Mit dem KRITIS-Dachgesetz soll ein Schutzschirm für die kritischen Infrastrukturen in Deutschland gegen Bedrohungen aller Art aufgebaut und die Resilienz der kritischen Infrastruktureinrichtungen verbessert werden.
Strom- und Wasserversorgung, die Rettungsdienste, der Zahlungsverkehr - das alles gehört zur kritischen Infrastruktur (KRITIS) eines Landes. Gefahren drohen von diversen Seiten: Naturkatastrophen, hybride Bedrohungen, menschliches Versagen, Terrorismus, Sabotage, der Zusammenbruch von Lieferketten im Zusammenhang mit Pandemie oder Krieg können zu einer erheblichen Störung der öffentlichen Sicherheit und Ordnung führen. Die Herstellung und Verbesserung der Resilienz der KRITIS gegen solche Bedrohungslagen bezweckt der Gesetzentwurf des BMI.
KRITIS-DachG zur Umsetzung der CER-Richtlinie der EU
Der jetzt bekannt gewordene Gesetzentwurf des BMI enthält bundeseinheitliche und sektorübergreifende Vorgaben zur Identifizierung und zum Schutz von KRITIS. Er dient der Umsetzung der „EU-Critical-Entities-Resilience-Richtlinie“ (CER-Richtlinie) und soll die Regelungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) ergänzen.
Adressaten des Gesetzes
Der Gesetzentwurf richtet sich gemäß §§ 2, 4 KRITIS-DachG-E an die Betreiber kritischer Anlagen in den Sektoren Energie, Transport und Verkehr, Finanz und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik, Telekommunikation, Weltraum, öffentliche Verwaltung und Siedlungsabfallentsorgung. Betroffen sind Unternehmen oberhalb eines Schwellenwertes von 500.000 versorgten Einwohnern.
Neue Registrierungspflicht
Auf die Betreiber von kritischen Infrastrukturanlagen kommen künftig verschiedene Pflichten zu. Nach § 8 KRITIS-DachG-E sind Betreiber künftig verpflichtet, die von ihnen betriebene Anlage bei der vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam betriebenen Registerstelle zu registrieren. Gemäß § 8 Abs. 3 KRITIS-DachG-E hat jeder Betreiber von KRITIS dem BBK eine Kontaktstelle als Ansprechpartner zu benennen.
Risikoanalyse und Bewertung
Auf Grundlage der gemäß § 9 KRITIS-DachG-E durchgeführten nationalen Risikoanalysen und Risikobewertungen hat jeder Betreiber einer kritischen Anlage gemäß § 10 KRITIS-DachG-E die Pflicht, erstmals 9 Monate nach der Registrierung und dann periodisch alle 4 Jahre eigene Risikoanalysen und Bewertungen durchzuführen. Dabei sind zu berücksichtigen:
- Die Wirtschaftsstabilität beeinträchtigende, naturbedingte, klimatische und vom Menschen verursachte Risiken,
- Risiken sektorübergreifender und grenzüberschreitender Art,
- hybride und andere feindliche Bedrohungen sowie
- die Möglichkeit terroristischer Straftaten.
Einzelne Betreiberpflichten
Gemäß § 11 KRITIS-DachG-E werden Betreiber kritischer Anlagen verpflichtet, geeignete und verhältnismäßige technische, sicherheitsrelevante und organisatorische Maßnahmen zur Gewährleistung der erforderlichen Resilienz zu treffen. Die Maßnahmen sollen dem Stand der Technik entsprechen.
- Gemäß § 11 Abs. 2 KRITIS-DachG-E sind Maßnahmen verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer Beeinträchtigung der kritischen Dienstleistung im Verhältnis zu den Folgen ihres Ausfalls oder ihrer Beeinträchtigung als angemessen erscheint.
- Hierzu zählen sowohl Maßnahmen zur Verhinderung kritischer Vorfälle als auch Maßnahmen zu einer angemessenen Reaktion auf kritische Vorfälle.
- Gemäß § 11 Abs. 6 KRITIS-DachG-E sind die Maßnahmen in einem Resilienzplan zu erfassen
- die Erfüllung der Anforderungen an die Resilienz sind dem BBK im 2-Jahres-Rhythmus nachzuweisen.
Meldepflicht bei kritischen Vorfällen
Gemäß § 12 KRITIS-DachG-E sind die Betreiber verpflichtet, kritische Vorfälle an die zuständigen Behörden zu melden. Dabei sind Angaben über die Anzahl der durch die Störung betroffenen Nutzer, die voraussichtliche Dauer der Störung sowie das betroffene geographische Gebiet zu machen, § 12 Abs. 1 KRITIS-DachG-E.
BBK kann Bußgelder verhängen
Bei Verstößen kann das BBK gemäß § 19 KRITIS-DachG-E als zuständige Aufsichtsbehörde Bußgelder verhängen. Voraussetzung ist allerdings, dass der Betreiber der kritischen Anlage zuvor aufgefordert wurde, innerhalb einer angemessenen Frist seinen Verpflichtungen nachzukommen.
Noch keine Regelung für Umgang mit kritischen Komponenten
Das BMI hat sich die Regelung zum Einsatz kritischer Komponenten (darunter fallen beispielsweise bestimmte Komponenten chinesischer Hersteller) in § 13 KRITIS-DachG-E noch offengehalten. Die Vorschrift ist noch nicht ausformuliert.
Umfangreiche Verordnungsbefugnisse des BMI
Darüber enthält § 15 KRITIS-DachG-E umfangreiche Ermächtigungen des BMI zum Erlass von Rechtsverordnungen in den unterschiedlichen Sektoren jeweils im Einvernehmen mit weiteren Bundesministerien. Gemäß § 16 KRITIS-DachG-E kann das BMI unter bestimmten Voraussetzungen Betreiber durch Ausnahmebescheide von bestimmten Verpflichtungen nach dem KRITIS-DachG-E befreien.
Recht des BBK zur Verarbeitung personenbezogener Daten
Gemäß § 17 KRITIS-DachG-E erhält das BBK das Recht zur Verarbeitung personenbezogener Daten, soweit dies zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben erforderlich ist und eine Verarbeitung anonymisierter Daten für die Aufgabenerfüllung nicht ausreicht.
Der KRITIS-DachG-E sieht lange Vorlaufzeiten vor
Der Gesetzentwurf befindet sich zurzeit in der Ressortabstimmung. Hier sind noch einige Änderungswünsche der Ministerien zu erwarten. In Kraft treten soll das Gesetz am Tag nach seiner Verkündung. Die Regelungen zu den wesentlichen Pflichten der Betreiber kritischer Anlagen sollen erst zum 01.01.2026 in Kraft treten, die Bußgeldvorschriften erst zum 01.01.2027, § 20 KRITIS-DachG-E.
Das könnte Sie auch interessieren:
Digital Services Act: Was kommt auf Betreiber von Webshops zu?
Endgerätewahlfreiheit bei Internetzugang
Data, data everywhere: Richtungsweisende Neuigkeiten zum Data Act