KRITIS-Dachgesetz
Das KRITIS-Dachgesetz soll als neues Element in der Regulierung Kritischer Infrastrukturen ab 2023 die Resilienz und physische Sicherheit von kritischen Betreibern stärken. Basierend auf der EU RCE/CER Direktive betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die bald mehr Maßnahmen umsetzen müssen. Es geht um BCM, physische Sicherheit, Personal und Risiko/Krisenmanagement.
Parallel zum Dachgesetz und EU RCE setzt das NIS2-Umsetzungsgesetz die neue EU NIS 2 Direktive für Cybersecurity in Deutschland um. Beide Gesetze erweitern die KRITIS-Regulierung in Deutschland deutlich in der Breite und Tiefe. Erwartbar ist eine Verkündung in 2023 mit Inkrafttreten in 2024.
Die Ausführungen beruhen auf einem Referentenentwurf von Juli 2023 auf ag.kritis.info. Der Entwurf selbst und die Analysen unten sind als work in progress mit Vorsicht zu genießen.
Dachgesetz Kritische Infrastrukturen
Mehr KRITIS-Resilienz ab 2023
Das KRITIS-Dachgesetz soll als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken. Das Gesetz setzt die EU CER-Richtlinie (EU 2022/2557) um und reguliert dazu KRITIS-Betreiber bzw. Betreiber kritischer Anlagen mit zusätzlichen Maßnahmen und Pflichten.
Der frühe Referentenentwurf von Juli 2023 enthält folgende Vorgaben:
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS).
- Sektoren: Die bisherigen KRITIS-Sektoren der kritischen Anlagen werden reguliert, mit einigen Erweiterungen und Ausschlüssen – u.a. IT, TK, Finanzen und Versicherungen.
- Resilienz: Pflichten für Betreiber enthalten konkrete Resilienz-Vorgaben wie Krisen- und Risikomanagement, BCM, Personalsicherheit, physische Sicherheit.
- Aufsicht: Die KRITIS-Aufsicht wird um das BBK erweitert, das u.a. Nachweise, Meldungen und Registrierungen erhalten soll. Gemeinsame Lösungen mit dem BSI sind geplant.
- Sanktionen: Es gibt eine Liste mit Verstößen; Die Bußgelder sind noch nicht definiert.
- Risiken: Nationale und Betreiber-Risiken der
Wirtschaftsstabilität
spielen eine große Rolle für Betreiber, das BBK (und die EU).
Im aktuellen Referentenentwurf, noch zur Abstimmung zwischen den Ministerien, sind die verpflichtenden Vorgaben und Fristen für Betreiber sehr milde definiert. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 (!) in Kraft. Trotz allem kommen auf eine Gruppe von Betreibern zusätzliche Maßnahmen zu.
Betroffene Unternehmen
Betreiber in Deutschland
Das Gesetz soll kritische Anlagen in Deutschland schützen. Die betroffenen Unternehmen in Deutschland umfassen Betreiber kritischer Anlagen in den (bisherigen) KRITIS-Sektoren.
Der Gesetzgeber geht von etwa 2.000 betroffenen Unternehmen aus – wahrscheinlich die bisherigen (Stand 2023) KRITIS-Betreiber noch ohne die weiteren Einrichtungen.
Betreiber
Das Dachgesetz legt drei Gruppen von Unternehmen fest, von denen eine unter die Regulierung fällt.
- Betreiber kritischer Anlagen §2 (5), die ex-KRITIS-Betreiber, sind (wahrscheinlich mit KRITIS-Methodik) durch einzelne Anlagen nach KRITIS-Verordnung betroffen.
Nicht unter das Dachgesetz fallen besonders wichtige und wichtige Einrichtungen §2 (12) nach NIS2.
Sektoren
Die Sektoren weichen von den bestehenden KRITIS-Sektoren und NIS2-Umsetzung leicht ab und werden sicherlich (hoffentlich) noch harmonisiert.
Kategorie | Sektoren |
---|---|
Kritische Anlagen (KRITIS) | Energie, Transport und Verkehr, Finanz und Versicherungen✝, Gesundheit, Trinkwasser und Abwasser, Ernährung, IT und TK✝, Weltraum*, Öffentliche Verwaltung*, Entsorgung |
Für die nicht (mehr) betroffenen Sektoren Medien und Kultur, Bildung, Betreuung können Bund und Länder im Rahmen ihrer Zuständigkeiten
entsprechende Resilienzmaßnahmen und Monitoring festlegen. §5 (2)
Identifikation
Die betroffenen Betreiber müssen sich durch ihre kritischen Anlagen identifizieren, die selbst noch in einer ergänzenden Rechtsverordnung nach §15 festgelegt werden. Die Anlagen sollen nach Schwellenwert identifiziert werden, jeweils zu Stichtagen. §4
Für Betreiber kritischer Anlagen sind die genauen Schwellenwerte, Anlagenarten etc. noch nicht bekannt – denkbar ist ein Rückgriff auf die bekannten KRITIS-Anlagen und Schwellenwerte.
Ausschlüsse
Für einige Betreiber gibt es Abweichungen und Ausnahmebescheide zu den Dachgesetz-Maßnahmen, vor allem für Sicherheitsbehörden.
- Betreiber der nationalen Sicherheit, öffentlichen Sicherheit, Verteidigung oder Strafverfolgung können von den Maßnahmen §§10, 11 und 12 (Risikoanalysen, Resilienzmaßnahmen, Meldewesen) befreit werden §16 (2). Dies umfasst auch Dienstleister, die ausschließlich für solche Behörden tätig sind.
- Betreiber, die ausschließlich in den vorgenannten Bereichen tätig sind, können zusätzlich von §8 (Registrierung) befreit werden. §16 (3)
- Die Resilienz muss in beiden Fällen
anderweitig gewährleistet sein und beaufsichtigt werden
- Betreiber Kritischer Infrastrukturen unter den (KRITIS-)Schwellenwerten müssen die §11 Maßnahmen nicht umsetzen, sondern
können
dies zur Steigerung der Resilienz tun. §6 - Das Innenministerium kann bestimmte Betreiber von Vorgaben teilweise oder vollständig befreien, auf eigene Veranlassung oder durch bestimmte Behörden. §16 (1)
- Betreiber in den Sektoren Finanz- und Versicherungswesen und Informationstechnik und Telekommunikation müssen die Risikoanalysen nach §10 (1), Resilienzmaßnahmen nach §11 und Meldepflichten nach §12 nicht umsetzen. §10 (3) §11 (14) §12 (9)
Resilienz
Pflichten von Betreibern
Die betroffenen Betreiber kritischer Anlagen müssen sowohl Resilienzmaßnahmen umsetzen als auch zusätzliche Formalien wie Registrierung, Meldungen und Nachweise erfüllen.
Risikoanalyse
Betreiber müssen neun Monate nach Registrierung und dann mindestens alle vier Jahre eigene Risikoanalysen durchführen, die auf den nationalen Risikoanalysen nach §9 oder anderen Quellen basieren. §10 (1) Betrachtet werden muss eine lange Liste an Risiken:
- Risiken, die
die Wirtschaftsstabilität beeinträchtigen
, sektor- oder grenzüberschreitend, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, hybride Bedrohungen, feindliche Bedrohungen und Terrorismus. - Risiken aus Abhängigkeiten anderer Sektoren an der erbrachten kritischen Dienstleistung und Abhängigkeiten der kritischen Anlage selbst von anderen Sektoren und Staaten.
Erbringen Betreiber gleichwerte Risikoanalysen aus anderen öffentlich-rechtlichen Verpflichtungen, kann das BBK im Einvernehmen mit anderen Aufsichtsbehörden diese als gleichwertig erklären. §10 (2)
Resilienzmaßnahmen
Betreiber müssen geeignete und verhältnismäßige
Maßnahmen umsetzen, um die Resilienz der Anlagen zu gewährleisten. §11 (1)
Die Maßnahmen sind verhältnismäßig, wenn der Aufwand zur Verhinderung von Folgen angemessen erscheint. §11 (2)
Zu den Maßnahmen zählen: §11 (3)
das Auftreten von Vorfällen verhindern
- Angemessener physischer Schutz der kritischen Anlagen
- Reaktion und Abwehr von Vorfällen sowie Folgen begrenzen
- Wiederherstellung nach Vorfällen
- Sicherheitsmanagement für eigenes und externes Personal
- Schulungen, Übungen für Personal
Betreiber müssen die §11 (1) Maßnahmen in einem Resilienzplan dokumentieren. §11 (6)
Mögliche Maßnahmen
In Anhang 1 schlägt das Dachgesetz insbesondere zu berücksichtigende Maßnahmen
bei der Abwägung
von §11 (2) vor, die Betreiber berücksichtigen können. §11 (4)
- Prävention (a)
- Notfallvorsorge
- Maßnahmen zur
Anpassung an den Klimawandel
- Physischer Schutz (b)
- Objektschutz, Zäune und Sperren
- Überwachung der Umgebung
- Detektionsgeräte
- Zugangskontrollen
- Reaktion (c)
- Risiko-Management
- Krisen-Management
- Abläufe im Alarmfall (Krisenreaktionspläne)
- Wiederherstellung (d)
- Aufrechterhaltung des Betriebs (Notstrom etc.)
- Ermittlung alternativer Lieferketten (!)
- Personalsicherheit (e)
- Definition von Personalen mit kritischen Funktionen
- Definierte Zugangsrechte zu kritischen Räumen, Infrastrukturen und Informationen
Zuverlässigkeitsüberprüfungen
- Schulungsanforderungen und Qualifikationen
- Sensibilisierung (f)
- Schulungen und Materialien
- Übungen (BCM, Notfallmanagement)
Branchenstandards
Betreiber und Branchenverbände können branchenspezifische Resilienzstandards
zur Umsetzung von §11 (1) vorschlagen.
Das BBK stellt dann die Eignung auf Antrag fest, im Einvernehmen mit dem BSI und/oder weiteren Aufsichtsbehörden.
§11 (5)
Kritische Komponenten
Der Einsatz von kritischen Komponenten soll für Betreiber kritischer Anlagen reglementiert werden (analog zum IT-Sicherheitsgesetz); Der entsprechende Paragraph ist noch leer. §13
Informationen
Nachweise und Prüfungen
Betreiber müssen sowohl die Umsetzung der §11 Maßnahmen als auch den dokumentierten Resilienzplan dem BBK nachweisen, zu einem bei der Registrierung festgelegten Zeitpunkt und dann alle zwei Jahre. §11 (6)(8)
Audits
Der Nachweis der §11 Maßnahmen kann durch Audits erfolgen, von denen Betreiber die Ergebnisse und Mängel an das BBK übermitteln. Das BBK kann Dokumentationen der Überprüfung, einen Mängelbeseitigungsplan, die Behebung der Mängel und einen Nachweis über die Beseitigung verlangen. §11 (8)
Das BBK kann bei Zweifeln von sich aus die Umsetzung bei Betreibern überprüfen. §11 (9)
Vorgaben
Das BBK kann Vorgaben zur Art und Durchführung der Audits, zu Nachweisen und fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle festlegen. §11 (8)
Meldewesen
Mit dem KRITIS-Dachgesetz kommen auf betroffene Betreiber zusätzliche Informations- und Meldepflichten an das BBK zu, die teilweise aber vereinheitlicht werden sollen.
Meldung von Sicherheitsvorfällen
Betreiber kritischer Anlagen müssen Vorfälle, die die kritische Dienstleistung erheblich stören könnten, unverzüglich an eine von BBK und BSI einzurichtende gemeinsame Kontaktstelle melden. §12 (1)(3)
- Erstmeldung innerhalb von 24h nach Kenntnisnahme,
wenn operativ möglich
- Ausführlicher Bericht spätestens einen Monat danach
Die Meldungen müssen Informationen zur Art, Ursache, Folgen des Vorfalls, Anzahl und Anteil betroffener Nutzer, Dauer der Störung, betroffenem geographischen Gebiet und ggf. grenzüberschreitende Auswirkungen enthalten. §12 (1)(2)
Das BBK meldet Vorfälle, die Auswirkungen auf kritische Dienstleistungen in anderen Mitgliedsstaaten haben, an die dortigen Aufsichtsbehörden. Sind sechs oder mehr Mitgliedsstaaten betroffen, unterrichtet das Innenministerium die Europäische Kommmission. §12 (4)(5)
Das BBK kann in Abstimmung mit Aufsichtsbehörden sachdienliche Folgeinformationen an den Betreiber leiten. Auswertungen zu Meldungen teils das BBK wiederum mit den Aufsichtsbehörden. §12 (6)(7)
Registrierung und Kontaktstelle
Betreiber müssen sich selbst identifizieren und registrieren. Die Registrierung soll zusammen von BBK und BSI eingerichtet werden. Betreiber kritischer Anlagen müssen sich am ersten Werktag nach eigener Identifikation (wahrscheinlich über Anlagen und Schwellenwerte) registrieren. §8 (1)
Betreiber müssen dem BBK eine jederzeit erreichbare Kontaktstelle benennen. §8 (3)(4)
Das BBK kann Betreiber kritischer Anlagen von sich aus registrieren, falls Betreiber ihrer Pflicht nicht nachkommen. §8 (2)
Betreiber von kritischen Anlagen von besonderer Bedeutung für Europa, die nach §7 (1) in sechs oder mehr Mitgliedsstaaten kritische Dienste anbieten, müssen dem BBK mitteilen, welche kritischen Dienstleistungen sie in welchen Mitgliedsstaaten anbieten. §7 (2)
Besondere Bedeutung für Europa
Bestimmte Anlagen sind kritische Anlagen von besonderer Bedeutung für Europa, wenn sie eine kritische Anlage nach Rechtsverordnung §15 sind, bestimmte (noch zu definierende) Dienstleistungen in sechs oder mehr EU-Staaten erbringen und ihr Betreiber eine Meldung durch die Europäische Kommission erhalten hat. §7 (1)
Die Europäische Kommission informiert das Innenministerium über diese Entscheidungen, das BBK leitet dies an betreffende Betreiber weiter.
Das BBK ist dazu in regelmäßigem Austausch mit anderen Behörden in der EU für kritische Anlagen und Betreiber, die zwei oder mehr Mitgliedsstaaten tätig oder verbunden sind oder in Bezug stehen.
§7 (3)(4)
Das Innenministerium kann für diese Anlagen bei der Europäischen Kommission eine Beratungsmission beantragen und übermittelt dieser die Risikobewertungen und §11 Resilienzmaßnahmen der Betreiber sowie durch das BBK getroffene Aufsichts- und Durchsetzungsmaßnahmen. §7 (5)
Staat und Aufsicht
Aufsicht
Zuständigkeiten
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist die nationale zuständige Behörde und zentrale Anlaufstelle nach Art. 9 RCE/CER und unterstützt Betreiber kritischer Anlagen bei der Umsetzung von Resilienzmaßnahmen. §3 (1)
Das BBK arbeitet dazu eng mit BNetzA, BSI und Bafin zusammen und tauscht mit ihnen Informationen zu Maßnahmen, Risiken und Vorfällen zur Aufgabenerfüllung aus. §3 (2)(3)
Überwachung
Das BBK hat für Betreiber kritischer Anlagen Aufsichts- und Durchsetzungsrechte für Resilienzmaßnahmen. §11
- Überprüfung der Einhaltung von Anforderungen, ggf. durch Dritte, auch durch Betreten der Räumlichkeiten und Einsichtnahme von Unterlagen §11 (9)
- Mängelbeseitigung nach Audits §11 (8)
- Anweisungen für Maßnahmen zur Behebung von Verstößen §11 (10)
Staatliche Aufgaben
Nationale Risikoanalysen
Die für die Sektoren zuständigen Bundesministerien müssen alle vier Jahre (oder in der Rechtsverordnung definiert) Risikoanalysen der kritischen Dienstleistungen durchführen.
In den Analysen sollen Risiken bewertet werden, die die Wirtschaftsstabilität
gefährden, die sektor- oder grenzüberschreitend sind und hybride, terroristische oder feindliche
Bedrohungen.
§9 (1)
Das BBK erhält diese Risikoanalysen der Bundesministerien und stellt relevante Teile den Betreibern zur Verfügung und übermittelt Informationen und Risiken an die Europäische Kommission. §9 (2) (3)
EU
Angelehnt an EU RCE/CER soll die Regulierung von Resilienz neben der nationalen Behörde in einen europäischen Rahmen in der EU eingebettet werden, zum Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen.
Das BBK übermittelt an die Europäische Kommission regelmäßig nationale Informationen: §14
- Ergebnisse und Risiken der nationalen Risikoanalysen nach §9 drei Monate nach Durchführung
- Kritische Anlagen und Dienstleistungen nach Ermittlung unverzüglich und dann alle vier Jahre
- Schwellenwerte zur Spezifizierung der Kriterien zur Ermittlung
- Bericht über Meldungen und Maßnahmen zum Juli 2028 und dann alle zwei Jahre
Deutschland
Die Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA wird im Gesetz angerissen, ist aber noch genauer auszugestalten – vor allem im Hinblick auf gemeinsame Registrierungs- und Meldewege.
Sanktionen und Bußgelder
Auch im KRITIS-Dachgesetz gibt es Bußgeldvorschriften, in §19. Diese sind deutlich umgrenzter als bei KRITIS und NIS2, und sind im aktuellen Entwurf noch nicht in der Höhe festgelegt.
Tatbestände
Folgende Tatbestände bei betroffenen Betreibern sind bei Vorsatz Ordnungswidrigkeiten. §19 (1) Die Höhe muss nach §19 (3) noch definiert werden.
Höhe | Verstöße |
---|---|
TBD |
|
Die Verwaltungsbehörde für die Bußgelder ist das BBK, die Verhängung der Bußgelder muss verhältnismäßig sein. §19 (2) und (4)
Roadmap
Gesetzgebung
Das KRITIS-Dachgesetz wurde im aktuellen Koalitionsvertrag der Bundesregierung schon angesprochen. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und hat dort einen Gesetzesentwurf bis zur Sommerpause 2023 avisiert, parallel zur NIS2-Umsetzung.
Im Juli 2023 wurde ein Referentenentwurf im frühen Stadium zur Abstimmung zwischen Ministerien bekannt. Das Gesetz könnte in 2023 noch verabschiedet werden und in Kraft treten, die EU RCE-Direktive gibt eine Frist zur nationalen Umsetzung bis Oktober 2024.
Version | Status | Datum | Akteur |
---|---|---|---|
RCE | EU 2022/2557 Final | Dez 2022 | Amtsblatt |
KRITIS-Dachgesetz | Eckpunkte-Papier | Dez 2022 | Innenministerium |
KRITIS-Dachgesetz | Referentenentwurf | Jul 2023 | Innenministerium |
Rechtsverordnung(en) | fehlt noch | bis Okt 24 | Innenministerium |
RCE | Deadline Umsetzung | bis Okt 24 | Mitgliedstaaten |
Das Dachgesetz soll fünf Jahre nach Inkrafttreten wissenschaftlich evaluiert werden. §18
Andere spezialgesetzliche
Regelungen, die über die Mindestvorgaben des Dachgesetzes hinausgehen, bleiben unberührt. §5 (1)
Aufwände
Der aktuelle Referentenentwurf vom KRITIS-DachG schätzt noch keine Aufwände für die Umsetzung in der Wirtschaft und der Verwaltung. Die Zahlen warten auf eine Folgekostenschätzung des statistischen Bundesamts.
Wirtschaft
- Laufende Kosten (Erfülungsaufwand) noch nicht bekannt
- Einmalige Personalkosten noch nicht bekannt
Verwaltung
- Planstellen noch nicht bekannt
Umsetzung
Inkrafttreten
Das Dachgesetz tritt am Tag nach der Verkündung in Kraft §20 (1) – möglicherweise noch 2023. Einige Maßnahmen treten aber erst im Januar 2026 in Kraft: §20 (2)
- Anforderungen an KRITIS-Betreiber unter den Schwellenwerten nach §6
- Anforderungen an Kritische Anlagen von besonderer Bedeutung für Europa nach §7
- Registrierungspflicht nach §8
- Risikoanalysen nach §10
- Resilienzmaßnahmen nach §11
- Meldewesen nach §12
- Ausnahmebescheide nach §16
Fristen zur Umsetzung
Im Gesetz sind Fristen zur Umsetzung von Anforderungen als Entwurf vorgesehen.
- Registrierung innerhalb eines Werktages nach Identifizierung §8 (1)
- Risikoanalyse neun Monate nach Registrierung §10 (1)
- Umsetzung Resilienzmaßnahmen frühestens zehn Monate nach Registrierung §11 (13)
- Erstmaliger Nachweis über Maßnahmenumsetzung spätestens zu einem vom BBK mit dem BSI bei der Registrierung festgelegten Zeitpunkt und dann alle zwei Jahre §11 (8)
- Meldungen von Vorfällen zehn Monate nach Registrierung §12 (8)
Ergänzende Rechtsverordnung
Verschiedene Definitionen aus dem KRITIS-Dachgesetz müssen noch durch eine Verordnung gemäß §15 durch das Innenministerium im Einvernehmen mit anderen Ministerien konkretisiert werden:
- Kritische Anlagen in den
KRITIS
-Sektoren mit kritischen Dienstleistungen und Versorgungsgrad - Definitionen der Einrichtungen
- Möglicherweise Stichtage zur Bestimmung
- Möglicherweise Festlegung von Teilen der Bundesverwaltung als Kritische Infrastruktur
- Bestimmung der Schwellenwerte für kritische Dienstleistung der Sektoren
Die Rechtsverordnung soll die Einrichtungsarten und Schwellenwerte künftig sowohl nach BSIG als auch nach KRITIS-DachG bündeln. Somit wäre nur eine Rechtsverordnung für das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz (BSIG) vorgesehen.
Ein Entwurf der Rechtsverordnung ist noch nicht verfügbar.
Auswirkung auf weitere Gesetze
Es gibt (noch) keine Änderungen weiterer Gesetze.
Weitere Informationen
Literatur
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
- KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
- Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Quellen
- Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz), Bundesministerium des Innern, 17.07.2023
- Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
- Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
- Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
- Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022