Die neue KRITIS-Verordnung: Erweiterung, Präzisierung und europarechtliche Kohärenz

Das deutsche IT-Sicherheitsrecht befindet sich in der Modernisierung und wurde in der vergangenen Zeit umfassend überarbeitet. Deutlich wird dies insbesondere durch die Umsetzung der NIS-2-Richtlinie in das neue BSI-Gesetz und das im März 2026 in Kraft getretene KRITIS-Dachgesetz, welches aus der Umsetzung der CER-Richtlinie resultiert. Gemeinsam sollen wichtige Einrichtungen in einer hybriden Bedrohungslage krisenfest gemacht werden, indem das BSIG den Schutz digitaler Sicherheit fokussiert und das KRITIS-Dachgesetz vornehmlich die physische Resilienz kritischer Anlagen im Blick hat.

In diesem Zuge erfolgt nun auch eine umfangreiche Anpassung der KRITIS-Verordnung. Hierfür operationalisiert das Bundesinnenministerium (BMI) mit dem Referentenentwurf zur neuen KRITIS-Verordnung die Vorgaben des KRITIS-Dachgesetzes an die Bestimmung der Eigenschaft einer Anlage als „kritisch“ (vgl. § 4 Abs. 3 und § 5 Abs. 1 und 2 KRITIS-Dachgesetz). Methodisch knüpft die Verordnung an die bisherige BSI-Kritisverordnung an und wird diese ab ihrem Inkrafttreten ablösen.

Als systematische Neuheit wird sich die Einordnung der Betreiber kritischer Anlagen sowohl für die physische Resilienz des KRITIS-Dachgesetzes als auch für die IT-Sicherheitspflichten nach dem BSIG (vgl. § 2 Nr. 22 und Nr. 24 BSIG) künftig aus nur einer Rechtsverordnung ergeben. Dies wird auch in den Rechtsfolgen deutlich.

Die Neuerungen der einzelnen Sektoren im Überblick

Bei der geplanten Verordnung fällt auf, dass nun eine Vielzahl neuer Unternehmen und Betreiber kritischer Anlagen erfasst wird. Dies erweitert den Anwendungsbereich und erfasst fortan auch kleinere, jedoch systemrelevante Anlagen. Inhaltlich stechen v.a. neue Anlagekategorien in den Sektoren Energie, Gesundheit, Transport/Verkehr, Finanzwesen sowie der neu geschaffene Sektor Weltraum hervor.

Energie

Der Entwurf reagiert damit sichtbar auf die Transformationsprozesse und technologische Entwicklung, insbesondere im Energiesektor. Die Aufnahme von Energiespeichern, Power-to-Gas-Anlagen, Fernkälte und Anbindungsinfrastruktur zeigt, dass nicht mehr nur klassische Großanlagen im Fokus stehen, sondern auch besonders kritische Bereiche des dekarbonisierten und digitalisierten Energiesystems. Insbesondere in den Kategorien Kraftstoff- und Heizölversorgung sowie Fernwärme und Fernkälteversorgung soll die KRITIS-Verordnung nun auch stärker differenzierte Steuerungs-, Bevorratungs- und Kälteinfrastrukturen umfassen.

Gesundheit

Im Gesundheitssektor zeigt der Entwurf eine deutliche Vorverlagerung der Kritikalität auf die Produktions- und Entwicklungsstrukturen, die für die Funktionsfähigkeit des Gesundheitssystems wesentlich sind.

In verschiedenen Sektoren werden nicht nur neue Anlagekategorien geschaffen, sondern auch Begriffe inhaltlich modernisiert und definitorisch präzisiert. So wird etwa im Sektor Gesundheit nunmehr auf den Terminus „versorgungsrelevant“ abgestellt, um essenzielle Arzneimittel und Wirkstoffe präziser zu erfassen. Zudem werden hierdurch gleichlaufend die Kategorien an unionsrechtliche Vorgaben und aktuelle Fachgesetze angepasst.

Finanzwesen

Im Finanzwesen werden mit dem Handelsplatz, dem Einlagengeschäft und der Kreditvergabe erstmals zentrale Markt- und Bankfunktionen als eigenständige Anlagenkategorien hervorgehoben. Der Entwurf stellt damit stärker auf eine operative Funktionsfähigkeit des Finanzsystems ab, die für die Marktstabilität, Zahlungsfähigkeit und Finanzierung essenziell ist.

Transport und Verkehr

Im Sektor Transport und Verkehr nimmt der Entwurf der neuen KRITIS-Verordnung eine deutlich stärkere Ausdifferenzierung und Neuzuordnung der Anlagenkategorien vor und trägt zugleich der zunehmenden Digitalisierung Rechnung. Insgesamt zeigt sich auch hierbei, dass Verkehrsinfrastrukturen nicht mehr nur anhand physischer Anlagen beschrieben werden, sondern auch digitale und operative Steuerungsfunktionen sowie betriebliche Schlüsselsysteme als kritisch eingeordnet werden. Dies wird insbesondere an der Einbeziehung von Computerreservierungssystemen, Global Distribution Systems (GDS) und der Verkehrssteuerung im Bereich des Luftverkehrs, der Eisenbahn, Schifffahrt sowie im Straßen- und öffentlichen Personennahverkehr deutlich.

Weltraum

Erstmals wird zudem der Sektor Weltraum eigenständig erfasst und bezieht nunmehr auch Raumfahrt- und satellitengestützte Dienste ausdrücklich ein.

Evaluierung statt endgültiger Festlegung: Schwellenwert der 500.000 betroffenen Bürgerinnen und Bürger auf dem Prüfstand?

Noch unklar ist, ob dies bereits der letzte große Entwurf sein wird. Im KRITIS-Dachgesetz sind viele neue Kriterien vorgegeben, die das Dogma der potentiellen Betroffenheit von mindestens 500.000 Bürgerinnen und Bürger eigentlich aufweichen sollten. Dies ist aus dem Entwurf jedoch noch nicht klar erkennbar. Der Schwellenwert wurde aus Erfahrungswerten und Analysen von Notfallkapazitäten aus den 2010er Jahren abgeleitet, was angesichts der steigenden Bedrohungslage sowie der zunehmenden Abhängigkeit von digitalen Prozessen nicht mehr zeitgemäß erscheinen könnte und mittelfristig einer Anpassung bedürfen wird. Erwähnenswert ist in diesem Zusammenhang die vorgesehene regelmäßige Evaluierung durch das BMI, welche zunächst nach zwei und anschließend alle fünf Jahre anberaumt ist. Dies könnte darauf hindeuten, dass der Schwellenwert auch in der KRITIS-Verordnung im Laufe der Zeit flexibler und so dem KRITIS-Dachgesetz angeglichen werden soll. Zumindest trüge die Regelung dazu bei, dass die geplante Verordnung dynamischer angelegt ist als die bisherige Systematik.

Pflichten der Betreiber kritischer Anlagen

Für Betreiber kritischer Anlagen ergeben sich die Pflichten regelmäßig aus dem BSIG und dem KRITIS-Dachgesetz.

Die bisherigen Pflichten aus § 8a BSIG a.F. wurden in den §§ 30 ff. BSIG ausgeweitet, neu strukturiert und als Risikomanagement-Pflichten ausgestaltet. Die Kernpflicht liegt in § 30 Abs. 1 BSIG, der alle regulierten Einrichtungen verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um ihre Netzwerk- und Informationssysteme zu schützen und Auswirkungen von Sicherheitsvorfällen zu minimieren. Unternehmen und Branchenverbände können hierzu weiterhin branchenspezifische Sicherheitsstandards (B3S) entwickeln, mit dem Vorteil, dass nun bei anerkannten B3S gesetzlich vermutet wird, dass mit ihrer Einhaltung zugleich die Anforderungen an die TOMs nach § 30 Abs. 1 BSIG erfüllt sind.

Betreiber kritischer Anlagen müssen weiterhin Systeme zur Angriffserkennung (SzA) einsetzen (§ 31 Abs. 2 BSIG). Hinzu kommen mehrstufige Meldepflichten bei erheblichen Sicherheitsvorfällen nach § 32 BSIG sowie bei Vorfällen mit (erheblicher) Beeinträchtigung kritischer Dienstleistungen nach § 18 KRITIS-Dachgesetz. Zudem normiert das KRITIS-Dachgesetz zusätzliche Anforderungen an Resilienzmaßnahmen und -pläne sowie Registrierungs-, Dokumentations- und Nachweispflichten (§§ 8, 16 KRITIS-Dachgesetz).

Fazit

Aus dem Referentenentwurf lassen sich drei wesentliche Neuentwicklungen ablesen. Erstens eine Erweiterung des Anwendungsbereichs, zweitens eine Präzisierung und funktionale Neuordnung sowie drittens eine strukturelle Änderung und stärkere Ausrichtung an der CER-Richtlinie, an transformierte Versorgungsstrukturen sowie eine Kohärenz mit der NIS2-Systematik. Dieser Gleichlauf verdeutlicht das unionsrechtliche Ziel, ein möglichst kohärentes, widerspruchsfreies und sektorübergreifend anschlussfähiges Schutzregime für kritische Einrichtungen und Dienste zu schaffen. Offen bleibt, ob die neue KRITIS-Verordnung bei der Flexibilisierung der Schwellenwerte künftig nachziehen wird. Insbesondere der Orientierungsmaßstab von 500.000 Betroffenen dürfte Gegenstand weiterer Diskussion und Evaluation bleiben.