Das KRITIS-Dachgesetz: Stärkung der physischen Resilienz

Die staatliche Regulierung kritischer Infrastruktur geht in die nächste Runde und zielt auf die physische Resilienz von bedeutsamen Anlagen ab. Im Dezember 2023 wurde der Referenten-Entwurf des Bundesinnenministeriums für ein sogenanntes KRITIS-Dachgesetz zur Umsetzung der CER-Richtlinie bekannt (abrufbar etwa hier; besonders positiv ist zu bewerten, dass das Ministerium sogar eine Übersicht wesentlicher Änderungen im Vergleich zum Vorentwurf bereitgestellt hat). Es geht also vor allem um den Schutz vor nicht-cyberbezogenen Gefahren. Bildlich gesprochen nimmt das das Dachgesetz die äußere Hülle von kritischen Anlagen in den Fokus: Wäre diese Hülle bereits brüchig, wären digitale Maßnahmen der IT-Sicherheit im „Inneren“ fast schon nutzlos. Die Regelungen betreffen insgesamt elf Sektoren, darunter Sektoren wie Energie, Transport, Gesundheitswesen und Informationstechnologie.

Der folgende Beitrag gibt Antworten auf die wichtigsten Fragen zu diesem neuen Gesetz.

Was ist das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz ist eine Ergänzung zum BSIG, das die Cybersecurity in Deutschland adressiert und gerade eine weitreichende Überarbeitung in Folge der NIS-2-Richtlinie erfährt. Während das BSIG umfassende Pflichten zum Schutz vor digitalen Gefahren wie Hackerangriffen enthält, sieht das KRITIS-Dachgesetz mehrere Maßnahmen zur Stärkung der analogen Sicherheit vor.

Der Entwurf hat einen „All-Gefahren-Ansatz“, der die deutsche Infrastruktur vor jeglichen Gefährdungen physischer Art schützen soll, seien es Naturkatastrophen oder menschlich verursachte Bedrohungen – seien sie auf unbeabsichtigtes oder vorsätzliches Handeln zurückzuführen. Das Ziel des Gesetzes ist die Stärkung der Resilienz von Betreibern kritischer Anlage, also deren Fähigkeit, einen Vorfall zu verhindern oder abzuwehren bzw. seine Folgen zu begrenzen (vgl. § 2 Nr. 5).

Die Betreiber kritischer Anlagen sind verpflichtet, sog. Resilienz-Maßnahmen zu ergreifen, die das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe („BBK“) (vgl. § 3 Abs. 2) oder andere zuständige Behörden wie etwa BSI, BaFin oder BNetzA überwachen. Als Schnittstelle zum IT-Sicherheitsrecht enthält das Gesetz daneben eine Reihe von Legaldefinitionen zu den Adressaten der NIS-2-Richtlinie, deren Pflichten künftig in der reformierten Fassung des BSIG zu finden sein werden.

Wer ist betroffen?

Das KRITIS-Dachgesetz richtet sich vor allem an die Betreiber von „kritischen Anlagen“. Der Kreis der Adressaten, der durch eine Rechtsverordnung noch genauer zu definieren sein wird, bestimmt sich anhand von zwei Kriterien: zum einen dem Einsatz der Anlage in einem bestimmten Sektor (Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, öffentliche Verwaltung oder Siedlungsabfallentsorgung) und zum anderen der Erreichung oder Überschreitung eines gewissen Schwellenwertes (vgl. § 4). Der Schwellenwert wird sich danach bestimmen, ob der Betreiber mit seiner Anlage mindestens 500.000 Einwohner versorgt. Kritische Anlagen entsprechen damit weitestgehend der Definition von kritischer Infrastruktur im Sinne des BSIG heute. Die zuständige Aufsichtsbehörde kann jedoch auch noch zusätzliche Unternehmen als Betreiber kritischer Anlagen qualifizieren. Soweit ein Betreiber die kritischen Anlage in oder für mindestens sechs Mitgliedstaaten betreibt, gilt er als kritische Einrichtungen von besonderer Bedeutung für Europa identifiziert und unterliegt besonderen Maßnahmen.

Darüber hinaus definiert das KRITIS-Dachgesetz als Scharnier zum IT-Sicherheitsrecht weitere Einrichtungen und Anlagen, die im (künftigen) BSIG näher reguliert werden, darunter „Kritische Anlagen“ (vgl. § 2 Nr. 3) und „kritische Dienstleistungen“ (vgl. § 2 Nr. 4).

Der Ansatz des Entwurfs, die digitalen und analogen Bedrohungen übergreifend zu adressieren, ist positiv zu bewerten. Im Vergleich zu den vorigen Entwürfen zu diesem Gesetz wirkt der vorliegende Referentenentwurf bereits deutlich aufgeräumter und abgestimmter mit der künftigen Fassung des BSIG..

Was müssen die Betroffenen tun?

Der Entwurf sieht für die Betreiber von kritischen Anlagen mehrere Pflichten vor, die in ihrer Gestalt eine deutliche Ähnlichkeit zu den Vorgaben für die Betreiber von kritischen Infrastrukturen nach dem BSIG aufweisen (vgl. dazu insbesondere § 8a BSIG).

• Zunächst müssen sich die Betreiber kritischer Anlagen bei der zuständigen Behörde registrieren (vgl. § 6 Abs. 1). Sollte der Betreiber dieser Pflicht nicht nachkommen, kann die Behörde die Registrierung auch selbst vornehmen (vgl. § 8 Abs. 3).
• Zusätzlich müssen die Betreiber eine Kontaktstelle benennen, die mithin rund um die Uhr erreichbar sein muss (vgl. § 6 Abs. 1 Nr. 1).
• Auf Basis dieser Registrierung sollen dann die Behörden staatliche Risikoanalysen und -bewertungen durchführen (vgl. § 8), zu denen auch die Betreiber kritischer Anlagen verpflichtet sind (vgl. § 9).
• Die Kernaufgabe der Betreiber besteht allerdings in der Implementierung von geeigneten und angemessenen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Gewährleistung der Resilienz. Das KRITIS-Dachgesetz macht damit eine ähnlich abstrakte Vorgabe wie bereits das BSIG – mit dem Unterschied, dass die Maßnahmen nun auch „sicherheitsbezogen“ sein müssen. Der Gesetzesentwurf enthält keine detaillierten Vorgaben zu den Maßnahmen, sondern liefert lediglich Beispiele. Der Blick in den Beispielkatalog des Anhangs 1 offenbart keine Anhaltspunkte, die sich nicht bereits aus allgemeinen vernünftigen Erwägungen ergeben würden. So sollten der physische Schutz von Räumlichkeiten und die Festlegung von Zugangsrechten allgemeine Selbstverständlichkeiten sein. Die Bundesministerien können, für die in ihrer Zuständigkeit liegenden Bereiche, Rechtsverordnungen zur Konkretisierung der Resilienzmaßnahmen erlassen.
• Die Maßnahmen müssen in einem Resilienzplan dokumentiert werden (vgl. § 10).
• Die Erfüllung der Anforderungen sind in regelmäßigen Abständen nachzuweisen (§ 11).

Eine weitere Komponente, die den Betreibern kritischer Infrastrukturen bereits bekannt vorkommen dürfte, sind die „branchenspezifischen Resilienzstandards“ (vgl. § 10Abs. 6). Ähnlich wie bei den branchenspezifischen Sicherheitsstandards nach § 8a Abs. 2 BSIG können die Betreiber kritischer Anlagen und ihre Branchenverbände die abstrakten Vorgaben des Gesetzes durch eigene Standards konkretisieren und sich die Eignung durch das BBK feststellen lassen.

Bei Störungen müssen die Betreiber umgehend an eine gemeinsame Meldestelle des BSI und des BBK Meldung machen (§ 12 Abs. 1). Die zeitlichen Vorgaben sind dabei äußerst streng. Die Benachrichtigung muss innerhalb von 24 Stunden nach Kenntnisnahme, ein ausführlicher Bericht nach einem Monat vorliegen (§ 12 Abs. 3).

Welche Konsequenz droht bei der Vernachlässigung des Gesetzes?

Bei Anwendung und Vollzug des Gesetzes bestehen ebenfalls viele Parallelen zum BSIG. Die zuständige Behörde kann die Einhaltung der gesetzlichen Anforderungen vollständig überprüfen. Die Betreiber kritischer Anlagen müssen der Behörde dazu das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten gestatten, Unterlagen vorlegen sowie die die erforderliche Unterstützung gewähren (vgl. § 11 Abs. 5).

Soweit die ergriffenen Maßnahmen aus Sicht der zuständigen Behörde nicht ausreichen, kann es die erforderlichen Maßnahmen anweisen (vgl. § 11 Abs. 6). Bei Verstößen gegen das Gesetz drohen in vielen Fällen Bußgelder, unter anderem bei fehlender Registrierung, nicht rechtzeitiger Risikoanalyse oder mangelnder Unterstützung der zuständigen Behörde(vgl. § 19). Allerdings ist die genaue Höhe der Bußgelder im bisherigen Entwurf noch nicht festgelegt.

Wann kommt das Gesetz?

Das KRITIS-Dachgesetz setzt die CER-Richtlinie um, die von den Mitgliedstaaten verlangt die Vorgaben bis zum 17. Oktober 2024 in nationales Recht zu gießen. Nach den Inhalten des vorliegenden Entwurfs soll das KRITIS-Dachgesetz in mehreren Stufen eingeführt werden. Die wesentlichen Pflichten sollen zum 17. Juli 2026 in Kraft treten. Dieser Zeitrahmen soll den betroffenen Einrichtungen ausreichend Zeit geben, sich auf die neuen Anforderungen einzustellen und die erforderlichen Resilienzmaßnahmen umzusetzen.

Bislang handelt es sich bei dem Gesetz nur um einen Entwurf. Vor Verabschiedung können sich daher noch zahlreiche Änderungen ergeben. Allerdings ist der wesentliche Kerngehalt des Gesetzes europarechtlich vorgegeben.