16-08-2023
Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Hierzu gehört etwa die Strom- und Wasserversorgung, Rettungsdienste oder der Zahlungsverkehr. Bedrohungen können hier beispielsweise durch Naturkatastrophen, menschliches Versagen, Sabotage, Pandemie oder Krieg entstehen. Der nun vorgelegte Gesetzesentwurf des Bundesministeriums des Innern und für Heimat (BMI) enthält bundeseinheitliche und sektorübergreifende Vorgaben zur Identifizierung und zum Schutz von KRITIS.
Mit dem Entwurf soll die „EU-Critical-Entities-Resilience-Richtlinie“ (CER-Richtlinie) umgesetzt und die Regelungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) ergänzt werden. Er richtet sich gemäß §§2, 4 KRITIS-DachG-E an die Betreiber kritischer Anlagen in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik, Telekommunikation, Weltraum, öffentliche Verwaltung und Siedlungsabfallentsorgung. Betroffen sind Unternehmen, welche den Schwellenwert von 500.000 versorgten Einwohnern überschreiten.
Die Betreiber von KRITIS werden künftig mit einer Reihe an Pflichten konfrontiert. So sind sie nach §8 KRITIS-DachG-E etwa verpflichtet, die kritische Infrastrukturanlage bei der gemeinsam betriebenen Registerstelle des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Auch eine Kontaktstelle als Ansprechpartner ist hierbei anzugeben.
Auf Grundlage nationaler Risikoanalysen und Risikobewertungen hat zudem jeder KRITIS-Betreiber 9 Monate nach der Registrierung eigene Risikoanalysen und Risikobewertungen durchzuführen, §10 KRITIS-DachG-E. Hierbei zu berücksichtigen sind:
- Naturbedingte, klimatische und menschengemachte Risiken, welche die Wirtschaftsstabilität beeinträchtigen,
- sektorübergreifende und grenzüberschreitende Risiken,
- hybride und andere feindliche Androhungen und
- die Möglichkeit terroristischer Straftaten.
Die Risikoanalysen und Risikobewertungen sind dabei periodisch alle 4 Jahre durchzuführen. Um die erforderliche Resilienz zu gewährleisten, werden die Betreiber gemäß §11 KRITIS-DachG-E zur Umsetzung geeigneter und verhältnismäßiger technischer, sicherheitsrelevanter und organisatorischer Maßnahmen verpflichtet. Diese können in Maßnahmen zur Verhinderung oder zur angemessenen Reaktion auf kritische Vorfälle bestehen. Nach §11 Abs.2 KRITIS-DachG-E sind Maßnahmen dann verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer Beeinträchtigung der kritischen Dienstleistung im Verhältnis zu den Folgen ihres Ausfalls oder ihrer Beeinträchtigung als angemessen erscheint.
Die Maßnahmen sind dann nach §11 Abs.6 KRITIS-DachG-E in einem Resilienzplan zu erfassen und dem BKK im 2-Jahres-Rhytmus nachzuweisen. Treten kritische Vorfälle ein, sind die KRITIS-Betreiber unter Nennung der Anzahl der betroffenen Nutzer, der voraussichtlichen Dauer der Störung sowie des betroffenen geographischen Gebiets zur Meldung bei den zuständigen Behörden verpflichtet, §12 KRITIS-DachG-E. Bei Verstößen kann das BBK als zuständige Aufsichtsbehörde Bußgelder verhängen, wenn der Betreiber zuvor aufgefordert wurde, innerhalb einer angemessenen Frist seinen Verpflichtungen nachzukommen, §19 KRITIS-DachG-E.
Aktuell befindet sich der Gesetzesentwurf in der Ressortabstimmung, wo Änderungswünsche der Ministerien zu erwarten sind. Die Regelungen zu den Pflichten der KRITIS-Betreiber sollen zum 01.01.2026, die Bußgeldvorschriften zum 01.01.2027 in Kraft treten.
Mehr Informationen zum KRITIS-Dachgesetz finden Sie hier. Den Gesetzesentwurf finden Sie hier.