KRITIS-Dachgesetz

Das KRITIS-Dachgesetz soll als neues Element in der Regulierung Kritischer Infrastrukturen ab 2023 die Resilienz und physische Sicherheit von kritischen Betreibern stärken. Basierend auf der EU RCE/CER Direktive betrifft das KRITIS-Dachgesetz bestimmte Betreiber, die bald mehr Maßnahmen umsetzen müssen. Es geht um BCM, physische Sicherheit, Personal und Risiko/Krisenmanagement.

  1. Betreiber
  2. Resilienz
  3. Informationen
  4. Staat, BSI und BBK
  5. Roadmap

Parallel zum Dachgesetz und EU RCE setzt das NIS2-Umsetzungsgesetz die neue EU NIS 2 Direktive für Cybersecurity in Deutschland um. Beide Gesetze erweitern die KRITIS-Regulierung in Deutschland deutlich in der Breite und Tiefe. Erwartbar ist eine Verkündung in 2023 mit Inkrafttreten in 2024.

Die Ausführungen beruhen auf einem Referentenentwurf von Juli 2023 auf ag.kritis.info. Der Entwurf selbst und die Analysen unten sind als work in progress mit Vorsicht zu genießen.

Dachgesetz Kritische Infrastrukturen

Mehr KRITIS-Resilienz ab 2023

Das KRITIS-Dachgesetz soll als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken. Das Gesetz setzt die EU CER-Richtlinie (EU 2022/2557) um und reguliert dazu KRITIS-Betreiber bzw. Betreiber kritischer Anlagen mit zusätzlichen Maßnahmen und Pflichten.

Der frühe Referentenentwurf von Juli 2023 enthält folgende Vorgaben:

Im aktuellen Referentenentwurf, noch zur Abstimmung zwischen den Ministerien, sind die verpflichtenden Vorgaben und Fristen für Betreiber sehr milde definiert. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen und Nachweise treten erst 2026 (!) in Kraft. Trotz allem kommen auf eine Gruppe von Betreibern zusätzliche Maßnahmen zu.

up

Betroffene Unternehmen

Betreiber in Deutschland

Das Gesetz soll kritische Anlagen in Deutschland schützen. Die betroffenen Unternehmen in Deutschland umfassen Betreiber kritischer Anlagen in den (bisherigen) KRITIS-Sektoren.

Der Gesetzgeber geht von etwa 2.000 betroffenen Unternehmen aus – wahrscheinlich die bisherigen (Stand 2023) KRITIS-Betreiber noch ohne die weiteren Einrichtungen.

Betreiber

Das Dachgesetz legt drei Gruppen von Unternehmen fest, von denen eine unter die Regulierung fällt.

  1. Betreiber kritischer Anlagen §2 (5), die ex-KRITIS-Betreiber, sind (wahrscheinlich mit KRITIS-Methodik) durch einzelne Anlagen nach KRITIS-Verordnung betroffen.

Nicht unter das Dachgesetz fallen besonders wichtige und wichtige Einrichtungen §2 (12) nach NIS2.

Sektoren

Die Sektoren weichen von den bestehenden KRITIS-Sektoren und NIS2-Umsetzung leicht ab und werden sicherlich (hoffentlich) noch harmonisiert.

eigene Zusammenstellung
* - geht über KRITIS hinaus; ✝ - von vielen Pflichten ausgenommen
Kategorie Sektoren
Kritische Anlagen (KRITIS) Energie, Transport und Verkehr, Finanz und Versicherungen✝, Gesundheit, Trinkwasser und Abwasser, Ernährung, IT und TK✝, Weltraum*, Öffentliche Verwaltung*, Entsorgung

Für die nicht (mehr) betroffenen Sektoren Medien und Kultur, Bildung, Betreuung können Bund und Länder im Rahmen ihrer Zuständigkeiten entsprechende Resilienzmaßnahmen und Monitoring festlegen. §5 (2)

Identifikation

Die betroffenen Betreiber müssen sich durch ihre kritischen Anlagen identifizieren, die selbst noch in einer ergänzenden Rechtsverordnung nach §15 festgelegt werden. Die Anlagen sollen nach Schwellenwert identifiziert werden, jeweils zu Stichtagen. §4

Für Betreiber kritischer Anlagen sind die genauen Schwellenwerte, Anlagenarten etc. noch nicht bekannt – denkbar ist ein Rückgriff auf die bekannten KRITIS-Anlagen und Schwellenwerte.

Ausschlüsse

Für einige Betreiber gibt es Abweichungen und Ausnahmebescheide zu den Dachgesetz-Maßnahmen, vor allem für Sicherheitsbehörden.

  1. Betreiber der nationalen Sicherheit, öffentlichen Sicherheit, Verteidigung oder Strafverfolgung können von den Maßnahmen §§10, 11 und 12 (Risikoanalysen, Resilienzmaßnahmen, Meldewesen) befreit werden §16 (2). Dies umfasst auch Dienstleister, die ausschließlich für solche Behörden tätig sind.
  2. Betreiber, die ausschließlich in den vorgenannten Bereichen tätig sind, können zusätzlich von §8 (Registrierung) befreit werden. §16 (3)
  3. Die Resilienz muss in beiden Fällen anderweitig gewährleistet sein und beaufsichtigt werden
  4. Betreiber Kritischer Infrastrukturen unter den (KRITIS-)Schwellenwerten müssen die §11 Maßnahmen nicht umsetzen, sondern können dies zur Steigerung der Resilienz tun. §6
  5. Das Innenministerium kann bestimmte Betreiber von Vorgaben teilweise oder vollständig befreien, auf eigene Veranlassung oder durch bestimmte Behörden. §16 (1)
  6. Betreiber in den Sektoren Finanz- und Versicherungs­wesen und Informationstechnik und Tele­kom­munikation müssen die Risikoanalysen nach §10 (1), Resilienzmaßnahmen nach §11 und Meldepflichten nach §12 nicht umsetzen. §10 (3) §11 (14) §12 (9)

up

Resilienz

Pflichten von Betreibern

Die betroffenen Betreiber kritischer Anlagen müssen sowohl Resilienz­maßnahmen umsetzen als auch zusätzliche Formalien wie Registrierung, Meldungen und Nachweise erfüllen.

Risikoanalyse

Betreiber müssen neun Monate nach Registrierung und dann mindestens alle vier Jahre eigene Risikoanalysen durchführen, die auf den nationalen Risikoanalysen nach §9 oder anderen Quellen basieren. §10 (1) Betrachtet werden muss eine lange Liste an Risiken:

Erbringen Betreiber gleichwerte Risikoanalysen aus anderen öffentlich-rechtlichen Verpflichtungen, kann das BBK im Einvernehmen mit anderen Aufsichtsbehörden diese als gleichwertig erklären. §10 (2)

Resilienzmaßnahmen

Betreiber müssen geeignete und verhältnismäßige Maßnahmen umsetzen, um die Resilienz der Anlagen zu gewährleisten. §11 (1) Die Maßnahmen sind verhältnismäßig, wenn der Aufwand zur Verhinderung von Folgen angemessen erscheint. §11 (2)

Zu den Maßnahmen zählen: §11 (3)

Betreiber müssen die §11 (1) Maßnahmen in einem Resilienzplan dokumentieren. §11 (6)

Mögliche Maßnahmen

In Anhang 1 schlägt das Dachgesetz insbesondere zu berücksichtigende Maßnahmen bei der Abwägung von §11 (2) vor, die Betreiber berücksichtigen können. §11 (4)

Branchenstandards

Betreiber und Branchenverbände können branchenspezifische Resilienz­standards zur Umsetzung von §11 (1) vorschlagen. Das BBK stellt dann die Eignung auf Antrag fest, im Einvernehmen mit dem BSI und/oder weiteren Aufsichtsbehörden. §11 (5)

Kritische Komponenten

Der Einsatz von kritischen Komponenten soll für Betreiber kritischer Anlagen reglementiert werden (analog zum IT-Sicherheitsgesetz); Der entsprechende Paragraph ist noch leer. §13

up

Informationen

Nachweise und Prüfungen

Betreiber müssen sowohl die Umsetzung der §11 Maßnahmen als auch den dokumentierten Resilienzplan dem BBK nachweisen, zu einem bei der Registrierung festgelegten Zeitpunkt und dann alle zwei Jahre. §11 (6)(8)

Audits

Der Nachweis der §11 Maßnahmen kann durch Audits erfolgen, von denen Betreiber die Ergebnisse und Mängel an das BBK übermitteln. Das BBK kann Dokumentationen der Über­prüfung, einen Mängel­beseitigungsplan, die Behebung der Mängel und einen Nachweis über die Beseitigung verlangen. §11 (8)

Das BBK kann bei Zweifeln von sich aus die Umsetzung bei Betreibern überprüfen. §11 (9)

Vorgaben

Das BBK kann Vorgaben zur Art und Durchführung der Audits, zu Nachweisen und fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle festlegen. §11 (8)

up

Meldewesen

Mit dem KRITIS-Dachgesetz kommen auf betroffene Betreiber zusätzliche Informations- und Meldepflichten an das BBK zu, die teilweise aber vereinheitlicht werden sollen.

Meldung von Sicherheitsvorfällen

Betreiber kritischer Anlagen müssen Vorfälle, die die kritische Dienstleistung erheblich stören könnten, unverzüglich an eine von BBK und BSI einzurichtende gemeinsame Kontaktstelle melden. §12 (1)(3)

Die Meldungen müssen Informationen zur Art, Ursache, Folgen des Vorfalls, Anzahl und Anteil betroffener Nutzer, Dauer der Störung, betroffenem geographischen Gebiet und ggf. grenzüberschreitende Auswirkungen enthalten. §12 (1)(2)

Das BBK meldet Vorfälle, die Auswirkungen auf kritische Dienstleistungen in anderen Mitgliedsstaaten haben, an die dortigen Aufsichtsbehörden. Sind sechs oder mehr Mitgliedsstaaten betroffen, unterrichtet das Innenministerium die Europäische Kommmission. §12 (4)(5)

Das BBK kann in Abstimmung mit Aufsichtsbehörden sachdienliche Folgeinformationen an den Betreiber leiten. Auswertungen zu Meldungen teils das BBK wiederum mit den Aufsichtsbehörden. §12 (6)(7)

Registrierung und Kontaktstelle

Betreiber müssen sich selbst identifizieren und registrieren. Die Registrierung soll zusammen von BBK und BSI eingerichtet werden. Betreiber kritischer Anlagen müssen sich am ersten Werktag nach eigener Identifikation (wahrscheinlich über Anlagen und Schwellenwerte) registrieren. §8 (1)

Betreiber müssen dem BBK eine jederzeit erreichbare Kontaktstelle benennen. §8 (3)(4)

Das BBK kann Betreiber kritischer Anlagen von sich aus registrieren, falls Betreiber ihrer Pflicht nicht nachkommen. §8 (2)

Betreiber von kritischen Anlagen von besonderer Bedeutung für Europa, die nach §7 (1) in sechs oder mehr Mitgliedsstaaten kritische Dienste anbieten, müssen dem BBK mitteilen, welche kritischen Dienstleistungen sie in welchen Mitgliedsstaaten anbieten. §7 (2)

Besondere Bedeutung für Europa

Bestimmte Anlagen sind kritische Anlagen von besonderer Bedeutung für Europa, wenn sie eine kritische Anlage nach Rechtsverordnung §15 sind, bestimmte (noch zu definierende) Dienstleistungen in sechs oder mehr EU-Staaten erbringen und ihr Betreiber eine Meldung durch die Europäische Kommission erhalten hat. §7 (1)

Die Europäische Kommission informiert das Innenministerium über diese Entscheidungen, das BBK leitet dies an betreffende Betreiber weiter. Das BBK ist dazu in regelmäßigem Austausch mit anderen Behörden in der EU für kritische Anlagen und Betreiber, die zwei oder mehr Mitgliedsstaaten tätig oder verbunden sind oder in Bezug stehen. §7 (3)(4)

Das Innenministerium kann für diese Anlagen bei der Europäischen Kommission eine Beratungsmission beantragen und übermittelt dieser die Risikobewertungen und §11 Resilienzmaßnahmen der Betreiber sowie durch das BBK getroffene Aufsichts- und Durchsetzungsmaßnahmen. §7 (5)

up

Staat und Aufsicht

Aufsicht

Zuständigkeiten

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) ist die nationale zuständige Behörde und zentrale Anlaufstelle nach Art. 9 RCE/CER und unterstützt Betreiber kritischer Anlagen bei der Umsetzung von Resilienzmaßnahmen. §3 (1)

Das BBK arbeitet dazu eng mit BNetzA, BSI und Bafin zusammen und tauscht mit ihnen Informationen zu Maßnahmen, Risiken und Vorfällen zur Aufgabenerfüllung aus. §3 (2)(3)

Überwachung

Das BBK hat für Betreiber kritischer Anlagen Aufsichts- und Durchsetzungs­rechte für Resilienzmaßnahmen. §11

up

Staatliche Aufgaben

Nationale Risikoanalysen

Die für die Sektoren zuständigen Bundesministerien müssen alle vier Jahre (oder in der Rechtsverordnung definiert) Risikoanalysen der kritischen Dienstleistungen durchführen. In den Analysen sollen Risiken bewertet werden, die die Wirtschaftsstabilität gefährden, die sektor- oder grenzüberschreitend sind und hybride, terroristische oder feindliche Bedrohungen. §9 (1)

Das BBK erhält diese Risikoanalysen der Bundesministerien und stellt relevante Teile den Betreibern zur Verfügung und übermittelt Informationen und Risiken an die Europäische Kommission. §9 (2) (3)

EU

Angelehnt an EU RCE/CER soll die Regulierung von Resilienz neben der nationalen Behörde in einen europäischen Rahmen in der EU eingebettet werden, zum Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen.

Das BBK übermittelt an die Europäische Kommission regelmäßig nationale Informationen: §14

Deutschland

Die Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA wird im Gesetz angerissen, ist aber noch genauer auszugestalten – vor allem im Hinblick auf gemeinsame Registrierungs- und Meldewege.

up

Sanktionen und Bußgelder

Auch im KRITIS-Dachgesetz gibt es Bußgeldvorschriften, in §19. Diese sind deutlich umgrenzter als bei KRITIS und NIS2, und sind im aktuellen Entwurf noch nicht in der Höhe festgelegt.

Tatbestände

Folgende Tatbestände bei betroffenen Betreibern sind bei Vorsatz Ordnungswidrigkeiten. §19 (1) Die Höhe muss nach §19 (3) noch definiert werden.

eigene Zusammenstellung, Stand Juli 2023
Höhe Verstöße
TBD
  • Registrierung nach §8 (1) nicht oder nicht rechtzeitig vorgenommen
  • Erforderliche Stelle nach §8 (3) nicht oder nicht rechtzeitig benannt
  • Risikoanalysen nach §10 (1) nicht durchgeführt
  • Resilienzplan oder Nachweise nach §11 (8) nicht dem BBK vorgelegt
  • Betreten der Geschäftsräme nach §11 (9) nicht gestattet

Die Verwaltungsbehörde für die Bußgelder ist das BBK, die Verhängung der Bußgelder muss verhältnismäßig sein. §19 (2) und (4)

up

Roadmap

Gesetzgebung

Das KRITIS-Dachgesetz wurde im aktuellen Koalitionsvertrag der Bundesregierung schon angesprochen. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und hat dort einen Gesetzesentwurf bis zur Sommerpause 2023 avisiert, parallel zur NIS2-Umsetzung.

Im Juli 2023 wurde ein Referentenentwurf im frühen Stadium zur Abstimmung zwischen Ministerien bekannt. Das Gesetz könnte in 2023 noch verabschiedet werden und in Kraft treten, die EU RCE-Direktive gibt eine Frist zur nationalen Umsetzung bis Oktober 2024.

Ablauf Dachgesetz, Stand Juli 2023
Version Status Datum Akteur
RCE EU 2022/2557 Final Dez 2022 Amtsblatt
KRITIS-Dachgesetz Eckpunkte-Papier Dez 2022 Innenministerium
KRITIS-Dachgesetz Referentenentwurf Jul 2023 Innenministerium
Rechtsverordnung(en) fehlt noch bis Okt 24 Innenministerium
RCE Deadline Umsetzung bis Okt 24 Mitglied­staaten

Das Dachgesetz soll fünf Jahre nach Inkrafttreten wissenschaftlich evaluiert werden. §18

Andere spezialgesetzliche Regelungen, die über die Mindestvorgaben des Dachgesetzes hinausgehen, bleiben unberührt. §5 (1)

up

Aufwände

Der aktuelle Referentenentwurf vom KRITIS-DachG schätzt noch keine Aufwände für die Umsetzung in der Wirtschaft und der Verwaltung. Die Zahlen warten auf eine Folgekosten­schätzung des statistischen Bundesamts.

Wirtschaft

Verwaltung

up

Umsetzung

Inkrafttreten

Das Dachgesetz tritt am Tag nach der Verkündung in Kraft §20 (1) – möglicherweise noch 2023. Einige Maßnahmen treten aber erst im Januar 2026 in Kraft: §20 (2)

Fristen zur Umsetzung

Im Gesetz sind Fristen zur Umsetzung von Anforderungen als Entwurf vorgesehen.

up

Ergänzende Rechtsverordnung

Verschiedene Definitionen aus dem KRITIS-Dachgesetz müssen noch durch eine Verordnung gemäß §15 durch das Innenministerium im Einvernehmen mit anderen Ministerien konkretisiert werden:

Die Rechtsverordnung soll die Einrichtungsarten und Schwellenwerte künftig sowohl nach BSIG als auch nach KRITIS-DachG bündeln. Somit wäre nur eine Rechtsverordnung für das KRITIS-Dachgesetz und das NIS2-Umsetzungsgesetz (BSIG) vorgesehen.

Ein Entwurf der Rechtsverordnung ist noch nicht verfügbar.

up

Auswirkung auf weitere Gesetze

Es gibt (noch) keine Änderungen weiterer Gesetze.

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
  3. KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
  4. Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
  5. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

  1. Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz), Bundesministerium des Innern, 17.07.2023
  2. Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
  3. Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
  4. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
  5. Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022