KRITIS-Dachgesetz

Die deutsche KRITIS-Regulierung ist nach dem IT-Sicherheitsgesetz 2.0 weiter in Entwicklung. Nach aktuellen Vorfällen und der politischen Lage in 2022 arbeitet das Innen­ministerium an einem KRITIS-Dachgesetz, das ab 2023 Anforderungen zu Resilienz und physischer Sicherheit an Kritische Infrastrukturen konkretisieren soll und Teile kommender EU-Regulierungen wie EU RCE/CER vorwegnimmt.

Entwicklungen und Änderungen der deutschen KRITIS-Regulierung ab 2023:

  1. Dachgesetz KRITIS: Resilienz-Anforderungen für Kritische Infrastrukturen
  2. IT-Sicherheitsgesetz 3.0 und NIS 2: Umsetzung von EU NIS 2 in Deutschland
  3. Neue Rechtsverordnungen: Änderungen zu KRITIS Entsorgung und UBI Gruppe 2
  4. Roadmap: Der Weg der kommende Gesetzgebung in Deutschland ab 2022/23

Die neue EU NIS 2 Richtlinie muss wie EU CER bis Oktober 2024 in nationales Recht überführt werden – zusammen mit weiteren Neuerungen möglicherweise als IT-Sicherheitsgesetz 3.0. Die Ausführungen auf dieser Seite beruhen auf Presseberichten, Eckpunkte-Papiern, eigenen Einschätzungen und teils auch Annahmen.

DE KRITIS Betreiber und nun? EU NIS2, CER und KRITIS-Dachgesetz

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2023
Deutsch ∙ PDF ∙ März 2023 ∙ OpenKRITIS-Briefing

Dachgesetz Kritische Infrastrukturen

Aktueller Stand

Das KRITIS-Dachgesetz wird seit Ende 2022 öffentlich diskutiert, und soll die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und will einen Gesetzesentwurf bis zur Sommerpause 2023 vorlegen. Das Dachgesetz bezieht sich auf die 2022 verabschiedete EU CER-Richtlinie (EU 2022/2557) und greift dieser teilweise vor.

Scope

Die vom Dachgesetz abgedeckten Unternehmen umfassen kritische Einrichtungen (Critical Entities) in mindestens folgenden Sektoren, die über die bisherigen KRITIS-Sektoren etwas hinausgehen und sich an EU RCE (CER) orientieren – und bisherige KRITIS-Betreiber sicherlich auch umfassen, plus weitere.

eigene Zusammenstellung
* - geht über KRITIS hinaus; ✝ - soll angemessen einbezogen werden; ** - soll in Blick genommen werden
Kategorie Sektoren
KRITIS-Dach Energie, Verkehr, Banken, Finanzmärkte, Gesundheit,
Trinkwasser, Abwasser, Ernährung
Digitale Infrastruktur*, Öffentliche Verwaltung*, Raumfahrt*
Medien und Kultur*✝
Bildung und Betreuung**

Bei der Identifikation sollen quantitative als auch qualitative Kriterien genutzt werden, wie Zahl der Nutzer aber auch die Bedeutung der Kritischen Infrastruktur für den Betrieb von Dienstleistungen. Betreiber mit spezieller europäischer Relevanz, die in sechs oder mehr Mitglied­staaten der Europäischen Union dieselben oder ähnliche kritische Dienstleistungen erbringen sollen identifiziert und einer stärkeren Aufsicht unterliegen.

Resilienz bei Betreibern

Schwerpunkte der neuen KRITIS-Schutzmaßnahmen sollen physische Sicherheit und Resilienz sein, folgende Anforderungen für Betreiber sind im Gespräch und sollen die bisherigen Cyber Security Vorgaben ergänzen:

Neben diskutierten Zäunen und Sperren, Zugangskontrollen, Sicherheits­überprüfungen, aber auch die Diversifizierung von Lieferketten und das Vorhalten von Redundanzen ist die konkrete Ausgestaltung der Anforderungen an Betreiber noch abzuwarten – EU RCE/CER selbst fordert viel BCM, Risiko-Management und Krisenvorsorge von Unternehmen.

Das Eckpunkte-Papier spricht von einer Abwägung von Wirtschaft­lichkeit und Eintritts­wahr­scheinlichkeit bei der Auswahl von Maßnahmen (Sicherung von Kritischen Infrastrukturen).

Staatliche Regelungen

Die gesamtstaatliche Steuerung Kritischer Infrastrukturen soll mit dem Gesetz verbessert werden, um die Resilienz des Gesamtsystems der Kritischen Infrastrukturen zu stärken:

Es soll mit dem KRITIS-Dachgesetz Möglichkeiten staatlicher Hilfen für Betreiber Kritischer Infrastrukturen geben — zur Umsetzung der neuerlichen Maßnahmen.

Behörden

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) soll die Competent Authority, die nationale Behörde für den physischen Schutz kritischer Infrastrukturen werden. Dadurch wird das Aufgabenspektrum erweitert – das BBK soll Meldungen über Sicherheits­vorfälle annehmen, mit dem BSI zusammenarbeiten und als übergreifende Behörde das Gesamtsystem Kritischer Infrastrukturen betrachten, auch durch sektoren­übergreifende Auswertungen.

Angelehnt an EU RCE/CER soll die Regulierung von Resilienz neben der nationalen Behörde in einen europäischen Rahmen in der EU eingebettet werden, zum Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen.

Die genaue Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA bleibt in der Gesetzgebung noch genauer auszugestalten – um u.a. parallele Zuständigkeiten bei Maßnahmen, Meldewegen zu vermeiden. Das BBK soll hier die Behörden vernetzen und eine schnelle Informations­weitergabe ermöglichen.

up

IT-Sicherheitsgesetz 3.0 und NIS 2

Ausblick und Scope

Das aktuelle IT-Sicherheitsgesetz 2.0 wurde mit langem Vorlauf nach den Erfahrungen seit 2015 entwickelt und trat Mai 2021 in Kraft. Auf EU-Ebene gibt es seit Jahren Bestrebungen, die Vorgaben für Kritische Infrastrukturen tiefer und verbindlicher zu machen – was unter anderem zu den NIS 2 (Cyber Security) und RCE (Resilienz) Direktiven geführt hat.

Während RCE anscheinend in Teilen im kommenden KRITIS-Dachgesetz behandelt wird, muss NIS 2 (EU 2022/2555) bis Oktober 2024 in nationale Gesetzgebung überführt werden und zu Änderungen am BSI-Gesetz führen, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.

Die NIS 2 Anforderungen könnten im IT-Sicherheitsgesetz 3.0 behandelt werden, das sowohl Methodik, regulierte Unternehmen als auch Pflichten erweitert. NIS2 schafft als horizontaler Rechtsakt [...] ein sektor­übergreifendes Mindestsicherheits­niveau, allerdings ergeben sich angesichts weiterer sektoraler und horizontaler Rechtsakte deutliche Querbezüge zu anderen Regulierungs­bereichen.

Methodik

Die bisherige Logik im IT-Sicherheitsgesetz basiert auf Betreibern in KRITIS-Sektoren, die in definierten Anlagen definierte Dienstleistungen (kDL) erbringen und beim Überschreiten von Schwellenwerten (meist 500 Tsd. versorgte Personen) zur Kritischen Infrastruktur werden.

EU NIS 2 definiert ebenfalls Sektoren, legt Betroffenheit jedoch durch Unternehmens­größe fest: Unternehmen und Organisationen in diesen Sektoren mit >50 Mitarbeitern und >10 Mio. EUR Umsatz sind kritisch und müssen reguliert werden.

Ob die deutsche Methodik (Anlagen und Schwellenwerte) beibehalten und erweitert, oder durch die NIS 2 Methodik ergänzt wird, ist noch offen. Denkbar ist ein mehrstufiges System:

Neue Sektoren und Unternehmen

In der NIS 2 Richtlinie sind achtzehn Sektoren definiert, die sich mit den deutschen KRITIS-Sektoren und den UBI teils überschneiden, teils aber auch über diese hinausgehen. Die im jetzigen IT-Sicherheitsgesetz noch fehlenden Sektoren (und Branchen) könnten dann im IT-Sicherheitsgesetz 3.0 oder neuen Rechtsverordnungen geregelt werden.

eigene Zusammenstellung
* - NIS2 Essential, ✝ - NIS2 Important
KRITIS NIS2
Teilweise in KRITIS Digitale Infrastruktur*, Raumfahrt*, Post und Kurier✝, Chemikalien✝,
Industrie✝ (Manufacturing), Digitale Dienste✝
Fehlt in KRITIS Energie* (Wasserstoff), Gesundheit* (Medizinforschung, Medizingeräte),
ICT Service Management* (Managed Service Providers, Managed Security Service Providers), Öffentliche Verwaltung*, Forschung* (Forschungsinstitute)

Größen­unabhängige Unternehmen

Neben einer Identifikation nach Unternehmensgröße fordert NIS 2, spezielle Betreiber unabhängig der Größe zu regulieren, was das IT-Sicherheitsgesetz bisher noch nicht vorsieht:

up

Betreiber und Staat

Obwohl die Anforderungen, Pflichten und Befugnisse in der deutschen KRITIS-Regulierung eher umfangreich sind, geht die kommende EU-Regulierung teilweise darüber­hinaus bzw. noch mehr ins Detail – was in einem Sicherheitsgesetz 3.0 aufgegriffen werden könnte.

Schutzmaßnahmen

Die konkreten Schutzmaßnahmen für Cyber Security und Resilienz sind in EU NIS 2 und der CER-Richtlinie deutlich konkreter und umfangreicher beschrieben als §8a BSIG der KRITIS-Regulierung. NIS 2 und RCE fordern viele konkrete Vorgaben, Prozesse und Kontrollen für z.B. BCM, Krisenvorsorge, Sicherheit in der Lieferkette und im Einkauf, und auch technische Maßnahmen wie Zugangskontrolle, Asset Management, Authentication und Kommunikation.

Betreiberpflichten

Die Meldepflichten und insbesondere EU-Verkettungen nehmen durch NIS 2 und RCE im Vergleich zu jetzigen Pflichten zu. Betreiber werden wahrscheinlich mehr Informationen an mehr Empfänger melden müssen. Die Möglichkeiten staatlicher Überprüfungen nehmen zu – durch Audits, Tests aber auch Scans durch staatliche oder unabhängige Stellen.

Staatliche Governance

Die Ausführungen zu staatlicher Aufsicht und Governance nehmen in NIS 2 und RCE zu — behördliche Befugnisse und Informations­bedarfe gegenüber Betreibern sollen erweitert, Strafen und Bußgelder angepasst werden. Teilweise sollen auch staatliche Register über kritische Betreiber erstellt und ebenso wie besonders kritische Betreiber gemeldet werden.

Zusammenarbeit in der EU

Die Kooperation und der Informationsaustausch innerhalb der EU und zwischen Behörden soll stark zunehmen, wozu auch nationale Informationen zu grenzüberschreitenden Betreibern, Risiken und Infrastrukturen ausgetausch werden sollen.

up

Rechtsverordnungen

Ausstehende Änderungen

Seit dem IT-Sicherheitsgesetz 2.0 gibt es noch ausstehende Änderungen an der KRITIS-Verordnung, die Sektoren und Anlagen in Deutschland konkretisiert.

Entsorgung

Der KRITIS-Sektor Siedlungs­abfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit geplantem Referenten­entwurf im ersten Halbjahr 2023 und Inkrafttreten danach in 2023. Dort sollten Anlagen und Schwellenwerte aus dem Sektor definiert werden, um die konkrete Betroffenheit an Entsorgern zu definieren.

UBI

Offen sind noch konkretere Definitionen und Methodiken für Unternehmen im besonderen öffentlichen Interesse (UBI), speziell Gruppe 2 Volkswirtschaftliche Bedeutung und deren Zulieferer. Hier stehen noch Schwellenwerte und Identifikations­mechanismen aus, die letzte Annahme war analog zur Arbeit der Monopol­kommission nach §44 (1) GWB.

Dies soll in einer separation UBI-Verordnung, der UBI-VO, erfolgen, ursprünglich geplant für 2022, nun möglicherweise in 2023.

up

Roadmap

Entwicklungen

Das bestehende IT-Sicherheitsgesetz 2.0 ist seit Mai 2021 in Kraft; die EU-Richtlinien wurden auf EU-Ebene verabschiedet, die Umsetzung in nationales Recht und KRITIS-Dachgesetz und IT-Sicherheitsgesetz 3.0 sind in Diskussion. Ein Eckpunkte-Papier soll noch Ende 2022 und das Dachgesetz dann irgendwann 2023 verabschiedet werden, das IT-Sicherheitsgesetz (3.0) dann auch an die neue europäische Rechtslage angepasst werden.

Zeitleiste

Ausblick Dachgesetz und IT-Sicherheitsgesetz 3.0, Stand November 2022
aus: eigene Annahmen, Daten mit ? sind Spekulation.
Version Status Datum Akteur
NIS 2 Entwurfsversion Dez 2020 Kommission
RCE (CER) Entwurfsversion Dez 2020 Kommission
IT-Sicherheitsgesetz 2.0 Inkrafttreten Mai 2021 Bundesrat
NIS 2 Zustimmung NIS 2 Nov 2022 EU Parlament
RCE (CER) Zustimmung CER Nov 2022 EU Parlament
KRITIS-Dachgesetz Diskussion Nov 2022 Presse
NIS 2 Annahme NIS 2 Nov 2022 Rat der EU
KRITIS-Dachgesetz Eckpunkte-Papier Dez 2022 Innenministerium
NIS 2 EU 2022/2555 Dez 2022 Amtsblatt
RCR/CER EU 2022/2557 Dez 2022 Amtsblatt
KRITIS-Dachgesetz Gesetzgebung Sommer 2023 Deutschland
Verordnung Entsorgung Gesetzgebung 2023? Deutschland
Verordnung UBI Gesetzgebung 2023? Deutschland
IT-Sicherheitsgesetz 3.0 Gesetzgebung 2023? Deutschland
NIS 2 Umsetzung national bis Okt 2024 Mitglied­staaten
CER Umsetzung national bis Okt 2024 Mitglied­staaten

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
  3. KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
  4. Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
  5. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

  1. Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
  2. Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
  3. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
  4. Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022