KRITIS-Dachgesetz

Geltungsbereich

Der Geltungsbereich vom KRITIS-Dachgesetz bei Betreibern ist noch etwas unklar. Die Identifikation als kritischer Betreiber und damit Betroffenheit vom KRITIS-Dachgesetz stellt auf kritische Anlagen (KRITIS) und Dienstleistungen zur Versorgung (kDL) ab. Der Geltungsbereich der Analysen und Maßnahmen werden aber bisher nicht explizit definiert.

• Denkbar ist, analog zu NIS2, ein umfassender Geltungsbereich mit sämtlichen IT-Systemen, Komponenten und Prozessen, die für die Erbringung der Dienste genutzt werden.
• Alternativ ist denkbar, dass sich Maßnahmen auf IT-Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind, beschränken, d.h. auf die KRITIS-Anlage und ihre Infrastruktur und Prozesse.
• Hier ist noch Klärungsbedarf in Gesetzesentwürfen und vor allem der Begründung.

Dokumentation und Konkretisierung

Resilienzplan

Betreiber müssen die §10 (1) Maßnahmen in einem Resilienzplan dokumentieren, in dem die Erwägungen bei der Auswahl der Maßnahmen und Risikoanalysen dargelegt werden. §10 (9) Das BBK kann Vorlagen und Muster für diese Pläne zur Verfügung stellen. §10 (10)

Äquivalenz

Betreiber kritischer Anlagen können ihren Verpflichtungen nach §§9-11 auch mit Risikoanalysen und Maßnahmen nachkommen, die sie aufgrund anderer öffentlich-rechtlicher [Regulierung] ergriffen haben. Diese Äquivalenz­prüfung stellen die Aufsichtsbehörden mit dem BBK und BSI zusammen fest. §4 (8) B. Zu §4 Absatz 8

Bundesvorgaben

Das BBK wird zur Konkretisierung der §10 (1) Maßnahmen sektorenübergreifende Mindest­anforderungen einen Katalog veröffentlichen. §10 (4) Bundesministerien können Rechtsverordnungen zur Konkretisierung der Maßnahmen erlassen. §10 (5)

Betreiber und Branchenverbände können branchenspezifische Resilienz­standards zur Umsetzung von §11 (1) vorschlagen. Das BBK stellt im Einvernehmen mit dem BSI dann die Eignung auf Antrag fest. §10 (6)

Landesregierungen können für §10 sektor­spezifische Mindestvorgaben für Resilienz­maßnahmen festlegen, wenn kein Branchenstandard vorliegt. Artikel 2 (dann Teil von §10)

Nachweise und Prüfungen

Betreiber müssen die Umsetzung der §10 Resilienz-Maßnahmen auf Nachfrage dem BBK nachweisen. Dies geschieht durch Anfrage des BBK beim BSI für den Teil des NIS-Nachweises (§39 BSIG-E), der Resilienz nach §10 betrifft. §11 (1) Dieser Nachweis muss nach NIS2 von Betreibern alle drei Jahre mittels Prüfungen erbracht werden.

Paragraph 11 ist wirklich sehr kompliziert geschrieben; — Ed.

Zusätzliche Nachweise

Reichen dem BBK die angefragten Informationen als Teil des §39 NIS2-Nachweises nicht aus, können BBK oder andere zuständige Behörden weitere Nachweise von den Betreibern zur Umsetzung von §10 (1) Dachgesetz verlangen. §11 (2)

Der Nachweis kann durch Betreiber auch durch Audits und Prüfungen erbracht werden. §11 (3)

Das BBK kann bei erheblichen Zweifeln von sich aus die Umsetzung der Anforderungen bei Betreibern überprüfen. §11 (5) Das BBK kann weiterhin Dokumentationen der Über­prüfung, einen Plan zur Beseitigung, die Behebung der Mängel und Nachweise dafür verlangen. §11 (6)

Vorgaben

Das BBK wird Vorgaben zur Art und Durchführung der Audits, Nachweisen und fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle festlegen. §11 (4)

Meldewesen

Mit dem KRITIS-Dachgesetz kommen auf Betreiber kritischer Anlagen zusätzliche Informations- und Meldepflichten an das BBK zu, neben den Meldungen an das BSI über die NIS-Umsetzung.

Meldung von Sicherheitsvorfällen

Betreiber kritischer Anlagen müssen Vorfälle, welche die Erbringung kritischer Dienstleistungen erheblich stören oder stören könnten, unverzüglich, innerhalb von 24h, an eine gemeinsame Kontaktstelle des BBK und BSI melden. §12 (1)(3)

• Erstmeldung innerhalb von 24h nach Kenntnis des Vorfalls
• Ausführlicher Bericht spätestens einen Monat nach Kenntnis
• Das BBK kann Betreibern sachdienliche Folgeinformationen liefern §12 (7)

Die Meldungen müssen Informationen zur Art, Ursache, Folgen des Vorfalls, Anzahl und Anteil betroffener Nutzer, Dauer der Störung, betroffenem geographischen Gebiet und grenzüber­schreitende Auswirkungen enthalten. §12 (2)

Das BBK meldet Vorfälle, die Auswirkungen auf wesentliche Dienste in anderen EU-Staaten haben, an die dortigen Aufsichtsbehörden. Sind sechs oder mehr Mitgliedsstaaten betroffen, unterrichtet das BBK die Europäische Kommmission. §12 (4)(5)

Auswertungen zu Meldungen teils das BBK wiederum mit den Aufsichtsbehörden, bei öffentlichem Interesse kann das BBK auch die Öffentlichkeit informieren. §12 (8)(9)

Das BBK schätzt im aktuellen Gesetzesentwurf ca. 500 Meldungen pro Jahr. IV. 4.

Identifikation

Registrierung von Betreibern

Unternehmen müssen sich selbst als Betreiber kritischer Anlagen identifizieren und beim BBK registrieren. Betreiber kritischer Anlagen müssen sich innerhalb von drei Monaten nach eigener Identifikation der kritischen Anlage (über Schwellenwerte) registrieren. §6 (1)

• Name, Rechtsform, Handelsregister
• Kontaktdaten, Mail, IP-Adressbereiche, Telefonnummern
• Sektor, Branche und kritische Dienstleistung
• Anlagen, Kennzahlen, Standort, Versorgungsgebiet
• EU-Staaten, in denen wesentliche Dienste erbracht werden
• Betreiber müssen dem BBK eine jederzeit erreichbare Kontaktstelle benennen.

Betreibern wird zwei Wochen nach Registrierung die federführende Aufsichtsbehörde mitgeteilt. §6 (5)

BBK und der Staat

Die Registrierung soll über eine von BBK und BSI gemeinsam eingerichtete Registrierungs­möglichkeit erfolgen. §6 (1) Ob sich bestehende KRITIS-Betreiber erneut registrieren müssen, oder das BSI diese (ans BBK?) weiterleitet, ist noch unklar.

Das BBK kann Betreiber kritischer Anlagen von sich aus registrieren, falls Betreiber ihrer Pflicht nicht nachkommen, und dazu auch Aufzeichnungen oder Unterlagen einfordern. §6 (2)(3)

Das BMI wiederum kann Betreiber von sich aus identifizieren, wenn kritische Betreiber durch die Logik der Anlagen/Schwellenwerte nicht erfasst werden, und dabei die nationalen Risikoanalysen und Kriterien wie Nutzerzahlen, Abhängigkeiten, Auswirkungen, Geographie, Marktanteil berücksichtigen. §4 (2)

Nach der Registrierung

Die Pflichten nach dem Dachgesetz für Betreiber greifen nach der Registrierung: §6 (6)

• Risikoanalysen nach neun Monaten §9
• Resilienz­maßnahmen nach zehn Monaten §10
• Nachweise nach zehn Monaten §11
• Meldewesen nach zehn Monaten §12

Besondere Bedeutung für Europa

Bestimmte Betreiber sind kritische Einrichtungen von besonderer Bedeutung für Europa, wenn sie in mindestens sechs EU-Staaten den gleichen wesentlichen Dienst erbringen und ihr Betreiber eine Meldung von der europäischen Kommission durch das BBK erhalten hat. §7 (1)

Die Europäische Kommission informiert das Innenministerium über diese Entscheidungen, das BBK leitet dies an betreffende Betreiber weiter. Das BBK ist dazu in regelmäßigem Austausch mit anderen Behörden in der EU für übergreifende kritische Anlagen und Betreiber. §7 (3)

Das Innenministerium kann bei der Europäischen Kommission eine Beratungs­mission für diese Anlagen beantragen und übermittelt Risikobewertungen und Resilienz­maßnahmen der Betreiber sowie Aufsichts- und Durchsetzungsmaßnahmen. §7 (4)(5)

Aufsicht

Zuständigkeiten

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) ist im Bund die nationale zuständige Behörde Art. 9 RCE/CER und unterstützt Betreiber kritischer Anlagen. Das BBK arbeitet dazu eng mit BNetzA, BSI, BNetzA und BaFin zusammen und tauscht Informationen zu Maßnahmen, Risiken und Vorfällen aus. §3 (1)(2)(3)

Landesbehörden

Landesbehörden werden für bestimmte Betreiber, Dienstleistungen und Sektoren ebenfalls zuständig werden. §3 (4)(5)(6) Es gibt weiterhin eine Einbindung von oder Verweis auf zuständige Landesbehörden in vielen Einzelpflichten wie Nachweisen, Meldungen.

Überwachung

Das BBK hat bei Betreibern Aufsichts- und Durchsetzungs­rechte für Resilienz. §11

• Überprüfung der Einhaltung von Anforderungen, ggf. durch Dritte, auch durch Betreten der Räumlichkeiten und Einsichtnahme von Unterlagen §11 (9)
• Mängelbeseitigung nach Audits §11 (8)
• Anweisungen für Maßnahmen zur Behebung von Verstößen §11 (10)

EU

Im Dachgesetz wird die Regulierung von Resilienz neben der nationalen Behörde BBK in einen europäischen Rahmen der EU eingebettet, zum Austausch von Informationen und Vorfällen, zur Vernetzung zwischen Aufsichtsbehörden und für transnationale Vorfälle und Auswirkungen.

Das BBK übermittelt an die Europäische Kommission regelmäßig nationale Informationen: §15

• Ergebnisse und Risiken der nationalen Risikoanalysen drei Monate nach Durchführung
• Kritische Anlagen und Dienstleistungen nach Ermittlung unverzüglich, dann alle vier Jahre
• Schwellenwerte zur Spezifizierung der Kriterien zur Ermittlung
• Bericht über Meldungen und Maßnahmen zum Juli 2028 und dann alle zwei Jahre

Nationale Aufgaben

Resilienzstrategie

Die Bundesregierung muss bis zum 17. Januar 2026 eine nationale Resilienzstrategie (Strategie zur Verbesserung der Resilienz kritischer Infrastrukturen) verabschieden. §1

Im Juli 2024 wurde vom Innenministerium ein Umsetzungsplan der Deutschen Strategie zur Stärkung der Resilienz gegenüber Katastrophen mit vielen Einzelmaßnahmen und Aktivitäten veröffentlich.

Risikoanalysen

Die für die kritischen Dienstleistungen zuständigen Bundes- und Landesministerien müssen alle vier Jahre und erstmalig bis Januar 2026 Risikoanalysen durchführen. In den Analysen soll u.a. bewertet werden: §8 (1)

• Risiken, welche die Wirtschaftsstabilität gefährden, sektor- oder grenzüberschreitend sind und auch hybride, terroristische oder feindliche Bedrohungen umfassen,
• Alle wesentlichen Risiken für den Binnenmarkt und die Bevölkerung durch Abhängigkeiten
• Allgemeine Risikobewertung (Katastrophenschutz­verfahren der Union)
• Sonstige Risikobewertungen, u.a. Gewährleistung der sicheren Gasversorgung, Risikovorsorge im Elektrizitätssektor, Hochwasserrisiken, Gefahren schwerer Unfälle mit gefährlichen Stoffen
• Gemeldete Vorfälle (aus §12)

Das BBK erhält diese Risikoanalysen, stellt relevante Teile den Betreibern zur Verfügung und übermittelt Informationen und Risiken an die Europäische Kommission. §9 (3)(4)(5)

Sanktionen und Bußgelder

Im KRITIS-Dachgesetz gibt es eigene Bußgeldvorschriften. Diese sind begrenzter als bei KRITIS und NIS2, und im aktuellen Entwurf noch nicht in der Höhe festgelegt. §19

Tatbestände

Folgende Tatbestände bei Betreibern sind bei Vorsatz Ordnungswidrigkeiten: §19 (1)

Die Höhe muss nach §19 (3) noch definiert werden. Die Verwaltungsbehörde der Bußgelder ist das BBK. §19 (2)

Geschäftsleitung

Geschäftsleiter von Betreibern müssen die Maßnahmen für Resilienz (§10) billigen und die Umsetzung überwachen. Ebenso müssen sie Schulungen zu Risiko-Management absolvieren und Nachweise bei Nachfrage vorlegen. §14

Gesetzgebung

Das KRITIS-Dachgesetz wird 2024 verabschiedet und tritt am 18. Oktober 2024 in Kraft. Seit Ende 2023 gibt es zwei Referentenentwürfe, die das Gesetz in Grundzügen umreissen – ein erster früher aus Juli, ein weiterer aus Dezember 2023.

Das KRITIS-Dachgesetz basiert auf der EU RCE-Direktive, die seit 2020 bekannt und 2022 verabschiedet wurde. Der Koalitionsvertrag der Bundesregierung sprach schon vom KRITIS-Dachgesetz, das Innenministerium veröffentlichte dann im Dezember 2022 ein Eckpunkte-Papier avisierte einen Gesetzesentwurf bis zur Sommerpause 2023, parallel zu NIS2.

Das Dachgesetz wird fünf Jahre nach Inkrafttreten wissenschaftlich evaluiert werden. §20

Aufwände

Der aktuelle Referentenentwurf vom KRITIS-DachG schätzt Aufwände für die Umsetzung in der Wirtschaft und der Verwaltung, jedoch hängt die konkrete Höhe von der Anzahl an kritischen Anlagen nach §16 und den noch zu erlassenden Vorgaben ab. IV. 4.

Wirtschaft

Konkrete Kalkulationen zur Aufwand für die Wirtschaft enthält der Entwurf von Dezember nicht, nimmt aber an, dass 1.300 Betreiber kritischer Anlagen über keine ausreichende physische Resilienz verfügen. Die Kosten für Resilienz seien zehn Mal so hoch wie für IT-Sicherheit, daraus folgt die Schätzung eines jährlichen Aufwands im hohen dreistelligen Millionenbereich.

Die Annahmen sind wie folgt: IV. 4. b.

Verwaltung

Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder. Es gibt dazu eine sehr umfangreiche Kalkulationen im Gesetz basierend auf einzelnen Fällen pro Verpflichtung in Minuten, die dann in jährliche Aufwände (Personal, Sachkosten) für Bund und Länder und Einmalkosten (IT, Lösungen) umgerechnet werden. IV. 4. c.

Die notwendigen Planstellen werden erst mit den letzten Entwürfen klarer werden.

Bürger

Für Bürger entsteht kein Erfüllungs­aufwand.

Fristen

Gesetz

Das Dachgesetz tritt am 18. Oktober 2024 in Kraft, einige der verbindlichen Maßnahmen treten erst am 17. Juli 2026 in Kraft: Artikel 3 (1)(2)

Umsetzung bei Betreibern

Im Gesetz sind Fristen für Betreiber zur Umsetzung der Resilienz-Anforderungen vorgesehen, beginnend mit der eigenen Registrierung: §6 (6)

• Registrierung innerhalb von drei Monaten nach Identifizierung §6 (1)
• Risikoanalyse neun Monate nach Registrierung, §9
• Umsetzung Resilienzmaßnahmen erstmals zehn Monate nach Registrierung, §10
• Nachweise und Aufsichtspflichten erstmals zehn Monate nach Registrierung, §11
• Meldungen von Vorfällen erstmals zehn Monate nach Registrierung, §12

Ergänzende Rechtsverordnung

Verschiedene Definitionen aus dem KRITIS-Dachgesetz müssen noch durch eine Verordnung §16 durch das Innenministerium mit anderen Ministerien konkretisiert werden:

• Kritische Dienstleistungen in KRITIS-Sektoren und Versorgungsgrad
• Kritische Anlagen in KRITIS-Sektoren
• Schwellenwerte für kritische Dienstleistung der Sektoren
• Die Schwellenwerte sollten branchenspezifisch sein
• Stichtage zur Bestimmung
• Sektorspezifische Mindestvorgaben für Betreiber

Ein Entwurf der Rechtsverordnung ist noch nicht verfügbar.

Auswirkung auf weitere Gesetze

Änderungen weiterer Gesetze sind nicht abzusehen.

Änderungen der Referenten­entwürfe

Es gab bisher zwei öffentliche Referenten­entwürfe aus Juli und Dezember 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand:

Änderungen im Dezember 2023 zu Juli 2023

• Betreiber: Die parallele Definition der Einrichtungen (NIS2) wurde entfernt
• Sektoren: Sektoren wurden mit der NIS2-Umsetzung harmonisiert
• Nachweise: Keine reguläre Nachweispflicht mehr für Betreiber.
• Registrierung: Frist zur eigenen Registrierung beim BBK erst nach drei Monaten
• BBK und BSI: Mehr Harmonisierung gemeinsamer Abläufe mit dem BSI
• Staat: Deutliche Einbindung von Landesbehörden
• Kritische Komponenten wurden gestrichen
• Verantwortung für Geschäftsleiter wurde aufgenommen (à la NIS2)

Neuerungen in Juli 2023

• Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS)
• Sektoren: Die bisherigen KRITIS-Sektoren mit Änderungen, u.a. IT, TK, Finanz, Versicherungen
• Resilienz: Vorgaben zu Krisen/Risiken, BCM, Personalsicherheit, physische Sicherheit
• Aufsicht: Deutsche Aufsicht beim BBK, gemeinsame Lösungen mit dem BSI sind geplant
• Sanktionen: Liste mit Verstößen durch Betreiber, Bußgelder sind noch nicht definiert
• Risiken: Wirtschaftsstabilität spielt eine große Rolle für Betreiber, das BBK (und die EU).

Literatur

1. Umsetzungsplan der Deutschen Strategie zur Stärkung der Resilienz gegenüber Katastrophen, Bundesministerium des Inneren, 15.07.2024
2. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
3. Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
4. KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
5. Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
6. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

1. Referentenentwurf des BMI: KRITIS-Dachgesetz – KRITIS-DachG, AG KRITIS, letzte Version vom 21.12.2023
2. DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
3. Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz), Bundesministerium des Innern, 17.07.2023
4. Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
5. Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
6. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
7. Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022