Das KRITIS-Dachgesetz

Von der Alarmierung von Rettungskräften über den Zahlungsverkehr bis hin zur Stromversorgung - Kritische Infrastrukturen (KRITIS) sind für unsere Gesellschaft unverzichtbar. Wir alle sind im Alltag und vor allem in Extremsituationen darauf angewiesen. Die Verfügbarkeit kritischer Infrastrukturen sichert nicht nur die Handlungsfähigkeit staatlicher Institutionen, sondern ist auch die Voraussetzung für gesellschaftliches und wirtschaftliches Handeln.

Der Umfang Kritischer Infrastrukturen ist groß und die Gefahren vielfältig, von Naturkatastrophen und Epidemien über hybride Bedrohungen, menschliches Versagen, Terroranschläge und Sabotageaktivitäten bis hin zur unzureichenden Versorgung mit wesentlichen Betriebsressourcen, beispielsweise aufgrund eines Kollaps von Lieferketten. Die COVID-19-Pandemie sowie auch der Ukrainekrieg haben die Bedeutung und die Verwundbarkeit der Kritischen Infrastrukturen und die daraus resultierenden gesamtgesellschaftlichen Auswirkungen klar aufgezeigt. Die Resilienz von KRITIS ist für den Schutz und die Handlungsfähigkeit von Bevölkerung, Wirtschaft und Staat in Deutschland essentiell.

Das KRITIS-Dachgesetz

Um die Resilienz und physische Sicherheit von kritischen Betreibern zu stärken, soll das KRITIS-Dachgesetz als neues Element in der Regulierung Kritischer Infrastrukturen implementiert werden. Im Bereich der Cybersicherheit Kritischer Infrastrukturen gibt es mit dem BSI-Gesetz sowie dem BSI-KritisV bereits umfangreiche Regularien. Mit Beschluss des KRITIS-Gesetzesentwurfs wurden jedoch erstmals kritische Infrastrukturen auf Bundesebene identifiziert und Mindestanforderungen für den physischen Schutz für Betreiber dieser festgesetzt. Das KRITIS-Dachgesetz ist als Ergänzung der bestehenden Regularien zum Cyberschutz von Kritischen Infrastrukturen zu verstehen.

Das KRITIS-Dachgesetz ordnet ein und ergänzt sektorenspezifische gesetzliche und nicht-gesetzliche Regelungen. Es ist geplant, auf der Grundlage des KRITIS-Dachgesetzes wichtige Informationen zur Lage in den einzelnen KRITIS-Sektoren zu sammeln, um ein umfassendes Lagebild zu erstellen. Auf dieser Grundlage können im Rahmen der Zuständigkeit von Bund und Ländern weitere sektorenspezifische Vorschriften oder Empfehlungen getroffen werden, um eventuelle Regelungslücken zu schließen.

Auch soll das KRITIS-Dachgesetz die Zusammenarbeit der am Schutz von kritischen Infrastrukturen beteiligten Parteien auf Betreiber- und staatlicher Seite verbessern und klarer strukturieren.

Das KRITIS-Dachgesetz nimmt alle kritischen Infrastrukturen in den Blick und definiert, welche Unternehmen und Einrichtungen mit Blick auf den physischen Schutz für die Gesamtwirtschaft verpflichtende Resilienzmaßnahmen ergreifen müssen.

Zwei Kriterien müssen erfüllt sein: Wenn eine Einrichtung

1. essenziell für die Gesamtversorgung in Deutschland ist und
2. mehr als 500.000 Personen versorgt,

zählt sie zu den "kritischen Anlagen", die vom KRITIS- Dachgesetz erfasst sind.

Welche Ziele verfolgt das KRITIS-Dachgesetz?

Das neue Dachgesetz verfolgt unter anderem folgende Ziele:

• Klare Identifizierung von Kritischen Infrastrukturen
• Stärkung der Resilienz des Gesamtsystems der Kritischen Infrastruktur durch einheitliche Mindestvorgaben für Resilienzmaßnahmen in allen Sektoren
• Gewährleistung der Funktionsfähigkeit durch Betreiber Kritischer Infrastrukturen, ergänzt um verpflichtende Schutzstandards für die physische Sicherheit
• Implementierung eines staatlichen Rahmens

KRITIS klar identifizieren

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) erfordert die Identifizierung von kritischen Infrastrukturen in mindestens elf Sektoren (Energie, Verkehr, Banken, Finanzmärkte, Gesundheit, Trinkwasser und Abwasser, Digitale Infrastruktur, öffentliche Verwaltung, Weltraum und Lebensmittel (Produktion, Verarbeitung und Vertrieb). Außerdem wird der Bereich KRITIS "Kultur und Medien" angemessen berücksichtigt. Es ist wichtig, auch den Bereich Bildung und Betreuung in Betracht zu ziehen, da die Funktionalität von entscheidender Bedeutung für die Erhaltung der wichtigen Infrastrukturen ist. Bei der Bewertung der kritischen Infrastrukturen werden sowohl quantitative als auch qualitative Kriterien wie die Anzahl der Nutzer sowie die Bedeutung der Infrastruktur für die Aufrechterhaltung der kritischen Dienstleistung berücksichtigt.

Bedrohungslage und Risiken besser erkennen

Die Risiken für wichtige Infrastrukturen werden regelmäßig untersucht. Die staatlichen Risikobewertungen für kritische Dienstleistungen geben den Betreibern eine Grundlage für ihre eigenen regelmäßigen spezifischen Risikobewertungen und die darauf basierenden Maßnahmen. Durch die Durchführung dieser Risikobewertungen werden die Risiken systematisch bekannt gemacht. Dabei werden sowohl sektorenübergreifende als auch grenzüberschreitende Risiken sowie alle relevanten natürlichen und vom Menschen verursachten Risiken berücksichtigt (All-Gefahren-Ansatz). In regelmäßigen Abständen, mindestens alle vier Jahre, werden Risikobewertungen durchgeführt, um einen dynamischen Lernprozess zu ermöglichen, der zu angepassten Maßnahmen und somit zu einer kontinuierlichen Erhöhung der Resilienz führt.

Schutzniveau verbindlich erhöhen

Um die kritischen Infrastrukturen umfassend gegen Gefahren zu schützen und als Teil des Gesamtsystems resilienter zu werden, werden den Betreibern der kritischen Infrastrukturen in allen Sektoren die gleichen Mindestvorgaben im Bereich der physischen Sicherheit auferlegt. Dies gibt den Betreibern eine Orientierung für ihr Verhalten und gibt den Aufsichtsbehörden den Auftrag, explizit Maßnahmen zum Schutz von kritischen Infrastrukturen in Betracht zu ziehen. Das Ziel dieser Vorschriften ist es, die bereits bestehenden Vorschriften im Bereich der Cybersicherheit von kritischen Infrastrukturen zu ergänzen.

Dazu gehören:

• die Implementierung eines betrieblichen Risiko- und Krisenmanagements,
• die Durchführung von Risikoanalysen und -bewertungen,
• die Erstellung von Resilienzplänen und
• die Umsetzung geeigneter und angemessener technischer, personeller und organisatorischer Maßnahmen für die jeweilige Einrichtung.

Störungen des Gesamtsystems erkennen und beheben

Durch die Implementierung eines zentralen Störungs-Monitorings als zusätzliches Meldewesen im Bereich der Cybersicherheit wird es möglich, einen umfassenden Überblick über mögliche Schwachstellen beim physischen Schutz von kritischen Infrastrukturen zu erhalten. Andere von einem Sicherheitsvorfall betroffene kritische Infrastrukturen, auch in anderen Mitgliedstaaten, können durch die Meldung des Vorfalls gewarnt werden. Es ist deshalb unerlässlich, dass die erste Meldung schnell an die zuständige Behörde gesendet wird.

Einen institutionellen Rahmen schaffen

Die Zusammenarbeit der vielen am Schutz Kritischer Infrastrukturen beteiligten Akteure auf staatlicher Seite und bei den Betreibern Kritischer Infrastrukturen wird klarer herausgearbeitet. Eine bessere Zusammenarbeit wird durch klare Verantwortlichkeiten, Ansprechpartner und Rangfolgen für Fragestellungen im Zusammenhang mit der Resilienz Kritischer Infrastrukturen gefördert.

Im Geschäftsbereich des Bundesministeriums des Innern und für Heimat (BMI) wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) im Rahmen der Bundeszuständigkeit zu der übergreifenden zuständigen Behörde für den physischen Schutz Kritischer Infra- strukturen im Rahmen verfügbarer Haushaltsmittel ausgebaut. Eine derartige übergreifende zuständige und verantwortliche Behörde ist für das mit dem KRITIS-Dachgesetz verfolgten Ziel der Betrachtung des Gesamtsystems erforderlich.

Kritische Stimmen gegenüber dem Gesetzesentwurf

Der Versuch des Innenministeriums, die verschiedenen Bereiche mit Hilfe des Dachgesetzes enger zu verzahnen, ist laut dem Verband der Kommunalen Unternehmen (VKU), ein Schritt in die richtige Richtung:

„Das deutet auf einen Paradigmenwechsel zu „ein Vorfall, eine Meldung“ hin: Wer attackiert wurde, versinkt dann nicht länger im Melde-Dschungel“.

Jedoch stößt nicht jeder Lösungsansatz auf Wohlwollen. Das KRITIS-Dachgesetz sieht die Autonomität der Bundesländer vor - auch was den Katastrophenschutz angeht. Dies führte in den Vergangenheit häufig zu Koordinationsproblemen, die nun wohl auch zukünftig nicht behoben werden.

Auch die Frage, welche Strafen bei Nichtbefolgung der auferlegten Regularien drohen, bleibt ungeklärt. Gemäß CER-Richtlinie müssen diese „wirksam, verhältnismäßig und abschreckend“ sein.

Quellen:

Das KRITIS-Dachgesetz (aufgerufen am 11.11.2023)

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (aufgerufen am 11.11.2023)

https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/nachrichten/2022/eckpunkte-kritis.pdf?__blob=publicationFile&v=1 (aufgerufen am 12.11.2023)

KRITIS-Dachgesetz: Schutzvorhaben mit eklatanten Lücken (aufgerufen am 12.11.2023)