KRITIS-Dachgesetz

Das KRITIS-Dachgesetz reguliert ab 2024 die Resilienz und physische Sicherheit Kritischer Infrastrukturen. Das Gesetz setzt die EU-Direktive EU RCE in Deutschland durch zusätzliche Pflichten für Betreiber kritischer Anlagen um: Meldepflichten, BCM, physische Sicherheit, Personal und Krisenmanagement.

  1. Betreiber
  2. Resilienz
  3. Informationen
  4. Staat, BSI und BBK
  5. Roadmap

Parallel zum KRITIS-DachG setzt das NIS2-Umsetzungsgesetz die neue EU NIS 2 Direktive für Cybersecurity in Deutschland um. Die neuen Gesetze lösen die bestehende KRITIS-Regulierung in Deutschland mit mehr Betreibern und mehr Pflichten ab. Beide treten Oktober 2024 in Kraft.

Die Ausführungen beruhen auf einem 2. Referentenentwurf von Dezember 2023. Der Entwurf selbst und die Analysen unten sind als work in progress mit Vorsicht zu genießen.

Dachgesetz Kritische Infrastrukturen

Mehr KRITIS-Resilienz ab 2024

Das KRITIS-Dachgesetz wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken. Das Gesetz setzt die EU CER-Richtlinie (EU 2022/2557) um. Es reguliert als neues Gesetz Betreiber kritischer Anlagen mit zusätzlichen KRITIS-Pflichten.

Der aktuelle Referentenentwurf vom KRITIS-DachG enthält folgende Vorgaben:

Im Referentenentwurf sind die verpflichtenden Vorgaben und Fristen für Betreiber eher milde. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen treten erst 2026 in Kraft.

Stand der Dinge im Winter 2023

Vom KRITIS-Dachgesetz liegt im Dezember 2023 der zweite Referentenentwurf des Innen­ministeriums vor. Einige Änderungen ergaben sich seit dem ersten Entwurf im Sommer.

Ein Entwürfe ist bis zur Verkündung im Frühling 2024 zu erwarten. Es sind Konkretisierungen aber keine großen Änderungen zum hier beschrieben Stand zu erwarten.

up

Betroffene Unternehmen

Betreiber in Deutschland

Die betroffenen Unternehmen in Deutschland umfassen Betreiber kritischer Anlagen in den (bisherigen) KRITIS-Sektoren. Das KRITIS-Dachgesetz wird diese Betreiber regulieren.

eigene Zusammenstellung aus DachG-Referentenentwurf Stand Dezember 2023
† - mit Ausnahmen
Betreiber Größe Sektoren
Kritische Anlagen
§2 (1)
Anlagen mit
Schwellenwerten
§4 (1)
Energie, Transport und Verkehr, Finanz-/Versicherungswesen†, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation†, Weltraum, Siedlungsabfallentsorgung
Bund
§5 (1)
Einrichtungen Staat: Bundesministerien, Bundeskanzleramt

Sektoren

Das KRITIS-Dachgesetz definiert die regulierten Sektoren von kritischen Anlagen, erbrachte kritische Dienstleistungen und betroffene Bundesverwaltung.

eigene Zusammenstellung aus DachG-Referentenentwurf Stand Dezember 2023
* - Zuständigkeit Bund
† - mit Ausnahmen
Sektor §4 (1) Kritische Dienstleistung* §3 (3) Kritische Anlagen §16 (1)
Energie Stromversorgung
Gasversorgung
Kraftstoff/Heizöl
Erzeugung von Wasserstoff
fehlt noch
Transport/Verkehr Luftverkehr
Eisenbahnverkehr
See- und Binnenschifffahrt
Straßenverkehr
Wettervorhersage (DWD)
fehlt noch
Finanz/Versicherung Bargeldversorgung
Zahlungsverkehr
Wertpapiere
Versicherung
Sozialversicherung
Grundsicherung
fehlt noch
Gesundheit fehlt noch fehlt noch
Wasser/Abwasser fehlt noch fehlt noch
IT und TK Sprach- und Datenübertragung
Datenspeicherung und -verarbeitung
fehlt noch
Weltraum Bodeninfrastrukturen fehlt noch
Ernährung fehlt noch fehlt noch
Entsorgung fehlt noch fehlt noch
Staat §5 (1) Einrichtungen Bundesverwaltung Bundeskanzleramt
Bundesministerien

Definitionen

Die Definitionen sind mittlerweile synchron zur NIS2-Umsetzung, weichen leicht von EU RCE ab. Das Dachgesetz unterscheidet, bzw. definiert, Zuständigkeit des Bundes und der Länder. Oben * markierte Dienstleistungen fallen unter die Zuständigkeit des Bundes. §3 (3)

Die weitere Zuständigkeit der Länder und anderer Bundesbehörden ist noch offen, ebenso müssen die genauen Anlagen müssen noch per Verordnung festgelegt werden.

Dienstleistungen

Weiterhin unterscheidet das Gesetz zwischen den o.g. kritischen Dienstleistungen, die für Deutschland definiert sind, und den wesentlichen Diensten, die in EU RCE für EU-Betreiber definiert sind und Dienste in EU-Mitgliedsstaaten erbracht werden. in §7

Betroffenheit

Betroffen vom Gesetz sind die Betreiber kritischer Anlagen, wenn diese (in der Regel) über 500 Tsd. Personen versorgen. Die genauen Anlagen und Schwellenwerte in den Sektoren müssen noch in einer neuen KRITIS-Verordnung nach §16 definiert werden. Der Gesetzgeber geht in Deutschland von 2 Tsd. Unternehmen aus – den bisherigen KRITIS-Betreibern.

Vorgehen

Ausschlüsse

Für einige Betreiber gibt es Abweichungen und Ausnahmen im KRITIS-Dachgesetz zu einzelnen Pflichten oder (fast) dem gesamten Gesetz.

eigene Zusammenstellung aus DachG-Referentenentwurf Stand Dezember 2023
Sektor/Gruppe Ausnahme Pflichten § DachG
Entsorgung Keine EU/Europa-Vorgaben §4 (5) §3 (8), §13 (2), §7
IT und TK Keine Risikoanalysen, Resilienzmaßnahmen,
Meldewesen, Nachweise, EU-Vorgaben §4 (6)
§3 (8), §13 (2)
§§7-12
Bankwesen Keine Risikoanalysen, Resilienz­maßnahmen,
Meldewesen, Nachweise, EU-Vorgaben §4 (6)
§3 (8), §13 (2)
§§7-12
Finanz/Versicherung Keine Risikoanalysen, Resilienz­maßnahmen,
Meldewesen, Nachweise, EU-Vorgaben §4 (6)
§3 (8), §13 (2)
§§7-12
Bundesverwaltung:
Strafverfolgung,
Sicherheit,
Verteidigung
Ausgenommen vom ganzen Gesetz §5 (2) Alle §§
Bundesverwaltung Keine Geschäftsleiter-Pflichten, EU §5 (4) §7, §14
Bundesverwaltung Wenn sie gleichwertige Vorgaben erfüllen §17 (1) je nachdem
Bundesverwaltung:
nationale Sicherheit,
öffentliche Sicherheit,
Verteidigung
Strafverfolgung
+ deren Dienstleister
Keine Risikoanalysen, Resilienz­maßnahmen,
Meldewesen, Nachweise §17 (2)
§§9-12
Bundesverwaltung:
Einrichtungen, die
ausschließlich in
o.g. Bereichen tätig
Keine Risikoanalysen, Resilienz­maßnahmen,
Meldewesen, Nachweise, Registrierung §17 (3)
§6, §§9-12

up

Resilienz

Pflichten von Betreibern

eigene Zusammenstellung aus KRITIS-DachG-Referentenentwurf Stand Dezember 2023
Pflicht Betreiber kritischer Anlagen
Geltungsbereich Kritische Dienstleistung
Registrierung §6
Registrierung Bedeutung EU §7 ggf.
Risikoanalysen §9
Resilienz-Maßnahmen §10 (1)(2)(3)
Resilienzpläne §10 (9)
Nachweise §11
Meldepflicht §12
Geschäftsleiter-Pflichten §14

Die betroffenen Betreiber kritischer Anlagen müssen sowohl Resilienz­maßnahmen umsetzen als auch zusätzliche Formalien wie Registrierung, Meldungen und Nachweise erfüllen.

Risikoanalyse

Betreiber müssen mindestens alle vier Jahre Risikoanalysen durchführen, die auf nationalen Risikoanalysen nach §8 oder anderen vertrauenswürdigen Quellen basieren. §9 (1)

Das BBK kann inhaltliche und methodische Vorgaben für die Risikoanalysen festlegen. §9 (2)

Resilienzmaßnahmen

Betreiber müssen geeignete und verhältnismäßige Maßnahmen umsetzen, um die Resilienz zu gewährleisten. Die Maßnahmen müssen basierend auf nationalen Risikobewertungen und Analysen ausgesucht werden und sollen den Stand der Technik einhalten. §10 (1)(2)

Zu den geforderten Maßnahmen nach KRITIS-Dachgesetz zählen: §10 (1)(3)

Resilienzplan

Betreiber müssen die §10 (1) Maßnahmen in einem Resilienzplan dokumentieren, in dem die Erwägungen bei der Auswahl der Maßnahmen und Risikoanalysen dargelegt werden. §10 (9) Das BBK kann Vorlagen und Muster für diese Pläne zur Verfügung stellen. §10 (10)

Äquivalenz­prüfung

Betreiber kritischer Anlagen können ihren Verpflichtungen nach §§9-11 auch mit Risikoanalysen und Maßnahmen nachkommen, die sie aufgrund anderer öffentlich-rechtlicher [Regulierung] ergriffen haben. Diese Äquivalenz­prüfung stellen die Aufsichtsbehörden mit dem BBK und BSI zusammen fest. §4 (8) B. Zu §4 Absatz 8

Konkretisierung

Das BBK wird zur Konkretisierung der §10 (1) Maßnahmen sektorenübergreifende Mindest­anforderungen einen Katalog veröffentlichen. §10 (4) Bundesministerien können Rechtsverordnungen zur Konkretisierung der Maßnahmen erlassen. §10 (5)

Betreiber und Branchenverbände können branchenspezifische Resilienz­standards zur Umsetzung von §11 (1) vorschlagen. Das BBK stellt im Einvernehmen mit dem BSI dann die Eignung auf Antrag fest. §10 (6)

Landesregierungen können für §10 sektor­spezifische Mindestvorgaben für Resilienz­maßnahmen festlegen, wenn kein Branchenstandard vorliegt. Artikel 2 (dann Teil von §10)

up

Informationen von Betreibern

Nachweise und Prüfungen

Betreiber müssen die Umsetzung der §10 Resilienz-Maßnahmen nur noch auf Nachfrage dem BBK nachweisen. Dies geschieht durch Anfrage beim BSI für den Teil des NIS-Nachweises (dort §39 (1) BSIG), der Resilienz nach §10 betrifft. §11 (1) [Ed. — dieser Paragraph ist wirklich sehr kompliziert geschrieben]

Zusätzliche Nachweise

Reichen die angefragten Informationen als Teil des §39 (1) NIS2-Nachweises nicht aus, kann das BBK oder andere zuständige Behörden weitere Nachweise von den Betreibern zur Umsetzung von §10 (1) Dachgesetz verlangen. §11 (2)

Das BBK kann bei erheblichen Zweifeln von sich aus die Umsetzung der Anforderungen bei Betreibern überprüfen. §11 (5) Das BBK kann weiterhin Dokumentationen der Über­prüfung, einen Plan zur Beseitigung, die Behebung der Mängel und Nachweise dafür verlangen. §11 (6)

Vorgaben

Das BBK wird Vorgaben zur Art und Durchführung der Audits, Nachweisen und fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle festlegen. §11 (4)

up

Meldewesen

Mit dem KRITIS-Dachgesetz kommen auf Betreiber kritischer Anlagen zusätzliche Informations- und Meldepflichten an das BBK zu, neben den Meldungen an das BSI über die NIS-Umsetzung.

Meldung von Sicherheitsvorfällen

Betreiber kritischer Anlagen müssen Vorfälle, welche die Erbringung kritischer Dienstleistungen erheblich stören oder stören könnten, unverzüglich, innerhalb von 24h, an eine gemeinsame Kontaktstelle des BBK und BSI melden. §12 (1)(3)

Die Meldungen müssen Informationen zur Art, Ursache, Folgen des Vorfalls, Anzahl und Anteil betroffener Nutzer, Dauer der Störung, betroffenem geographischen Gebiet und grenzüber­schreitende Auswirkungen enthalten. §12 (2)

Das BBK meldet Vorfälle, die Auswirkungen auf wesentliche Dienste in anderen EU-Staaten haben, an die dortigen Aufsichtsbehörden. Sind sechs oder mehr Mitgliedsstaaten betroffen, unterrichtet das BBK die Europäische Kommmission. §12 (4)(5)

Auswertungen zu Meldungen teils das BBK wiederum mit den Aufsichtsbehörden, bei öffentlichem Interesse kann das BBK auch die Öffentlichkeit informieren. §12 (8)(9)

Das BBK schätzt im aktuellen Gesetzesentwurf ca. 500 Meldungen pro Jahr. IV. 4.

up

Identifikation

Registrierung von Betreibern

Unternehmen müssen sich selbst als Betreiber kritischer Anlagen identifizieren und beim BBK registrieren. Betreiber kritischer Anlagen müssen sich innerhalb von drei Monaten nach eigener Identifikation der kritischen Anlage (über Schwellenwerte) registrieren. §6 (1)

Betreibern wird zwei Wochen nach Registrierung die federführende Aufsichtsbehörde mitgeteilt. §6 (5)

BBK und der Staat

Die Registrierung soll über eine von BBK und BSI gemeinsam eingerichtete Registrierungs­möglichkeit erfolgen. §6 (1) Ob sich bestehende KRITIS-Betreiber erneut registrieren müssen, oder das BSI diese (ans BBK?) weiterleitet, ist noch unklar.

Das BBK kann Betreiber kritischer Anlagen von sich aus registrieren, falls Betreiber ihrer Pflicht nicht nachkommen, und dazu auch Aufzeichnungen oder Unterlagen einfordern. §6 (2)(3)

Das BMI wiederum kann Betreiber von sich aus identifizieren, wenn kritische Betreiber durch die Logik der Anlagen/Schwellenwerte nicht erfasst werden, und dabei die nationalen Risikoanalysen und Kriterien wie Nutzerzahlen, Abhängigkeiten, Auswirkungen, Geographie, Marktanteil berücksichtigen. §4 (2)

Nach der Registrierung

Die Pflichten nach dem Dachgesetz für Betreiber greifen nach der Registrierung: §6 (6)

Besondere Bedeutung für Europa

Bestimmte Betreiber sind kritische Einrichtungen von besonderer Bedeutung für Europa, wenn sie in mindestens sechs EU-Staaten den gleichen wesentlichen Dienst erbringen und ihr Betreiber eine Meldung von der europäischen Kommission durch das BBK erhalten hat. §7 (1)

Die Europäische Kommission informiert das Innenministerium über diese Entscheidungen, das BBK leitet dies an betreffende Betreiber weiter. Das BBK ist dazu in regelmäßigem Austausch mit anderen Behörden in der EU für übergreifende kritische Anlagen und Betreiber. §7 (3)

Das Innenministerium kann bei der Europäischen Kommission eine Beratungs­mission für diese Anlagen beantragen und übermittelt Risikobewertungen und Resilienz­maßnahmen der Betreiber sowie Aufsichts- und Durchsetzungsmaßnahmen. §7 (4)(5)

up

Staat und Aufsicht

Aufsicht

Zuständigkeiten

Das Bundesamt für Bevölkerungs­schutz und Katastrophen­hilfe (BBK) ist im Bund die nationale zuständige Behörde Art. 9 RCE/CER und unterstützt Betreiber kritischer Anlagen. Das BBK arbeitet dazu eng mit BNetzA, BSI, BNetzA und BaFin zusammen und tauscht Informationen zu Maßnahmen, Risiken und Vorfällen aus. §3 (1)(2)(3)

Landesbehörden

Landesbehörden werden für bestimmte Betreiber, Dienstleistungen und Sektoren ebenfalls zuständig werden. §3 (4)(5)(6) Es gibt weiterhin eine Einbindung von oder Verweis auf zuständige Landesbehörden in vielen Einzelpflichten wie Nachweisen, Meldungen.

Überwachung

Das BBK hat bei Betreibern Aufsichts- und Durchsetzungs­rechte für Resilienz. §11

EU

Im Dachgesetz wird die Regulierung von Resilienz neben der nationalen Behörde BBK in einen europäischen Rahmen der EU eingebettet, zum Austausch von Informationen und Vorfällen, zur Vernetzung zwischen Aufsichtsbehörden und für transnationale Vorfälle und Auswirkungen.

Das BBK übermittelt an die Europäische Kommission regelmäßig nationale Informationen: §15

up

Nationale Aufgaben

Resilienzstrategie

Die Bundesregierung muss bis zum 17. Januar 2026 eine nationale Resilienzstrategie (Strategie zur Verbesserung der Resilienz kritischer Infrastrukturen) verabschieden. §1

Risikoanalysen

Die für die kritischen Dienstleistungen zuständigen Bundes- und Landesministerien müssen alle vier Jahre und erstmalig bis Januar 2026 Risikoanalysen durchführen. In den Analysen soll u.a. bewertet werden: §8 (1)

Das BBK erhält diese Risikoanalysen, stellt relevante Teile den Betreibern zur Verfügung und übermittelt Informationen und Risiken an die Europäische Kommission. §9 (3)(4)(5)

up

Sanktionen und Bußgelder

Im KRITIS-Dachgesetz gibt es eigene Bußgeldvorschriften. Diese sind begrenzter als bei KRITIS und NIS2, und im aktuellen Entwurf noch nicht in der Höhe festgelegt. §19

Tatbestände

Folgende Tatbestände bei Betreibern sind bei Vorsatz Ordnungswidrigkeiten: §19 (1)

eigene Zusammenstellung, Stand Dezember 2023
Höhe Verstöße
fehlt noch
  • Registrierung nach §6 (1) nicht oder nicht rechtzeitig vornehmen
  • Für §6 (2) keine Aufzeichnungen vorlegen oder Auskunft erteilen
  • Risikoanalysen und Resilienzplan nach §10 (1) nicht durchführen
  • Nachweise, Informationen etc. nach §11 (2)(3) nicht dem BBK vorlegen
  • Betreten der Geschäftsräme nach §11 (5) nicht erlauben
  • Mängelbeseitigungsplan nach §11 (6) nicht dem BBK vorlegen

Die Höhe muss nach §19 (3) noch definiert werden. Die Verwaltungsbehörde der Bußgelder ist das BBK. §19 (2)

Geschäftsleitung

Geschäftsleiter von Betreibern müssen die Maßnahmen für Resilienz (§10) billigen und die Umsetzung überwachen. Ebenso müssen sie Schulungen zu Risiko-Management absolvieren und Nachweise bei Nachfrage vorlegen. §14

up

Roadmap

Gesetzgebung

Das KRITIS-Dachgesetz wird 2024 verabschiedet und tritt am 18. Oktober 2024 in Kraft. Seit Ende 2023 gibt es zwei Referentenentwürfe, die das Gesetz in Grundzügen umreissen – ein erster früher aus Juli, ein weiterer aus Dezember 2023.

Ablauf Dachgesetz, Stand Dezember 2023
Version Status Datum Akteur
RCE EU 2022/2557 Final Dez 2022 Amtsblatt
KRITIS-Dachgesetz Eckpunkte-Papier Dez 2022 Innenministerium
KRITIS-Dachgesetz Referentenentwurf Jul 2023 Innenministerium
KRITIS-Dachgesetz 2. Referentenentwurf Dez 2023 Innenministerium
Rechtsverordnung(en) fehlt noch bis Okt 24 Innenministerium
KRITIS-Dachgesetz Inkrafttreten 18.10.2024 Bundestag

Das KRITIS-Dachgesetz basiert auf der EU RCE-Direktive, die seit 2020 bekannt und 2022 verabschiedet wurde. Der Koalitionsvertrag der Bundesregierung sprach schon vom KRITIS-Dachgesetz, das Innenministerium veröffentlichte dann im Dezember 2022 ein Eckpunkte-Papier avisierte einen Gesetzesentwurf bis zur Sommerpause 2023, parallel zu NIS2.

Das Dachgesetz wird fünf Jahre nach Inkrafttreten wissenschaftlich evaluiert werden. §20

up

Aufwände

Der aktuelle Referentenentwurf vom KRITIS-DachG schätzt Aufwände für die Umsetzung in der Wirtschaft und der Verwaltung, jedoch hängt die konkrete Höhe von der Anzahl an kritischen Anlagen nach §16 und den noch zu erlassenden Vorgaben ab. IV. 4.

Wirtschaft

Konkrete Kalkulationen zur Aufwand für die Wirtschaft enthält der Entwurf von Dezember nicht, nimmt aber an, dass 1.300 Betreiber kritischer Anlagen über keine ausreichende physische Resilienz verfügen. Die Kosten für Resilienz seien zehn Mal so hoch wie für IT-Sicherheit, daraus folgt die Schätzung eines jährlichen Aufwands im hohen dreistelligen Millionenbereich.

Die Annahmen sind wie folgt: IV. 4. b.

Aufwände Wirtschaft im Dachgesetz, Stand Dezember 2023
Pflicht Jährlich Unternehmen Einmalige Kosten
Registrierung §§6, 7 relativ gering
Risikoanalysen §9 spürbar
einstelliger Mio-Bereich
Resilienz-Maßnahmen §10 (1)(2) [wird nicht einzeln erwähnt]
Branchenstandards §10 (6) relativ gering
Resilienzpläne §10 (7) relativ gering
Nachweise §11 relativ gering
Äquivalenzprüfung §‚9-11 i.V.m. §4 (8) relativ gering
Meldepflicht §12 relativ gering

Verwaltung

Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder. Es gibt dazu eine sehr umfangreiche Kalkulationen im Gesetz basierend auf einzelnen Fällen pro Verpflichtung in Minuten, die dann in jährliche Aufwände (Personal, Sachkosten) für Bund und Länder und Einmalkosten (IT, Lösungen) umgerechnet werden. IV. 4. c.

Aufwände Verwaltung im Dachgesetz, Stand Dezember 2023
Pflicht Jährlich Bund Jährlich Länder Einmalige Kosten
KRITIS-Resilienzstrategie §1 36 Tsd. + 50 Tsd. EUR
Risikoanalysen §8 352 Tsd. EUR 1.1 Mio EUR
Branchenstandards §10 599 Tsd. EUR 213 Tsd. EUR 1.8 Mio + 116 Tsd. EUR
Nachweisverfahren §11 2.8 Mio EUR 1.6 Mio EUR 256 Tsd. EUR
Meldeverfahren §12 10 Tsd. + 190 Tsd. EUR 1.9 Mio EUR
Berichtspflichten §§3, 7, 15 595 Tsd. EUR EUR 725 Tsd. EUR

Die notwendigen Planstellen werden erst mit den letzten Entwürfen klarer werden.

Bürger

Für Bürger entsteht kein Erfüllungs­aufwand.

up

Fristen

Gesetz

Das Dachgesetz tritt am 18. Oktober 2024 in Kraft, einige der verbindlichen Maßnahmen treten erst am 17. Juli 2026 in Kraft: Artikel 3 (1)(2)

KRITIS-DachG Pflicht In Kraft
Artikel 3 (1) KRITIS-Dachgesetz 18. Oktober 2024
§1 Nationale Resilienzstrategie Bundesregierung 17. Januar 2026
§6§7 Registrierungspflicht für Betreiber 17. Juli 2026
§9 Risikoanalysen bei Betreibern 17. Juli 2026
§10 Resilienzmaßnahmen bei Betreibern 17. Juli 2026
§11 Nachweise 17. Juli 2026
§12 Meldewesen 17. Juli 2026
§14 Geschäftsleiter-Pflichten 17. Juli 2026
§17 Ausnahmebescheide 17. Juli 2026
§19 Bußgelder 17. Juli 2026
Artikel 2 Sektorstandards durch Landesregierungen 1. Januar 2029

Umsetzung bei Betreibern

Im Gesetz sind Fristen für Betreiber zur Umsetzung der Resilienz-Anforderungen vorgesehen, beginnend mit der eigenen Registrierung: §6 (6)

up

Ergänzende Rechtsverordnung

Verschiedene Definitionen aus dem KRITIS-Dachgesetz müssen noch durch eine Verordnung §16 durch das Innenministerium mit anderen Ministerien konkretisiert werden:

Ein Entwurf der Rechtsverordnung ist noch nicht verfügbar.

up

Auswirkung auf weitere Gesetze

Änderungen weiterer Gesetze sind nicht abzusehen.

up

Änderungen der Referenten­entwürfe

Es gab bisher zwei öffentliche Referenten­entwürfe aus Juli und Dezember 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand:

Änderungen im Dezember 2023 zu Juli 2023

Neuerungen in Juli 2003

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
  3. KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
  4. Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
  5. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

  1. Referentenentwurf des BMI: KRITIS-Dachgesetz – KRITIS-DachG, AG KRITIS, letzte Version vom 21.12.2023
  2. DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
  3. Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz), Bundesministerium des Innern, 17.07.2023
  4. Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
  5. Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
  6. Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
  7. Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022