Nachdem das Bundesministerium des Inneren und für Heimat (BMI) im vergangenen Jahr ein erstes Eckpunktepapier für das KRITIS-Dachgesetz veröffentlicht hat, wurde am 28.07.2023 ein entsprechender Gesetzesentwurf vorgelegt. „KRITIS“ steht für „Kritische Infrastrukturen“, also Systeme und Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Versorgung und Sicherheit hätte.
Mit dem KRITIS-Dachgesetz soll neben dem bereits etablierten Schutz Kritischer Infrastrukturen im Bereich der IT-Sicherheit durch das BSI-Gesetz und die BSI-Kritisverordnung (BSI-KritisV) der physische Schutz Kritischer Infrastrukturen verstärkt werden. Während die Bedrohungslage durch Cyberangriffe den öffentlichen Diskurs schon länger beherrscht, sind etwa die Vulnerabilität von Lieferketten durch die Auswirkungen der Corona-Pandemie und die Notwendigkeit der Diversifizierung der Energieversorgung angesichts des Anschlags auf die Nord-Stream-Pipelines erst in den letzten Jahren in den Vordergrund gerückt.
Das KRITIS-Dachgesetz setzt die Richtlinie der EU über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um. Die CER-Richtlinie verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschlägen oder Sabotage zu stärken.
Die wesentlichen Ziele des KRITIS-Dachgesetzes sind,
eine Ergänzung der durch die BSI-KritisV festgelegte Definition Kritischer Infrastrukturen,
einen Rechtsrahmen zu schaffen, um Bedrohungen und Risiken frühzeitig zu erkennen und
das Schutzniveau durch präventive Maßnahmen zu erhöhen.
Anwendbarkeit des KRITIS-Dachgesetzes
Maßgeblich für die Anwendbarkeit des KRITIS-Dachgesetzes ist die Zugehörigkeit zu einem bestimmten wirtschaftlichen Sektor und die Überschreitung eines sich an der Versorgungskapazität einer Einrichtung orientierenden Schwellenwertes.
Es werden elf Sektoren festgelegt, die als kritische Infrastrukturen betrachtet werden, darunter insbesondere Energie, Transport und Verkehr, Bankwesen, Gesundheitswesen, und digitale Infrastruktur. Neu gegenüber den bereits auf Grundlage der BSI-KritisV als kritisch eingestuften Sektoren, sind die Bereiche Weltraum und Öffentliche Verwaltung.
Der für die Anwendbarkeit des KRITIS-Dachgesetzes maßgebliche Schwellenwert liegt bei einer Versorgung von mehr als 500.000 Menschen.
Pflichten betroffener Einrichtungen
Die Betreiber kritischer Infrastrukturen müssen Mindestvorgaben für den physischen Schutz erfüllen und ihre spezifischen Schutzmaßnahmen an den Risikobewertungen ausrichten. Anders als die NIS-2-Richtlinie (hierzu berichteten wir im Legal Update vom 20.11.2023) legt das KRITIS-Dachgesetz dabei keine konkret umzusetzenden Maßnahmen fest, sondern verlangt allgemein „ geeignete, verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen“.
Betreiber kritischer Infrastrukturen trifft außerdem die Pflicht, Sicherheitsvorfälle innerhalb kurzer Fristen bei einer Meldestelle unter Angabe von Details zu dem Vorfall zu melden.
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wird als zuständige Behörde für den physischen Schutz kritischer Infrastrukturen ausgebaut und soll die Einhaltung der Mindestvorgaben überwachen und durchsetzen. Dazu gehört auch die Festsetzung von Bußgeldern, zumal Verstöße gegen eine Reihe der im KRITIS-Dachgesetz festgelegten Pflichten als Ordnungswidrigkeiten ausgestaltet sind.
Fazit und Ausblick
Für Unternehmen ist die Einordnung als Kritische Infrastruktur ein „zweischneidiges Schwert“. Als während der Energiekrise staatliche Maßnahmen mit Blick auf die Rationierung von Erdgas ergriffen wurden, erfolgte eine Priorisierung von Unternehmen aus dem Bereich der Kritischen Infrastrukturen. Geht es jedoch um die – durchaus kostenintensive – Umsetzung von Anforderungen, welche an Betreiber Kritischer Infrastrukturen gestellt werden, verkehrt sich die Sichtweise betroffener Unternehmen auf sich selbst regelmäßig ins Gegenteil.
Die Frist für die Umsetzung der CER-Richtlinie endet am 17.10.2024, sodass mit dem Inkrafttreten des KRITS-Dachgesetzes im Laufe des Jahres 2024 zu rechnen ist. Auch wenn die Pflichten, welche Betreibern auferlegt werden, erst nach Ablauf einer „Schonfrist“ zum 01.01.2026 und die Bußgeldvorschriften erst zum 01.01.2027 in Kraft treten, sind betroffene Einrichtungen gleichwohl gefordert, sich frühzeitig mit der Umsetzung zu beschäftigen. Dies gilt umso mehr, als die Etablierung von entsprechenden Strukturen und die Stärkung der Resilienz nicht von heute auf morgen möglich sind.