KRITIS-Dachgesetz

Aktueller Stand

Das KRITIS-Dachgesetz wird seit Ende 2022 öffentlich diskutiert, und soll die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken. Das Innenministerium hat im Dezember 2022 ein Eckpunkte-Papier veröffentlicht und will einen Gesetzesentwurf bis zur Sommerpause 2023 vorlegen. Das Dachgesetz bezieht sich auf die 2022 verabschiedete EU CER-Richtlinie (EU 2022/2557) und greift dieser teilweise vor.

Scope

Die vom Dachgesetz abgedeckten Unternehmen umfassen kritische Einrichtungen (Critical Entities) in mindestens folgenden Sektoren, die über die bisherigen KRITIS-Sektoren etwas hinausgehen und sich an EU RCE (CER) orientieren – und bisherige KRITIS-Betreiber sicherlich auch umfassen, plus weitere.

Bei der Identifikation sollen quantitative als auch qualitative Kriterien genutzt werden, wie Zahl der Nutzer aber auch die Bedeutung der Kritischen Infrastruktur für den Betrieb von Dienstleistungen. Betreiber mit spezieller europäischer Relevanz, die in sechs oder mehr Mitglied­staaten der Europäischen Union dieselben oder ähnliche kritische Dienstleistungen erbringen sollen identifiziert und einer stärkeren Aufsicht unterliegen.

Resilienz bei Betreibern

Schwerpunkte der neuen KRITIS-Schutzmaßnahmen sollen physische Sicherheit und Resilienz sein, folgende Anforderungen für Betreiber sind im Gespräch und sollen die bisherigen Cyber Security Vorgaben ergänzen:

• Einheitliche Mindestvorgaben für alle Sektoren Kritischer Infrastrukturen
• Verpflichtende Schutzstandards für physische Sicherheit
• "Technische, personelle und organisatorische Maßnahmen" für Sicherheit und Resilienz
• Krisen-Management und Risiko-Management zum Schutz des Betriebs
• Risiko-Analyse und -Bewertung der kritischen Dienstleistungen (essential services)
• Resilienzpläne zur Krisenvorsorge und Prävention
• Meldewesen für Störungen an das BBK, parallel zu Cyber Security Meldungen ans BSI

Neben diskutierten Zäunen und Sperren, Zugangskontrollen, Sicherheits­überprüfungen, aber auch die Diversifizierung von Lieferketten und das Vorhalten von Redundanzen ist die konkrete Ausgestaltung der Anforderungen an Betreiber noch abzuwarten – EU RCE/CER selbst fordert viel BCM, Risiko-Management und Krisenvorsorge von Unternehmen.

Das Eckpunkte-Papier spricht von einer Abwägung von Wirtschaft­lichkeit und Eintritts­wahr­scheinlichkeit bei der Auswahl von Maßnahmen (Sicherung von Kritischen Infrastrukturen).

Staatliche Regelungen

Die gesamtstaatliche Steuerung Kritischer Infrastrukturen soll mit dem Gesetz verbessert werden, um die Resilienz des Gesamtsystems der Kritischen Infrastrukturen zu stärken:

• Staatlicher Rahmen für Meldewesen und Kontrollen zu Resilienz ans BBK, was das bestehden Meldewesen zu Cyber Security ergänzt und um einen Gesamtüberblick als Zentrales Störungs-Monitoring erweitert.
• EU-Berichtswesen und Koordination innerhalb der EU zu Betreibern, dem Stand der Resilienz, Vorfällen und Maßnahmen
• "Staatliche Risikobewertungen für die kritischen Dienstleistungen": als Grundlage für Bewertungen und Maßnahmen bei Betreibern
• All-Gefahren-Ansatz, der auch sektor- und grenz­überschreitenden Risiken berücksichtigt [etwas unklar, ob sich das an Betreiber und/oder Staat richtet — Ed.]

Es soll mit dem KRITIS-Dachgesetz Möglichkeiten staatlicher Hilfen für Betreiber Kritischer Infrastrukturen geben — zur Umsetzung der neuerlichen Maßnahmen.

Behörden

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) soll die Competent Authority, die nationale Behörde für den physischen Schutz kritischer Infrastrukturen werden. Dadurch wird das Aufgabenspektrum erweitert – das BBK soll Meldungen über Sicherheits­vorfälle annehmen, mit dem BSI zusammenarbeiten und als übergreifende Behörde das Gesamtsystem Kritischer Infrastrukturen betrachten, auch durch sektoren­übergreifende Auswertungen.

Angelehnt an EU RCE/CER soll die Regulierung von Resilienz neben der nationalen Behörde in einen europäischen Rahmen in der EU eingebettet werden, zum Austausch von Informationen, Vorfällen, Vernetzung zwischen Aufsichtsbehörden und Betrachtung transnationaler Vorfälle und Auswirkungen.

Die genaue Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA bleibt in der Gesetzgebung noch genauer auszugestalten – um u.a. parallele Zuständigkeiten bei Maßnahmen, Meldewegen zu vermeiden. Das BBK soll hier die Behörden vernetzen und eine schnelle Informations­weitergabe ermöglichen.

Ausblick und Scope

Das aktuelle IT-Sicherheitsgesetz 2.0 wurde mit langem Vorlauf nach den Erfahrungen seit 2015 entwickelt und trat Mai 2021 in Kraft. Auf EU-Ebene gibt es seit Jahren Bestrebungen, die Vorgaben für Kritische Infrastrukturen tiefer und verbindlicher zu machen – was unter anderem zu den NIS 2 (Cyber Security) und RCE (Resilienz) Direktiven geführt hat.

Während RCE anscheinend in Teilen im kommenden KRITIS-Dachgesetz behandelt wird, muss NIS 2 (EU 2022/2555) bis Oktober 2024 in nationale Gesetzgebung überführt werden und zu Änderungen am BSI-Gesetz führen, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.

Die NIS 2 Anforderungen könnten im IT-Sicherheitsgesetz 3.0 behandelt werden, das sowohl Methodik, regulierte Unternehmen als auch Pflichten erweitert. NIS2 schafft als horizontaler Rechtsakt [...] ein sektor­übergreifendes Mindestsicherheits­niveau, allerdings ergeben sich angesichts weiterer sektoraler und horizontaler Rechtsakte deutliche Querbezüge zu anderen Regulierungs­bereichen.

Methodik

Die bisherige Logik im IT-Sicherheitsgesetz basiert auf Betreibern in KRITIS-Sektoren, die in definierten Anlagen definierte Dienstleistungen (kDL) erbringen und beim Überschreiten von Schwellenwerten (meist 500 Tsd. versorgte Personen) zur Kritischen Infrastruktur werden.

EU NIS 2 definiert ebenfalls Sektoren, legt Betroffenheit jedoch durch Unternehmens­größe fest: Unternehmen und Organisationen in diesen Sektoren mit >50 Mitarbeitern und >10 Mio. EUR Umsatz sind kritisch und müssen reguliert werden.

Ob die deutsche Methodik (Anlagen und Schwellenwerte) beibehalten und erweitert, oder durch die NIS 2 Methodik ergänzt wird, ist noch offen. Denkbar ist ein mehrstufiges System:

• KRITIS: Bestehende Sektoren und Anlagen bleiben erhalten und als KRITIS reguliert.
• NIS 2: Darüberhinausgehende Sektoren und Unternehmen in den NIS 2 Sektoren werden nach NIS 2 Methodik nach Unternehmens­größe reguliert.
• UBI: Die Unternehmen im besonderen öffentlichen Interesse bleiben mit KRITIS-light Pflichten bestehen, werden um Branchen/Gruppen erweitert oder direkt in NIS2 integriert.

Neue Sektoren und Unternehmen

In der NIS 2 Richtlinie sind achtzehn Sektoren definiert, die sich mit den deutschen KRITIS-Sektoren und den UBI teils überschneiden, teils aber auch über diese hinausgehen. Die im jetzigen IT-Sicherheitsgesetz noch fehlenden Sektoren (und Branchen) könnten dann im IT-Sicherheitsgesetz 3.0 oder neuen Rechtsverordnungen geregelt werden.

Größen­unabhängige Unternehmen

Neben einer Identifikation nach Unternehmensgröße fordert NIS 2, spezielle Betreiber unabhängig der Größe zu regulieren, was das IT-Sicherheitsgesetz bisher noch nicht vorsieht:

• Digitale Infrastruktur: Elektronische Kommunikation, Trust Service Provider, TLD und Domain Registrare
• Nationale Monopole (sole provider), Betreiber besonderer Wichtigkeit oder bei grenz­überschreitenden Abhängigkeiten
• Öffentliche Verwaltung, Zentralregierung und risiko­orientiert Regionalregierung

Betreiber und Staat

Obwohl die Anforderungen, Pflichten und Befugnisse in der deutschen KRITIS-Regulierung eher umfangreich sind, geht die kommende EU-Regulierung teilweise darüber­hinaus bzw. noch mehr ins Detail – was in einem Sicherheitsgesetz 3.0 aufgegriffen werden könnte.

Schutzmaßnahmen

Die konkreten Schutzmaßnahmen für Cyber Security und Resilienz sind in EU NIS 2 und der CER-Richtlinie deutlich konkreter und umfangreicher beschrieben als §8a BSIG der KRITIS-Regulierung. NIS 2 und RCE fordern viele konkrete Vorgaben, Prozesse und Kontrollen für z.B. BCM, Krisenvorsorge, Sicherheit in der Lieferkette und im Einkauf, und auch technische Maßnahmen wie Zugangskontrolle, Asset Management, Authentication und Kommunikation.

Betreiberpflichten

Die Meldepflichten und insbesondere EU-Verkettungen nehmen durch NIS 2 und RCE im Vergleich zu jetzigen Pflichten zu. Betreiber werden wahrscheinlich mehr Informationen an mehr Empfänger melden müssen. Die Möglichkeiten staatlicher Überprüfungen nehmen zu – durch Audits, Tests aber auch Scans durch staatliche oder unabhängige Stellen.

Staatliche Governance

Die Ausführungen zu staatlicher Aufsicht und Governance nehmen in NIS 2 und RCE zu — behördliche Befugnisse und Informations­bedarfe gegenüber Betreibern sollen erweitert, Strafen und Bußgelder angepasst werden. Teilweise sollen auch staatliche Register über kritische Betreiber erstellt und ebenso wie besonders kritische Betreiber gemeldet werden.

Zusammenarbeit in der EU

Die Kooperation und der Informationsaustausch innerhalb der EU und zwischen Behörden soll stark zunehmen, wozu auch nationale Informationen zu grenzüberschreitenden Betreibern, Risiken und Infrastrukturen ausgetausch werden sollen.

Ausstehende Änderungen

Seit dem IT-Sicherheitsgesetz 2.0 gibt es noch ausstehende Änderungen an der KRITIS-Verordnung, die Sektoren und Anlagen in Deutschland konkretisiert.

Entsorgung

Der KRITIS-Sektor Siedlungs­abfallentsorgung wird in einer neuen KRITIS-Verordnung 2.0 seit 2022 erarbeitet, mit geplantem Referenten­entwurf im ersten Halbjahr 2023 und Inkrafttreten danach in 2023. Dort sollten Anlagen und Schwellenwerte aus dem Sektor definiert werden, um die konkrete Betroffenheit an Entsorgern zu definieren.

UBI

Offen sind noch konkretere Definitionen und Methodiken für Unternehmen im besonderen öffentlichen Interesse (UBI), speziell Gruppe 2 Volkswirtschaftliche Bedeutung und deren Zulieferer. Hier stehen noch Schwellenwerte und Identifikations­mechanismen aus, die letzte Annahme war analog zur Arbeit der Monopol­kommission nach §44 (1) GWB.

Dies soll in einer separation UBI-Verordnung, der UBI-VO, erfolgen, ursprünglich geplant für 2022, nun möglicherweise in 2023.

Entwicklungen

Das bestehende IT-Sicherheitsgesetz 2.0 ist seit Mai 2021 in Kraft; die EU-Richtlinien wurden auf EU-Ebene verabschiedet, die Umsetzung in nationales Recht und KRITIS-Dachgesetz und IT-Sicherheitsgesetz 3.0 sind in Diskussion. Ein Eckpunkte-Papier soll noch Ende 2022 und das Dachgesetz dann irgendwann 2023 verabschiedet werden, das IT-Sicherheitsgesetz (3.0) dann auch an die neue europäische Rechtslage angepasst werden.

Zeitleiste

Literatur

1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
2. Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
3. KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
4. Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
5. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

1. Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
2. Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
3. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
4. Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022