vorfall zu verhindern oder abzuwehren bzw. seine Folgen zu begrenzen (vgl. § 2 Nr. 6).

Die Betreiber kritischer Anlagen sind verpflichtet, sog. Resilienz-Maßnahmen zu ergreifen, die das zuständige Bundesamt für Bevölkerungsschutz und Katastrophenhilfe („BBK“) überwacht (vgl. § 3 Abs. 1). Als Schnittstelle zum IT-Sicherheitsrecht enthält das Gesetz daneben eine Reihe von Legaldefinitionen zu den Adressaten der NIS-2-Richtlinie, deren Pflichten künftig in der reformierten Fassung des BSIG zu finden sein werden.

Wer ist betroffen?

Das KRITIS-Dachgesetz richtet sich vor allem an die Betreiber von „kritischen Anlagen“. Der Kreis der Adressaten bestimmt sich anhand von zwei Kriterien: zum einen dem Einsatz der Anlage in einem bestimmten Sektor (Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, öffentliche Verwaltung oder Siedlungsabfallentsorgung) und zum anderen der Erreichung oder Überschreitung eines gewissen Schwellenwertes (vgl. § 4).

Darüber hinaus definiert das KRITIS-Dachgesetz als Scharnier zum IT-Sicherheitsrecht weitere Einrichtungen und Anlagen, die im (künftigen) BSIG näher reguliert werden, darunter „Kritische Infrastrukturen“ (vgl. § 2 Nr. 2), „kritische Dienstleistungen“ (vgl. § 2 Nr. 4), „besonders wichtige Einrichtungen (vgl. § 2 Nr. 11) und „wichtige Einrichtungen“ (§ 2 Nr. 12).

Der Ansatz des Entwurfs, die digitalen und analogen Bedrohungen übergreifend zu adressieren, ist positiv zu bewerten. Allerdings erschweren die vielen verschiedenen Begriffe eine leichte und einfache Handhabung des Gesetzes. Potentielle Adressaten müssen künftig noch genauer hinsehen, um herauszufinden, welcher Pflichtenkatalog nun konkret anwendbar ist.

Was müssen die Betroffenen tun?

Der Entwurf statuiert für die Betreiber von kritischen Anlagen mehrere Pflichten, die in ihrer Gestalt eine deutliche Ähnlichkeit zu den Vorgaben für die Betreiber von kritischen Infrastrukturen nach dem BSIG aufweisen (vgl. dazu insbesondere § 8a BSIG).

  • Zunächst müssen sich die Betreiber kritischer Anlagen beim BBK registrieren (vgl. § 8 Abs. 1). Sollte der Betreiber dieser Pflicht nicht nachkommen, kann die Behörde die Registrierung auch selbst vornehmen (vgl. § 8 Abs. 2).
  • Zusätzlich müssen die Betreiber eine Kontaktstelle benennen, die mithin rund um die Uhr erreichbar sein muss (vgl. § 8 Abs. 3 und 4).
  • Auf Basis dieser Registrierung sollen dann die Behörden staatliche Risikoanalysen und -bewertungen durchführen (vgl. § 9), zu denen auch die Betreiber kritischer Anlagen verpflichtet sind (vgl. § 10).
  • Die Kernaufgabe der Betreiber besteht allerdings in der Implementierung von geeigneten und angemessenen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Gewährleistung der Resilienz. Das KRITIS-Dachgesetz macht damit eine ähnlich abstrakte Vorgabe wie bereits das BSIG – mit dem Unterschied, dass die Maßnahmen nun auch „sicherheitsbezogen“ sein müssen. Der Gesetzesentwurf enthält keine detaillierten Vorgaben zu den Maßnahmen, sondern liefert lediglich Beispiele. Der Blick in den Beispielkatalog des Anhangs 1 offenbart keine Anhaltspunkte, die sich nicht bereits aus allgemeinen vernünftigen Erwägungen ergeben würden. So sollten der physische Schutz von Räumlichkeiten und die Festlegung von Zugangsrechten allgemeine Selbstverständlichkeiten sein.
  • Die Maßnahmen müssen in einem Resilienzplan dokumentiert werden (vgl. § 11 Abs. 6).
  • Die Erfüllung der Anforderungen sind in regelmäßigen Abständen nachzuweisen (§ 11 Abs. 11 Abs. 8).

Eine weitere Komponente, die den Betreibern kritischer Infrastrukturen bereits bekannt vorkommen dürfte, sind die „branchenspezifischen Resilienzstandards“ (vgl. § 8 Abs. 5). Ähnlich wie bei den branchenspezifischen Sicherheitsstandards nach § 8a Abs. 2 BSIG können die Betreiber kritischer Anlagen und ihre Branchenverbände die abstrakten Vorgaben des Gesetzes durch eigene Standards konkretisieren und sich die Eignung durch das BBK feststellen lassen.

Bei Störungen müssen die Betreiber umgehend an die Behörde Meldung machen (§ 12 Abs. 1). Die zeitlichen Vorgaben sind dabei äußerst streng. Die Benachrichtigung des BBK muss innerhalb von 24 Stunden nach Kenntnisnahme, ein ausführlicher Bericht nach einem Monat vorliegen (§ 12 Abs. 3).

Welche Konsequenz droht bei der Vernachlässigung des Gesetzes?

Bei Anwendung und Vollzug des Gesetzes bestehen ebenfalls viele Parallelen zum BSIG. Das BBK kann die Einhaltung der gesetzlichen Anforderungen vollständig überprüfen. Die Betreiber kritischer Anlagen müssen der Behörde dazu das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten gestatten, Unterlagen vorlegen sowie die die erforderliche Unterstützung gewähren (vgl. § 11 Abs. 9).

Soweit die ergriffenen Maßnahmen aus Sicht des BBK nicht ausreichen, kann es die erforderlichen Maßnahmen anweisen (vgl. § 11 Abs. 10). Bei Verstößen gegen das Gesetz drohen in vielen Fällen Bußgelder, unter anderem bei fehlender Registrierung, nicht rechtzeitiger Risikoanalyse oder mangelnder Unterstützung des BBK (vgl. § 19). Allerdings ist die genaue Höhe der Bußgelder im bisherigen Entwurf noch nicht festgelegt.

Wann kommt das Gesetz?

Nach den Inhalten des Entwurfs soll das KRITIS-Dachgesetz in mehreren Stufen eingeführt werden. Die wesentlichen Pflichten sollen zum 1. Januar 2026 in Kraft treten, während die Bußgeldvorschrift ab dem 1. Januar 2027 wirksam würde. Dieser Zeitrahmen soll den betroffenen Einrichtungen ausreichend Zeit geben, sich auf die neuen Anforderungen einzustellen und die erforderlichen Resilienzmaßnahmen umzusetzen.

Bislang handelt es sich bei dem Gesetz nur um einen Entwurf. Vor Verabschiedung können sich daher noch zahlreiche Änderungen ergeben. Allerdings ist der wesentliche Kerngehalt des Gesetzes europarechtlich vorgegeben.

Automotive & New Mobility
Compliance & Interne Untersuchungen
Cyber Risks
Datenschutz
Data Protection Litigation
Data Tech und Telecoms
Digital Business
Energie
IT & Outsourcing
Life Sciences
Telekommunikation

Share