KRITIS-Dachgesetz

Mehr KRITIS-Resilienz ab 2023

Das KRITIS-Dachgesetz soll als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken. Das Gesetz setzt die EU CER-Richtlinie (EU 2022/2557) um und reguliert dazu KRITIS-Betreiber bzw. Betreiber kritischer Anlagen mit zusätzlichen Maßnahmen und Pflichten.

Der frühe Referentenentwurf von Juli 2023 enthält folgende Vorgaben:

• Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS).
• Sektoren: Die bisherigen KRITIS-Sektoren der kritischen Anlagen werden reguliert, mit einigen Erweiterungen und Ausschlüssen – u.a. IT, TK, Finanzen und Versicherungen.
• Resilienz: Pflichten für Betreiber enthalten konkrete Resilienz-Vorgaben wie Krisen- und Risikomanagement, BCM, Personalsicherheit, physische Sicherheit.
• Aufsicht: Die KRITIS-Aufsicht wird um das BBK erweitert, das u.a. Nachweise, Meldungen und Registrierungen erhalten soll. Gemeinsame Lösungen mit dem BSI sind geplant.
• Sanktionen: Es gibt eine Liste mit Verstößen; Die Bußgelder sind noch nicht definiert.
• Risiken: Nationale und Betreiber-Risiken der Wirtschaftsstabilität spielen eine große Rolle für Betreiber, das BBK (und die EU).

Im aktuellen Referentenentwurf, noch zur Abstimmung zwischen den Ministerien, sind die verpflichtenden Vorgaben und Fristen für Betreiber sehr milde definiert. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 (!) in Kraft. Trotz allem kommen auf eine Gruppe von Betreibern zusätzliche Maßnahmen zu.

Betreiber in Deutschland

Das Gesetz soll kritische Anlagen in Deutschland schützen. Die betroffenen Unternehmen in Deutschland umfassen Betreiber kritischer Anlagen in den (bisherigen) KRITIS-Sektoren.

Der Gesetzgeber geht von etwa 2.000 betroffenen Unternehmen aus – wahrscheinlich die bisherigen (Stand 2023) KRITIS-Betreiber noch ohne die weiteren Einrichtungen.

Betreiber

Das Dachgesetz legt drei Gruppen von Unternehmen fest, von denen eine unter die Regulierung fällt.

1. Betreiber kritischer Anlagen §2 (5), die ex-KRITIS-Betreiber, sind (wahrscheinlich mit KRITIS-Methodik) durch einzelne Anlagen nach KRITIS-Verordnung betroffen.

Nicht unter das Dachgesetz fallen besonders wichtige und wichtige Einrichtungen §2 (12) nach NIS2.

Sektoren

Die Sektoren weichen von den bestehenden KRITIS-Sektoren und NIS2-Umsetzung leicht ab und werden sicherlich (hoffentlich) noch harmonisiert.

Für die nicht (mehr) betroffenen Sektoren Medien und Kultur, Bildung, Betreuung können Bund und Länder im Rahmen ihrer Zuständigkeiten entsprechende Resilienzmaßnahmen und Monitoring festlegen. §5 (2)

Identifikation

Die betroffenen Betreiber müssen sich durch ihre kritischen Anlagen identifizieren, die selbst noch in einer ergänzenden Rechtsverordnung nach §15 festgelegt werden. Die Anlagen sollen nach Schwellenwert identifiziert werden, jeweils zu Stichtagen. §4

Für Betreiber kritischer Anlagen sind die genauen Schwellenwerte, Anlagenarten etc. noch nicht bekannt – denkbar ist ein Rückgriff auf die bekannten KRITIS-Anlagen und Schwellenwerte.

Ausschlüsse

Für einige Betreiber gibt es Abweichungen und Ausnahmebescheide zu den Dachgesetz-Maßnahmen, vor allem für Sicherheitsbehörden.

1. Betreiber der nationalen Sicherheit, öffentlichen Sicherheit, Verteidigung oder Strafverfolgung können von den Maßnahmen §§10, 11 und 12 (Risikoanalysen, Resilienzmaßnahmen, Meldewesen) befreit werden §16 (2). Dies umfasst auch Dienstleister, die ausschließlich für solche Behörden tätig sind.
2. Betreiber, die ausschließlich in den vorgenannten Bereichen tätig sind, können zusätzlich von §8 (Registrierung) befreit werden. §16 (3)
3. Die Resilienz muss in beiden Fällen anderweitig gewährleistet sein und beaufsichtigt werden
4. Betreiber Kritischer Infrastrukturen unter den (KRITIS-)Schwellenwerten müssen die §11 Maßnahmen nicht umsetzen, sondern können dies zur Steigerung der Resilienz tun. §6
5. Das Innenministerium kann bestimmte Betreiber von Vorgaben teilweise oder vollständig befreien, auf eigene Veranlassung oder durch bestimmte Behörden. §16 (1)
6. Betreiber in den Sektoren Finanz- und Versicherungs­wesen und Informationstechnik und Tele­kom­munikation müssen die Risikoanalysen nach §10 (1), Resilienzmaßnahmen nach §11 und Meldepflichten nach §12 nicht umsetzen. §10 (3) §11 (14) §12 (9)

Pflichten von Betreibern

Die betroffenen Betreiber kritischer Anlagen müssen sowohl Resilienz­maßnahmen umsetzen als auch zusätzliche Formalien wie Registrierung, Meldungen und Nachweise erfüllen.

Risikoanalyse

Betreiber müssen neun Monate nach Registrierung und dann mindestens alle vier Jahre eigene Risikoanalysen durchführen, die auf den nationalen Risikoanalysen nach §9 oder anderen Quellen basieren. §10 (1) Betrachtet werden muss eine lange Liste an Risiken:

• Risiken, die die Wirtschaftsstabilität beeinträchtigen, sektor- oder grenz­überschreitend, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, hybride Bedrohungen, feindliche Bedrohungen und Terrorismus.
• Risiken aus Abhängigkeiten anderer Sektoren an der erbrachten kritischen Dienstleistung und Abhängigkeiten der kritischen Anlage selbst von anderen Sektoren und Staaten.

Erbringen Betreiber gleichwerte Risikoanalysen aus anderen öffentlich-rechtlichen Verpflichtungen, kann das BBK im Einvernehmen mit anderen Aufsichtsbehörden diese als gleichwertig erklären. §10 (2)

Resilienzmaßnahmen

Betreiber müssen geeignete und verhältnismäßige Maßnahmen umsetzen, um die Resilienz der Anlagen zu gewährleisten. §11 (1) Die Maßnahmen sind verhältnismäßig, wenn der Aufwand zur Verhinderung von Folgen angemessen erscheint. §11 (2)

Zu den Maßnahmen zählen: §11 (3)

• das Auftreten von Vorfällen verhindern
• Angemessener physischer Schutz der kritischen Anlagen
• Reaktion und Abwehr von Vorfällen sowie Folgen begrenzen
• Wiederherstellung nach Vorfällen
• Sicherheitsmanagement für eigenes und externes Personal
• Schulungen, Übungen für Personal

Betreiber müssen die §11 (1) Maßnahmen in einem Resilienzplan dokumentieren. §11 (6)

Mögliche Maßnahmen

In Anhang 1 schlägt das Dachgesetz insbesondere zu berücksichtigende Maßnahmen bei der Abwägung von §11 (2) vor, die Betreiber berücksichtigen können. §11 (4)

• Prävention (a)
  • Notfallvorsorge
  • Maßnahmen zur Anpassung an den Klimawandel
• Physischer Schutz (b)
  • Objektschutz, Zäune und Sperren
  • Überwachung der Umgebung
  • Detektionsgeräte
  • Zugangskontrollen
• Reaktion (c)
  • Risiko-Management
  • Krisen-Management
  • Abläufe im Alarmfall (Krisenreaktionspläne)
• Wiederherstellung (d)
  • Aufrechterhaltung des Betriebs (Notstrom etc.)
  • Ermittlung alternativer Lieferketten (!)
• Personalsicherheit (e)
  • Definition von Personalen mit kritischen Funktionen
  • Definierte Zugangsrechte zu kritischen Räumen, Infrastrukturen und Informationen
  • Zuverlässigkeits­überprüfungen
  • Schulungsanforderungen und Qualifikationen
• Sensibilisierung (f)
  • Schulungen und Materialien
  • Übungen (BCM, Notfallmanagement)

Branchenstandards

Betreiber und Branchenverbände können branchenspezifische Resilienz­standards zur Umsetzung von §11 (1) vorschlagen. Das BBK stellt dann die Eignung auf Antrag fest, im Einvernehmen mit dem BSI und/oder weiteren Aufsichtsbehörden. §11 (5)

Kritische Komponenten

Der Einsatz von kritischen Komponenten soll für Betreiber kritischer Anlagen reglementiert werden (analog zum IT-Sicherheitsgesetz); Der entsprechende Paragraph ist noch leer. §13

Nachweise und Prüfungen

Betreiber müssen sowohl die Umsetzung der §11 Maßnahmen als auch den dokumentierten Resilienzplan dem BBK nachweisen, zu einem bei der Registrierung festgelegten Zeitpunkt und dann alle zwei Jahre. §11 (6)(8)

Audits

Der Nachweis der §11 Maßnahmen kann durch Audits erfolgen, von denen Betreiber die Ergebnisse und Mängel an das BBK übermitteln. Das BBK kann Dokumentationen der Über­prüfung, einen Mängel­beseitigungsplan, die Behebung der Mängel und einen Nachweis über die Beseitigung verlangen. §11 (8)

Das BBK kann bei Zweifeln von sich aus die Umsetzung bei Betreibern überprüfen. §11 (9)

Vorgaben

Das BBK kann Vorgaben zur Art und Durchführung der Audits, zu Nachweisen und fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle festlegen. §11 (8)

Meldewesen

Mit dem KRITIS-Dachgesetz kommen auf betroffene Betreiber zusätzliche Informations- und Meldepflichten an das BBK zu, die teilweise aber vereinheitlicht werden sollen.

Meldung von Sicherheitsvorfällen

Betreiber kritischer Anlagen müssen Vorfälle, die die kritische Dienstleistung erheblich stören könnten, unverzüglich an eine von BBK und BSI einzurichtende gemeinsame Kontaktstelle melden. §12 (1)(3)

• Erstmeldung innerhalb von 24h nach Kenntnisnahme, wenn operativ möglich
• Ausführlicher Bericht spätestens einen Monat danach

Die Meldungen müssen Informationen zur Art, Ursache, Folgen des Vorfalls, Anzahl und Anteil betroffener Nutzer, Dauer der Störung, betroffenem geographischen Gebiet und ggf. grenzüberschreitende Auswirkungen enthalten. §12 (1)(2)

Das BBK meldet Vorfälle, die Auswirkungen auf kritische Dienstleistungen in anderen Mitgliedsstaaten haben, an die dortigen Aufsichtsbehörden. Sind sechs oder mehr Mitgliedsstaaten betroffen, unterrichtet das Innenministerium die Europäische Kommmission. §12 (4)(5)

Das BBK kann in Abstimmung mit Aufsichtsbehörden sachdienliche Folgeinformationen an den Betreiber leiten. Auswertungen zu Meldungen teils das BBK wiederum mit den Aufsichtsbehörden. §12 (6)(7)

Registrierung und Kontaktstelle

Betreiber müssen sich selbst identifizieren und registrieren. Die Registrierung soll zusammen von BBK und BSI eingerichtet werden. Betreiber kritischer Anlagen müssen sich am ersten Werktag nach eigener Identifikation (wahrscheinlich über Anlagen und Schwellenwerte) registrieren. §8 (1)

Betreiber müssen dem BBK eine jederzeit erreichbare Kontaktstelle benennen. §8 (3)(4)

Das BBK kann Betreiber kritischer Anlagen von sich aus registrieren, falls Betreiber ihrer Pflicht nicht nachkommen. §8 (2)

Betreiber von kritischen Anlagen von besonderer Bedeutung für Europa, die nach §7 (1) in sechs oder mehr Mitgliedsstaaten kritische Dienste anbieten, müssen dem BBK mitteilen, welche kritischen Dienstleistungen sie in welchen Mitgliedsstaaten anbieten. §7 (2)

Besondere Bedeutung für Europa

Bestimmte Anlagen sind kritische Anlagen von besonderer Bedeutung für Europa, wenn sie eine kritische Anlage nach Rechtsverordnung §15 sind, bestimmte (noch zu definierende) Dienstleistungen in sechs oder mehr EU-Staaten erbringen und ihr Betreiber eine Meldung durch die Europäische Kommission erhalten hat. §7 (1)

Die Europäische Kommission informiert das Innenministerium über diese Entscheidungen, das BBK leitet dies an betreffende Betreiber weiter. Das BBK ist dazu in regelmäßigem Austausch mit anderen Behörden in der EU für kritische Anlagen und Betreiber, die zwei oder mehr Mitgliedsstaaten tätig oder verbunden sind oder in Bezug stehen. §7 (3)(4)

Das Innenministerium kann für diese Anlagen bei der Europäischen Kommission eine Beratungsmission beantragen und übermittelt dieser die Risikobewertungen und §11 Resilienzmaßnahmen der Betreiber sowie durch das BBK getroffene Aufsichts- und Durchsetzungsmaßnahmen. §7 (5)

Aufsicht

Zuständigkeiten

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) ist die nationale zuständige Behörde und zentrale Anlaufstelle nach Art. 9 RCE/CER und unterstützt Betreiber kritischer Anlagen bei der Umsetzung von Resilienzmaßnahmen. §3 (1)

Das BBK arbeitet dazu eng mit BNetzA, BSI und Bafin zusammen und tauscht mit ihnen Informationen zu Maßnahmen, Risiken und Vorfällen zur Aufgabenerfüllung aus. §3 (2)(3)

Überwachung

Das BBK hat für Betreiber kritischer Anlagen Aufsichts- und Durchsetzungs­rechte für Resilienzmaßnahmen. §11

• Überprüfung der Einhaltung von Anforderungen, ggf. durch Dritte, auch durch Betreten der Räumlichkeiten und Einsichtnahme von Unterlagen §11 (9)
• Mängelbeseitigung nach Audits §11 (8)
• Anweisungen für Maßnahmen zur Behebung von Verstößen §11 (10)

Staatliche Aufgaben

Nationale Risikoanalysen

Die für die Sektoren zuständigen Bundesministerien müssen alle vier Jahre (oder in der Rechtsverordnung definiert) Risikoanalysen der kritischen Dienstleistungen durchführen. In den Analysen sollen Risiken bewertet werden, die die Wirtschaftsstabilität gefährden, die sektor- oder grenzüberschreitend sind und hybride, terroristische oder feindliche Bedrohungen. §9 (1)

Das BBK erhält diese Risikoanalysen der Bundesministerien und stellt relevante Teile den Betreibern zur Verfügung und übermittelt Informationen und Risiken an die Europäische Kommission. §9 (2) (3)

EU

Angelehnt an EU RCE/CER soll die Regulierung von Resilienz neben der nationalen Behörde in einen europäischen Rahmen in der EU eingebettet werden, zum Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen.

Das BBK übermittelt an die Europäische Kommission regelmäßig nationale Informationen: §14

• Ergebnisse und Risiken der nationalen Risikoanalysen nach §9 drei Monate nach Durchführung
• Kritische Anlagen und Dienstleistungen nach Ermittlung unverzüglich und dann alle vier Jahre
• Schwellenwerte zur Spezifizierung der Kriterien zur Ermittlung
• Bericht über Meldungen und Maßnahmen zum Juli 2028 und dann alle zwei Jahre

Deutschland

Die Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA wird im Gesetz angerissen, ist aber noch genauer auszugestalten – vor allem im Hinblick auf gemeinsame Registrierungs- und Meldewege.

Sanktionen und Bußgelder

Auch im KRITIS-Dachgesetz gibt es Bußgeldvorschriften, in §19. Diese sind deutlich umgrenzter als bei KRITIS und NIS2, und sind im aktuellen Entwurf noch nicht in der Höhe festgelegt.

Tatbestände

Folgende Tatbestände bei betroffenen Betreibern sind bei Vorsatz Ordnungswidrigkeiten. §19 (1) Die Höhe muss nach §19 (3) noch definiert werden.

Die Verwaltungsbehörde für die Bußgelder ist das BBK, die Verhängung der Bußgelder muss verhältnismäßig sein. §19 (2) und (4)

Gesetzgebung

Das KRITIS-Dachgesetz wurde im aktuellen Koalitionsvertrag der Bundesregierung schon angesprochen. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und hat dort einen Gesetzesentwurf bis zur Sommerpause 2023 avisiert, parallel zur NIS2-Umsetzung.

Im Juli 2023 wurde ein Referentenentwurf im frühen Stadium zur Abstimmung zwischen Ministerien bekannt. Das Gesetz könnte in 2023 noch verabschiedet werden und in Kraft treten, die EU RCE-Direktive gibt eine Frist zur nationalen Umsetzung bis Oktober 2024.

Das Dachgesetz soll fünf Jahre nach Inkrafttreten wissenschaftlich evaluiert werden. §18

Andere spezialgesetzliche Regelungen, die über die Mindestvorgaben des Dachgesetzes hinausgehen, bleiben unberührt. §5 (1)

Aufwände

Der aktuelle Referentenentwurf vom KRITIS-DachG schätzt noch keine Aufwände für die Umsetzung in der Wirtschaft und der Verwaltung. Die Zahlen warten auf eine Folgekosten­schätzung des statistischen Bundesamts.

Wirtschaft

• Laufende Kosten (Erfülungsaufwand) noch nicht bekannt
• Einmalige Personalkosten noch nicht bekannt

Verwaltung

• Planstellen noch nicht bekannt

Umsetzung

Inkrafttreten

Das Dachgesetz tritt am Tag nach der Verkündung in Kraft §20 (1) – möglicherweise noch 2023. Einige Maßnahmen treten aber erst im Januar 2026 in Kraft: §20 (2)

• Anforderungen an KRITIS-Betreiber unter den Schwellenwerten nach §6
• Anforderungen an Kritische Anlagen von besonderer Bedeutung für Europa nach §7
• Registrierungspflicht nach §8
• Risikoanalysen nach §10
• Resilienzmaßnahmen nach §11
• Meldewesen nach §12
• Ausnahmebescheide nach §16

Fristen zur Umsetzung

Im Gesetz sind Fristen zur Umsetzung von Anforderungen als Entwurf vorgesehen.

• Registrierung innerhalb eines Werktages nach Identifizierung §8 (1)
• Risikoanalyse neun Monate nach Registrierung §10 (1)
• Umsetzung Resilienzmaßnahmen frühestens zehn Monate nach Registrierung §11 (13)
• Erstmaliger Nachweis über Maßnahmenumsetzung spätestens zu einem vom BBK mit dem BSI bei der Registrierung festgelegten Zeitpunkt und dann alle zwei Jahre §11 (8)
• Meldungen von Vorfällen zehn Monate nach Registrierung §12 (8)

Ergänzende Rechtsverordnung

Verschiedene Definitionen aus dem KRITIS-Dachgesetz müssen noch durch eine Verordnung gemäß §15 durch das Innenministerium im Einvernehmen mit anderen Ministerien konkretisiert werden:

• Kritische Anlagen in den KRITIS-Sektoren mit kritischen Dienstleistungen und Versorgungsgrad
• Definitionen der Einrichtungen
• Möglicherweise Stichtage zur Bestimmung
• Möglicherweise Festlegung von Teilen der Bundesverwaltung als Kritische Infrastruktur
• Bestimmung der Schwellenwerte für kritische Dienstleistung der Sektoren

Die Rechtsverordnung soll die Einrichtungsarten und Schwellenwerte künftig sowohl nach BSIG als auch nach KRITIS-DachG bündeln. Somit wäre nur eine Rechtsverordnung für das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz (BSIG) vorgesehen.

Ein Entwurf der Rechtsverordnung ist noch nicht verfügbar.

Auswirkung auf weitere Gesetze

Es gibt (noch) keine Änderungen weiterer Gesetze.

Literatur

1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
2. Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
3. KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
4. Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
5. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

1. Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz), Bundesministerium des Innern, 17.07.2023
2. Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
3. Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
4. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
5. Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022