KRITIS-Dachgesetz

Die deutsche KRITIS-Regulierung ist nach dem IT-Sicherheitsgesetz 2.0 weiter in Entwicklung. Nach aktuellen Vorfällen und der politischen Lage in 2022 arbeitet das Innen­ministerium an einem KRITIS-Dachgesetz, das ab 2023 Anforderungen zu Resilienz und physischer Sicherheit an Kritische Infrastrukturen konkretisieren soll und Teile kommender EU-Regulierungen wie EU RCE/CER vorwegnimmt.

  1. Dachgesetz KRITIS: Resilienz-Anforderungen für Kritische Infrastrukturen
  2. IT-Sicherheitsgesetz 3.0 und NIS 2: Umsetzung von EU NIS 2 in Deutschland
  3. Neue Rechtsverordnungen: Änderungen zu KRITIS Entsorgung und NIS2
  4. Roadmap: Der Weg der kommende Gesetzgebung in Deutschland ab 2022/23

Die neue EU NIS 2 Richtlinie muss wie EU CER bis Oktober 2024 in nationales Recht überführt werden. Die Ausführungen auf dieser Seite beruhen auf Presseberichten, Eckpunkte-Papieren, einem ersten Entwurf des NIS2-Umsetzungsgesetzes, eigenen Einschätzungen und teils auch Annahmen.

DE KRITIS Betreiber und nun? EU NIS2, CER und KRITIS-Dachgesetz

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ März 2023 ∙ OpenKRITIS-Briefing

Dachgesetz Kritische Infrastrukturen

Aktueller Stand

Das KRITIS-Dachgesetz wird seit Ende 2022 öffentlich diskutiert, und soll die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und will einen Gesetzesentwurf bis zur Sommerpause 2023 vorlegen. Das Dachgesetz bezieht sich auf die 2022 verabschiedete EU CER-Richtlinie (EU 2022/2557) und greift dieser teilweise vor.

Scope

Die vom Dachgesetz abgedeckten Unternehmen umfassen kritische Einrichtungen (Critical Entities) in mindestens folgenden Sektoren, die über die bisherigen KRITIS-Sektoren etwas hinausgehen und sich an EU RCE (CER) orientieren – und bisherige KRITIS-Betreiber sicherlich auch umfassen, plus weitere.

eigene Zusammenstellung
* - geht über KRITIS hinaus; ✝ - soll angemessen einbezogen werden; ** - soll in Blick genommen werden
Kategorie Sektoren
KRITIS-Dach Energie, Verkehr, Bankwesen, Finanzmärkte, Gesundheit,
Trinkwasser, Abwasser, Ernährung
Digitale Infrastruktur*, Öffentliche Verwaltung*, Raumfahrt*
Medien und Kultur*✝
Bildung und Betreuung**

Bei der Identifikation sollen quantitative als auch qualitative Kriterien genutzt werden, wie Zahl der Nutzer aber auch die Bedeutung der Kritischen Infrastruktur für den Betrieb von Dienstleistungen. Betreiber mit spezieller europäischer Relevanz, die in sechs oder mehr Mitglied­staaten der Europäischen Union dieselben oder ähnliche kritische Dienstleistungen erbringen sollen identifiziert und einer stärkeren Aufsicht unterliegen.

Resilienz bei Betreibern

Schwerpunkte der neuen KRITIS-Schutzmaßnahmen sollen physische Sicherheit und Resilienz sein, folgende Anforderungen für Betreiber sind im Gespräch und sollen die bisherigen Cyber Security Vorgaben ergänzen:

Neben diskutierten Zäunen und Sperren, Zugangskontrollen, Sicherheits­überprüfungen, aber auch die Diversifizierung von Lieferketten und das Vorhalten von Redundanzen ist die konkrete Ausgestaltung der Anforderungen an Betreiber noch abzuwarten – EU RCE/CER selbst fordert viel BCM, Risiko-Management und Krisenvorsorge von Unternehmen.

Das Eckpunkte-Papier spricht von einer Abwägung von Wirtschaft­lichkeit und Eintritts­wahr­scheinlichkeit bei der Auswahl von Maßnahmen (Sicherung von Kritischen Infrastrukturen).

Staatliche Regelungen

Die gesamtstaatliche Steuerung Kritischer Infrastrukturen soll mit dem Gesetz verbessert werden, um die Resilienz des Gesamtsystems der Kritischen Infrastrukturen zu stärken:

Es soll mit dem KRITIS-Dachgesetz Möglichkeiten staatlicher Hilfen für Betreiber Kritischer Infrastrukturen geben — zur Umsetzung der neuerlichen Maßnahmen.

Behörden

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) soll die Competent Authority, die nationale Behörde für den physischen Schutz kritischer Infrastrukturen werden. Dadurch wird das Aufgabenspektrum erweitert – das BBK soll Meldungen über Sicherheits­vorfälle annehmen, mit dem BSI zusammenarbeiten und als übergreifende Behörde das Gesamtsystem Kritischer Infrastrukturen betrachten, auch durch sektoren­übergreifende Auswertungen.

Angelehnt an EU RCE/CER soll die Regulierung von Resilienz neben der nationalen Behörde in einen europäischen Rahmen in der EU eingebettet werden, zum Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen.

Die genaue Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA bleibt in der Gesetzgebung noch genauer auszugestalten – um u.a. parallele Zuständigkeiten bei Maßnahmen, Meldewegen zu vermeiden. Das BBK soll hier die Behörden vernetzen und eine schnelle Informations­weitergabe ermöglichen.

up

IT-Sicherheitsgesetz 3.0 und NIS 2

Ausblick und Scope

Das aktuelle IT-Sicherheitsgesetz 2.0 wurde mit langem Vorlauf nach den Erfahrungen seit 2015 entwickelt und trat Mai 2021 in Kraft. Auf EU-Ebene gibt es seit Jahren Bestrebungen, die Vorgaben für Kritische Infrastrukturen tiefer und verbindlicher zu machen – was unter anderem zu den NIS 2 (Cyber Security) und RCE (Resilienz) Direktiven geführt hat.

Während RCE anscheinend in Teilen im kommenden KRITIS-Dachgesetz behandelt wird, muss NIS 2 (EU 2022/2555) bis Oktober 2024 in nationale Gesetzgebung überführt werden und zu Änderungen am BSI-Gesetz führen, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.

Die NIS2-Anforderungen werden im Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit behandelt werden, kurz NIS2UmsuCG. (Also leider kein IT-Sicherheitsgesetz 3.0 — wäre deutlich besser sprechbar gewesen...) Das Gesetz liegt aktuell in einer ersten Entwurfsversion vor.

up

Betreiber und Staat

Obwohl die Anforderungen, Pflichten und Befugnisse in der deutschen KRITIS-Regulierung eher umfangreich sind, geht die kommende EU-Regulierung teilweise darüber­hinaus bzw. noch mehr ins Detail – was im NIS2-Umsetzungsgesetz aufgegriffen werden wird.

Schutzmaßnahmen

Die konkreten Schutzmaßnahmen für Cyber Security und Resilienz sind in EU NIS 2 und der CER-Richtlinie deutlich konkreter und umfangreicher beschrieben als §8a BSIG der KRITIS-Regulierung. NIS 2 und RCE fordern viele konkrete Vorgaben, Prozesse und Kontrollen für z.B. BCM, Krisenvorsorge, Sicherheit in der Lieferkette und im Einkauf, und auch technische Maßnahmen wie Zugangskontrolle, Asset Management, Authentication und Kommunikation.

Betreiberpflichten

Die Meldepflichten und insbesondere EU-Verkettungen nehmen durch NIS 2 und RCE im Vergleich zu jetzigen Pflichten zu. Betreiber werden wahrscheinlich mehr Informationen an mehr Empfänger melden müssen. Die Möglichkeiten staatlicher Überprüfungen nehmen zu – durch Audits, Tests aber auch Scans durch staatliche oder unabhängige Stellen.

Staatliche Governance

Die Ausführungen zu staatlicher Aufsicht und Governance nehmen in NIS 2 und RCE zu — behördliche Befugnisse und Informations­bedarfe gegenüber Betreibern sollen erweitert, Strafen und Bußgelder angepasst werden. Teilweise sollen auch staatliche Register über kritische Betreiber erstellt und ebenso wie besonders kritische Betreiber gemeldet werden.

Zusammenarbeit in der EU

Die Kooperation und der Informationsaustausch innerhalb der EU und zwischen Behörden soll stark zunehmen, wozu auch nationale Informationen zu grenzüberschreitenden Betreibern, Risiken und Infrastrukturen ausgetausch werden sollen.

up

Rechtsverordnungen

Ausstehende Änderungen

Seit dem IT-Sicherheitsgesetz 2.0 gibt es noch ausstehende Änderungen an der KRITIS-Verordnung, die Sektoren und Anlagen in Deutschland konkretisiert.

Entsorgung

Der KRITIS-Sektor Siedlungs­abfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit geplantem Referenten­entwurf im ersten Halbjahr 2023 und Inkrafttreten danach in 2023. Dort sollten Anlagen und Schwellenwerte aus dem Sektor definiert werden, um die konkrete Betroffenheit an Entsorgern zu definieren.

UBI

Die Unternehmen im besonderen öffentlichen Interesse (UBI) sollten in einer separation UBI-Verordnung, der UBI-VO, noch konkretisiert werden, ursprünglich geplant für 2022. Aufgrund der veränderten Regulatorik mit dem NIS2-Umsetzungsgesetz wird die UBI-VO wohl nicht mehr weiterverfolgt werden, da UBI künftig entfallen und in die wichtigen und teils auch besonders wichtigen Einrichtungen aus NIS2 integriert werden.

up

Roadmap

Entwicklungen

Das bestehende IT-Sicherheitsgesetz 2.0 ist seit Mai 2021 in Kraft; die EU-Richtlinien wurden auf EU-Ebene verabschiedet, die Umsetzung in nationales Recht mit KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz sind in Arbeit. Das Dachgesetz sollte 2023 verabschiedet werden; das NIS2-Umsetzungsgesetz liegt seit Frühjahr 2023 in einem ersten Entwurf vor.

Zeitleiste

Ausblick Dachgesetz und NIS2-Umsetzungsgesetz, Stand Mai 2023
aus: eigene Annahmen, Daten mit ? sind Spekulation.
Version Status Datum Akteur
NIS 2 Entwurfsversion Dez 2020 Kommission
RCE (CER) Entwurfsversion Dez 2020 Kommission
IT-Sicherheitsgesetz 2.0 Inkrafttreten Mai 2021 Bundesrat
NIS 2 Zustimmung NIS 2 Nov 2022 EU Parlament
RCE (CER) Zustimmung CER Nov 2022 EU Parlament
KRITIS-Dachgesetz Diskussion Nov 2022 Presse
NIS 2 Annahme NIS 2 Nov 2022 Rat der EU
KRITIS-Dachgesetz Eckpunkte-Papier Dez 2022 Innenministerium
NIS 2 EU 2022/2555 Dez 2022 Amtsblatt
RCR/CER EU 2022/2557 Dez 2022 Amtsblatt
NIS2-Umsetzungsgesetz Entwurf 2023 Deutschland
KRITIS-Dachgesetz Gesetzgebung Sommer 2023 Deutschland
Verordnung Entsorgung Gesetzgebung 2023? Deutschland
NIS 2 Umsetzung national bis Okt 2024 Mitglied­staaten
CER Umsetzung national bis Okt 2024 Mitglied­staaten

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
  3. KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
  4. Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
  5. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

  1. Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
  2. Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
  3. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
  4. Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022