Bereits im Dezember 2022 hatte das Bundeskabinett ein Eckpunktepapier für ein Gesetz zum besseren Schutz Kritischer Infrastrukturen ("KRITIS") vorgestellt. Ziel des geplanten Dachgesetzes ist es, erstmals den physischen Schutz von KRITIS bundeseinheitlich und sektorübergreifend zu regeln und die bestehenden Regelungen im Bereich der Cybersicherheit im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik ("BSI-Gesetz") zu ergänzen. Mit diesem Gesetzesvorhaben möchte die Bundesregierung gleichzeitig auch die am 13. Januar 2023 in Kraft getretene EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience – "CER-Richtlinie") umsetzen. Am 28. Juli 2023 hat das Bundesministerium des Innern und für Heimat nun auch einen ersten Gesetzesentwurf für das KRITIS-Dachgesetz ("KRITIS-DachG-E") veröffentlicht.
Wer ist von den Neuregelungen im KRITIS-DachG-E betroffen?
Adressaten des KRITIS-DachG-E sind gemäß §§ 2, 4 die Betreiber von kritischen Anlagen in den Sektoren:
- Energie,
- Transport und Verkehr,
- Finanz- und Versicherungswesen,
- Gesundheitswesen,
- Trinkwasser,
- Abwasser,
- Ernährung,
- Informationstechnik und Telekommunikation,
- Weltraum,
- öffentliche Verwaltung oder
- Siedlungsabfallentsorgung.
Größtenteils deckt sich damit der Anwendungsbereich des KRITIS-DachG-E mit dem des BSI-Gesetzes, der in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz ("BSI-KritisV") konkretisiert wird; lediglich die Sektoren „Weltraum“ und „öffentliche Verwaltung“ werden in die Liste der KRITIS neu aufgenommen. Innerhalb der Sektoren sollen zudem solche Betreiber bzw. Anlagen erfasst werden, die mindestens 500.000 Personen versorgen. Dieser Schwellenwert ergibt sich als grober Maßstab aus der Begründung des KRITIS-DachG-E und entspricht dem Schwellenwert, der bereits jetzt der BSI-KritisV zugrunde liegt. Die BSI-KritisV bietet insofern bereits jetzt eine Orientierung dafür, wie dieser Schwellenwert für den konkreten Sektor und Betreiber der KRITIS berechnet wird.
Durch diese, wenn auch nur geringe, Ausweitung des Begriffs der KRITIS im KRITIS-DachG-E wird mittelbar auch der Anwendungsbereich der Meldepflicht für ausländische Investoren der Investitionskontrolle erweitert. Eine (weitere) erhebliche Ausweitung der Investitionskontrolle soll zudem durch das geplante sog. Investitionsprüfungsgesetz folgen. Laut einem aktuellen Eckpunktepapier des Bundesministeriums für Wirtschaft und Klimaschutz soll bei KRITIS künftig nämlich nicht mehr die Betreibereigenschaft des inländischen Unternehmens für die Meldepflicht ausschlaggebend sein (vgl. § 55a Abs. 1 Nr. 1 AWV). Welche Zielunternehmen über den Betreiber hinaus künftig eine investitionskontrollrechtliche Meldepflicht auslösen sollen, bleibt dabei noch offen.
Welche Pflichten werden Betreibern kritischer Anlagen nach dem KRITIS-DachG-E auferlegt?
Durch das KRITIS-DachG-E sollen KRITIS eindeutig identifizierbar sein, Bedrohungslagen und Risiken besser erkannt werden, das Schutzniveau erhöht und Störungen entdeckt und behoben werden. Entsprechend dieser Ziele sieht das KRITIS-DachG-E verschiedene Pflichten für die Betreiber kritischer Anlagen vor:
Registrierungspflicht
Ähnlich wie nach dem BSIG, müssen sich die Betreiber kritischer Anlagen bei der gemeinsam vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ("BBK") und dem Bundesamt für Sicherheit in der Informationstechnik ("BSI") betriebenen Registerstelle registrieren, § 8 KRITIS-DachG-E. Außerdem muss jeder Betreiber einer kritischen Anlage beim BBK eine Kontaktstelle oder -person benennen.
Risikoanalyse und -bewertung
Gemäß § 10 KRITIS-DachG-E trifft Betreiber kritischer Anlagen die Pflicht, auf Grundlage der staatlich durchgeführten Risikoanalysen und -bewertungen, erstmalig neun Monate nach der Registrierung und danach alle vier Jahre, eigene Risikoanalysen und -bewertungen durchzuführen. Dabei sollen folgende Aspekte berücksichtigt werden:
- Naturbedingte, klimatische und vom Menschen verursachte Risiken, die die Wirtschaftsstabilität beeinträchtigen,
- Risiken sektorübergreifender oder grenzüberschreitender Art,
- Unfälle, Naturkatastrophen, gesundheitliche Notlagen,
- Hybride Bedrohungen oder andere feindliche Bedrohungen einschließlich terroristischer Straftaten sowie
- Risiken, die sich daraus ergeben, dass andere, abhängige Sektoren kritischer Dienstleistungen ebenfalls betroffen sind.
Resilienzmaßnahmen
Die Betreiber kritischer Anlagen sind dann gemäß § 11 KRITIS-DachG-E verpflichtet, auf Basis der Ergebnisse der Risikoanalysen und -bewertungen, technische, sicherheitsbezogene und organisatorische Resilienzmaßnahmen zu treffen. Hierzu soll der Stand der Technik, der sich aus einschlägigen internationalen, europäischen und nationalen Normen und Standards ergibt, herangezogen werden. Es müssen nur geeignete und verhältnismäßige Maßnahmen getroffen werden, d.h. der Aufwand zur Verhinderung oder Begrenzung der Störung der kritischen Dienstleistung muss gegenüber den Folgen einer Störung angemessen erscheinen. Die getroffenen Maßnahmen sind in Form eines sog. Resilienzplans gegenüber dem BKK alle zwei Jahre nachzuweisen.
Meldepflicht bei kritischen Vorfällen
Kommt es zu einem Vorfall, der die Erbringung der kritischen Dienstleistung erheblich stören könnte, sind Betreiber kritischer Anlagen gemäß § 12 KRITIS-DachG-E verpflichtet, diesen unverzüglich, jedenfalls aber bis spätestens 24 Stunden nach Kenntnisnahme, zu melden. Hierzu wird das bereits existierende Online-Meldeportal des BSI für Störungen im Bereich der Cybersicherheit erweitert, sodass künftig hierrüber auch Störungen, die die physische Sicherheit betreffen, gemeldet werden können.
Welche Konsequenzen hat ein Verstoß gegen diese Pflichten?
Vorsätzliche Verstöße gegen die Pflicht zur Registrierung, Risikoanalyse und –bewertung sowie zur Vorlage der Resilienzplans stellen gemäß § 19 KRITIS-DachG-E Ordnungswidrigkeiten dar und sind bußgeldbewehrt. Die Höhe der Bußgelder ist im derzeitigen Gesetzesentwurf noch nicht festgelegt. Das BKK muss aber bei festgestellten Verstößen den Betreibern einer kritischen Anlage zunächst die Möglichkeit geben, den Verstoß zu beheben, bevor ein Bußgeld verhängt wird.
Ausblick
Die finale Abstimmung des Gesetzesentwurfs innerhalb der Bundesregierung steht noch aus. Sobald diese vorliegt, wird der Gesetzentwurf in Bundestag und Bundesrat beraten und soll dann unmittelbar nach Verkündung im Bundesgesetzblatt in Kraft treten. Die Regelungen, die Pflichten für Betreiber vorsehen, sollen – nach dem jetzigen Entwurfsstand – allerdings erst nach Ablauf einer Übergangszeit zum 1. Januar 2026 bzw. die Bußgeldvorschriften sogar erst zum 1. Januar 2027 in Kraft treten. Betroffene Unternehmen sollten sich aber rechtzeitig auf die Änderungen einstellen.
Weiterleiten