KRITIS-Dachgesetz
Das KRITIS-Dachgesetz reguliert ab 2024 die Resilienz und physische Sicherheit Kritischer Infrastrukturen. Das Gesetz setzt die EU-Direktive EU RCE in Deutschland durch zusätzliche Pflichten für Betreiber kritischer Anlagen um: Meldepflichten, BCM, physische Sicherheit, Personal und Krisenmanagement.
Parallel zum KRITIS-DachG setzt das NIS2-Umsetzungsgesetz die neue EU NIS 2 Direktive für Cybersecurity in Deutschland um. Die neuen Gesetze lösen die bestehende KRITIS-Regulierung in Deutschland mit mehr Betreibern und mehr Pflichten ab. Beide treten Oktober 2024 in Kraft.
Die Ausführungen beruhen auf einem Referentenentwurf von Dezember 2023. Der Entwurf vom KRITIS-Dachgesetz und die Pflichten werden sich bis zum Inkrafttreten sicherlich noch ändern.
Dachgesetz Kritische Infrastrukturen
Mehr Resilienz in KRITIS
Das KRITIS-Dachgesetz wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken. Das Gesetz setzt die EU CER-Richtlinie (EU 2022/2557) um. Es reguliert als neues Gesetz Betreiber kritischer Anlagen mit zusätzlichen KRITIS-Pflichten.
Der aktuelle Referentenentwurf vom KRITIS-DachG enthält folgende Vorgaben:
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) in bisherigen KRITIS-Sektoren
- Ausschlüsse: Einige Sektoren werden nicht reguliert, u.a. IT, TK, Finanzen und Versicherungen
- Resilienz: Konkrete Vorgaben für Betreiber wie Meldepflichten, Krisen- und Risikomanagement, BCM, Personalsicherheit, physische Sicherheit
- Aufsicht: KRITIS-Aufsicht wird um das BBK erweitert, gemeinsam mit dem BSI und teilweiser Einbindung von Landesbehörden
- Sanktionen: Bei Verstößen gibt es Bußgelder, zusätzlich Pflichten der Geschäftsleitung.
- Risiken: Nationale und Betreiber-Risiken der
Wirtschaftsstabilität
spielen eine große Rolle.
Im Referentenentwurf sind die verpflichtenden Vorgaben und Fristen für Betreiber eher milde. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen treten erst 2026 in Kraft.
Stand der Dinge
Vom KRITIS-Dachgesetz liegt seit Dezember 2023 der zweite Referentenentwurf des Innenministeriums vor. Einige Änderungen ergaben sich seit dem ersten Entwurf im Sommer.
- Eckpunkte-Papier von Dezember 2022
- Erster Referentenentwurf von Juli 2023
- Zweiter Entwurf von Dezember 2023 – der aktuelle Stand dieser Seite
Das Gesetz sollte im Frühling 2024 verkündet werden, nun scheint ein Inkrafttreten erst Anfang 2025 denkbar. Weitere Entwürfe, Konkretisierungen und Änderungen sind zu erwarten.
Unternehmen
Betreiber kritischer Anlagen
Die betroffenen Unternehmen in Deutschland umfassen Betreiber kritischer Anlagen in den (bisherigen) KRITIS-Sektoren. Das KRITIS-Dachgesetz wird diese Betreiber regulieren.
Betreiber | Größe | Sektoren |
---|---|---|
Kritische Anlagen §2 (1) |
Anlagen mit Schwellenwerten §4 (1) |
Energie, Transport und Verkehr, Finanz-/Versicherungswesen^, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation^, Weltraum, Siedlungsabfallentsorgung |
Bund §5 (1) |
Einrichtungen | Staat: Bundesministerien, Bundeskanzleramt |
Betroffen vom Gesetz sind die Betreiber kritischer Anlagen, wenn diese (in der Regel) über 500 Tsd. Personen versorgen. Die genauen Anlagen und Schwellenwerte in den Sektoren müssen noch in einer neuen KRITIS-Verordnung nach §16 definiert werden. Der Gesetzgeber geht in Deutschland von 2 Tsd. Unternehmen aus – den bisherigen KRITIS-Betreibern.
- Die bisherigen KRITIS-Betreiber werden wie in NIS2 zu Betreibern kritischer Anlagen mit KRITIS-Methodik und betroffenen Anlagen nach KRITIS-Verordnung. §2 (1)
- Betreiber müssen ihre eigenen kritischen Anlagen mit Schwellenwerten zu Stichtagen selbst identifizieren (und registrieren). §4 §6 (1)
- Das BBK kann Betreiber (Anlagen) auch von sich aus registrieren, wenn diese ihrer Pflicht nicht nachkommen §6 (3)
- Das Innenministerium wiederum kann Betreiber von sich aus identifizieren, wenn kritische Betreiber durch die Logik der Anlagen/Schwellenwerte nicht erfasst werden §4 (2)
Sektoren
Das KRITIS-Dachgesetz definiert die regulierten Sektoren von kritischen Anlagen, erbrachte kritische Dienstleistungen und betroffene Bundesverwaltung.
Sektor §4 (1) | Kritische Dienstleistung* §3 (3) | Kritische Anlagen §16 (1) |
---|---|---|
Energie | Stromversorgung Gasversorgung Kraftstoff/Heizöl Erzeugung von Wasserstoff |
fehlt noch |
Transport/Verkehr | Luftverkehr Eisenbahnverkehr See- und Binnenschifffahrt Straßenverkehr Wettervorhersage (DWD) |
fehlt noch |
Finanz/Versicherung^ | Bargeldversorgung Zahlungsverkehr Wertpapiere Versicherung Sozialversicherung Grundsicherung |
fehlt noch |
Gesundheit | fehlt noch | fehlt noch |
Wasser/Abwasser | fehlt noch | fehlt noch |
IT und TK^ | Sprach- und Datenübertragung Datenspeicherung und -verarbeitung |
fehlt noch |
Weltraum | Bodeninfrastrukturen | fehlt noch |
Ernährung | fehlt noch | fehlt noch |
Entsorgung | fehlt noch | fehlt noch |
Staat §5 (1) | Einrichtungen Bundesverwaltung | Bundeskanzleramt Bundesministerien |
Definitionen
Die Definitionen sind mittlerweile synchron zur NIS2-Umsetzung, weichen leicht von EU RCE ab. Das Dachgesetz unterscheidet, bzw. definiert, Zuständigkeit des Bundes und der Länder. Oben * markierte Dienstleistungen fallen unter die Zuständigkeit des Bundes. §3 (3)
Die weitere Zuständigkeit der Länder und anderer Bundesbehörden ist noch offen, ebenso müssen die genauen Anlagen müssen noch per Verordnung festgelegt werden.
Dienstleistungen
Weiterhin unterscheidet das Gesetz zwischen den o.g. kritischen Dienstleistungen, die für Deutschland definiert sind, und den wesentlichen Diensten, die in EU RCE für EU-Betreiber definiert sind und Dienste in EU-Mitgliedsstaaten erbracht werden. in §7
Ausschlüsse
Für bestimmte Sektoren und Betreiber gibt es Abweichungen und Ausnahmen im KRITIS-Dachgesetz zu einzelnen Pflichten oder (fast) dem gesamten Gesetz.
Sektor/Gruppe | Ausnahme Pflichten | § DachG |
---|---|---|
Entsorgung | Keine EU/Europa-Vorgaben §4 (5) | §3 (8), §13 (2), §7 |
IT und TK |
Keine Risikoanalysen, Resilienzmaßnahmen, Meldewesen, Nachweise, EU-Vorgaben §4 (6) |
§3 (8), §13 (2) §§7-12 |
Bankwesen |
Keine Risikoanalysen, Resilienzmaßnahmen, Meldewesen, Nachweise, EU-Vorgaben §4 (6) |
§3 (8), §13 (2) §§7-12 |
Finanz/Versicherung |
Keine Risikoanalysen, Resilienzmaßnahmen, Meldewesen, Nachweise, EU-Vorgaben §4 (6) |
§3 (8), §13 (2) §§7-12 |
Bundesverwaltung: Strafverfolgung, Sicherheit, Verteidigung |
Ausgenommen vom ganzen Gesetz §5 (2) | Alle §§ |
Bundesverwaltung | Keine Geschäftsleiter-Pflichten, EU §5 (4) | §7, §14 |
Bundesverwaltung | Wenn sie gleichwertige Vorgaben erfüllen §17 (1) | je nachdem |
Bundesverwaltung: nationale Sicherheit, öffentliche Sicherheit, Verteidigung Strafverfolgung + deren Dienstleister |
Keine Risikoanalysen, Resilienzmaßnahmen, Meldewesen, Nachweise §17 (2) |
§§9-12 |
Bundesverwaltung: Einrichtungen, die ausschließlich in o.g. Bereichen tätig |
Keine Risikoanalysen, Resilienzmaßnahmen, Meldewesen, Nachweise, Registrierung §17 (3) |
§6, §§9-12 |
Resilienz
Pflichten von Betreibern
Pflicht | Betreiber kritischer Anlagen |
---|---|
Geltungsbereich | Anlage/Einrichtung* |
Registrierung §6 | ✓ |
Registrierung Bedeutung EU §7 | ggf. |
Risikoanalysen §9 | ✓ |
Resilienz-Maßnahmen §10 (1)(2)(3) | ✓ |
Resilienzpläne §10 (9) | ✓ |
Nachweise §11 | ✓ |
Meldepflicht §12 | ✓ |
Geschäftsleitung §14 | ✓ |
Die betroffenen Betreiber kritischer Anlagen müssen sowohl Resilienzmaßnahmen umsetzen als auch zusätzliche Formalien wie Registrierung, Meldungen und Nachweise erfüllen.
Risiken und Maßnahmen
Risikoanalyse
Betreiber müssen mindestens alle vier Jahre Risikoanalysen durchführen, die auf nationalen Risikoanalysen nach §8 oder anderen vertrauenswürdigen Quellen basieren. §9 (1)
- Risiken wie in §8 (1) (siehe Nationale Risikoanalysen)
- Risiken, die die
Handlungsfähigkeit der Wirtschaft beeinträchtigen,
basierend auf der Abhängigkeit zu anderen Betreibern und der Abhängigkeit anderer Sektoren vom Betreiber
Das BBK kann inhaltliche und methodische Vorgaben für die Risikoanalysen festlegen. §9 (2)
Resilienzmaßnahmen
Betreiber müssen geeignete und verhältnismäßige Maßnahmen umsetzen, um die Resilienz zu gewährleisten. Die Maßnahmen müssen basierend auf nationalen Risikobewertungen und Analysen ausgesucht werden und sollen den Stand der Technik einhalten. §10 (1)(2)
Zu den geforderten Maßnahmen nach KRITIS-Dachgesetz zählen: §10 (1)(3)
- Auftreten von Vorfällen verhindern
- Notfallvorsorge
- Maßnahmen zur Anpassung an den Klimawandel (?)
- Angemessener physischer Schutz der Liegenschaften und kritischen Anlagen
- Objektschutz, Zäune und Sperren
- Überwachung der Umgebung
- Detektionsgeräte
- Zugangskontrollen
- Reaktion und Abwehr von Vorfällen sowie negativen Folgen begrenzen
- Risiko-Management
- Krisen-Management
- Abläufe im Alarmfall (Krisenreaktionspläne)
- Wiederherstellung der kritischen Dienstleistung nach Vorfällen
- Aufrechterhaltung des Betriebs (Notstrom etc.)
- Ermittlung alternativer Lieferketten (!)
- Sicherheitsmanagement für eigenes und externes Personal
- Definition von Personalen mit kritischen Funktionen
- Definierte Zugangsrechte zu kritischen Räumen, Infrastrukturen und Informationen
Zuverlässigkeitsüberprüfungen
- Schulungsanforderungen und Qualifikationen
- Schulungen, Übungen, Sensibilisierung für Personal
- Schulungen und Materialien
- Übungen (BCM, Notfallmanagement)
Geltungsbereich
Der Geltungsbereich vom KRITIS-Dachgesetz bei Betreibern ist noch etwas unklar. Die Identifikation als kritischer Betreiber und damit Betroffenheit vom KRITIS-Dachgesetz stellt auf kritische Anlagen (KRITIS) und Dienstleistungen zur Versorgung (kDL) ab. Der Geltungsbereich der Analysen und Maßnahmen werden aber bisher nicht explizit definiert.
- Denkbar ist, analog zu NIS2, ein umfassender Geltungsbereich mit
sämtlichen IT-Systemen, Komponenten und Prozessen, die für die Erbringung der Dienste genutzt werden.
- Alternativ ist denkbar, dass sich Maßnahmen auf
IT-Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind
, beschränken, d.h. auf die KRITIS-Anlage und ihre Infrastruktur und Prozesse. - Hier ist noch Klärungsbedarf in Gesetzesentwürfen und vor allem der Begründung.
Dokumentation und Konkretisierung
Resilienzplan
Betreiber müssen die §10 (1) Maßnahmen in einem Resilienzplan dokumentieren, in dem die Erwägungen bei der Auswahl der Maßnahmen und Risikoanalysen dargelegt werden. §10 (9) Das BBK kann Vorlagen und Muster für diese Pläne zur Verfügung stellen. §10 (10)
Äquivalenz
Betreiber kritischer Anlagen können ihren Verpflichtungen nach §§9-11 auch mit Risikoanalysen und Maßnahmen nachkommen, die sie aufgrund anderer öffentlich-rechtlicher [Regulierung] ergriffen haben.
Diese Äquivalenzprüfung stellen die Aufsichtsbehörden mit dem BBK und BSI zusammen fest.
§4 (8) B. Zu §4 Absatz 8
Bundesvorgaben
Das BBK wird zur Konkretisierung der §10 (1) Maßnahmen sektorenübergreifende Mindestanforderungen einen Katalog veröffentlichen. §10 (4) Bundesministerien können Rechtsverordnungen zur Konkretisierung der Maßnahmen erlassen. §10 (5)
Betreiber und Branchenverbände können branchenspezifische Resilienzstandards
zur Umsetzung von §11 (1) vorschlagen.
Das BBK stellt im Einvernehmen mit dem BSI dann die Eignung auf Antrag fest.
§10 (6)
Landesregierungen können für §10 sektorspezifische Mindestvorgaben für Resilienzmaßnahmen
festlegen, wenn kein Branchenstandard vorliegt.
Artikel 2 (dann Teil von §10)
Informationen von Betreibern
Nachweise und Prüfungen
Betreiber müssen die Umsetzung der §10 Resilienz-Maßnahmen auf Nachfrage dem BBK nachweisen. Dies geschieht durch Anfrage des BBK beim BSI für den Teil des NIS-Nachweises (§39 BSIG-E), der Resilienz nach §10 betrifft. §11 (1) Dieser Nachweis muss nach NIS2 von Betreibern alle drei Jahre mittels Prüfungen erbracht werden.
Paragraph 11 ist wirklich sehr kompliziert geschrieben; — Ed.
Zusätzliche Nachweise
Reichen dem BBK die angefragten Informationen als Teil des §39 NIS2-Nachweises nicht aus, können BBK oder andere zuständige Behörden weitere Nachweise von den Betreibern zur Umsetzung von §10 (1) Dachgesetz verlangen. §11 (2)
Der Nachweis kann durch Betreiber auch durch Audits und Prüfungen erbracht werden. §11 (3)
Das BBK kann bei erheblichen Zweifeln
von sich aus die Umsetzung der Anforderungen bei Betreibern überprüfen.
§11 (5)
Das BBK kann weiterhin Dokumentationen der Überprüfung, einen Plan zur Beseitigung, die Behebung der Mängel und Nachweise dafür verlangen.
§11 (6)
Vorgaben
Das BBK wird Vorgaben zur Art und Durchführung der Audits, Nachweisen und fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle festlegen. §11 (4)
Meldewesen
Mit dem KRITIS-Dachgesetz kommen auf Betreiber kritischer Anlagen zusätzliche Informations- und Meldepflichten an das BBK zu, neben den Meldungen an das BSI über die NIS-Umsetzung.
Meldung von Sicherheitsvorfällen
Betreiber kritischer Anlagen müssen Vorfälle, welche die Erbringung kritischer Dienstleistungen erheblich stören oder stören könnten, unverzüglich, innerhalb von 24h, an eine gemeinsame Kontaktstelle des BBK und BSI melden. §12 (1)(3)
- Erstmeldung innerhalb von 24h nach Kenntnis des Vorfalls
- Ausführlicher Bericht spätestens einen Monat nach Kenntnis
- Das BBK kann Betreibern sachdienliche Folgeinformationen liefern §12 (7)
Die Meldungen müssen Informationen zur Art, Ursache, Folgen des Vorfalls, Anzahl und Anteil betroffener Nutzer, Dauer der Störung, betroffenem geographischen Gebiet und grenzüberschreitende Auswirkungen enthalten. §12 (2)
Das BBK meldet Vorfälle, die Auswirkungen auf wesentliche Dienste in anderen EU-Staaten haben, an die dortigen Aufsichtsbehörden. Sind sechs oder mehr Mitgliedsstaaten betroffen, unterrichtet das BBK die Europäische Kommmission. §12 (4)(5)
Auswertungen zu Meldungen teils das BBK wiederum mit den Aufsichtsbehörden, bei öffentlichem Interesse kann das BBK auch die Öffentlichkeit informieren. §12 (8)(9)
Das BBK schätzt im aktuellen Gesetzesentwurf ca. 500 Meldungen pro Jahr. IV. 4.
Identifikation
Registrierung von Betreibern
Unternehmen müssen sich selbst als Betreiber kritischer Anlagen identifizieren und beim BBK registrieren. Betreiber kritischer Anlagen müssen sich innerhalb von drei Monaten nach eigener Identifikation der kritischen Anlage (über Schwellenwerte) registrieren. §6 (1)
- Name, Rechtsform, Handelsregister
- Kontaktdaten, Mail, IP-Adressbereiche, Telefonnummern
- Sektor, Branche und kritische Dienstleistung
- Anlagen, Kennzahlen, Standort, Versorgungsgebiet
- EU-Staaten, in denen wesentliche Dienste erbracht werden
- Betreiber müssen dem BBK eine jederzeit erreichbare Kontaktstelle benennen.
Betreibern wird zwei Wochen nach Registrierung die federführende Aufsichtsbehörde mitgeteilt. §6 (5)
BBK und der Staat
Die Registrierung soll über eine von BBK und BSI gemeinsam eingerichtete Registrierungsmöglichkeit erfolgen. §6 (1) Ob sich bestehende KRITIS-Betreiber erneut registrieren müssen, oder das BSI diese (ans BBK?) weiterleitet, ist noch unklar.
Das BBK kann Betreiber kritischer Anlagen von sich aus registrieren, falls Betreiber ihrer Pflicht nicht nachkommen, und dazu auch Aufzeichnungen oder Unterlagen einfordern. §6 (2)(3)
Das BMI wiederum kann Betreiber von sich aus identifizieren, wenn kritische Betreiber durch die Logik der Anlagen/Schwellenwerte nicht erfasst werden, und dabei die nationalen Risikoanalysen und Kriterien wie Nutzerzahlen, Abhängigkeiten, Auswirkungen, Geographie, Marktanteil berücksichtigen. §4 (2)
Nach der Registrierung
Die Pflichten nach dem Dachgesetz für Betreiber greifen nach der Registrierung: §6 (6)
- Risikoanalysen nach neun Monaten §9
- Resilienzmaßnahmen nach zehn Monaten §10
- Nachweise nach zehn Monaten §11
- Meldewesen nach zehn Monaten §12
Besondere Bedeutung für Europa
Bestimmte Betreiber sind kritische Einrichtungen von besonderer Bedeutung für Europa, wenn sie in mindestens sechs EU-Staaten den gleichen wesentlichen Dienst erbringen und ihr Betreiber eine Meldung von der europäischen Kommission durch das BBK erhalten hat. §7 (1)
Die Europäische Kommission informiert das Innenministerium über diese Entscheidungen, das BBK leitet dies an betreffende Betreiber weiter. Das BBK ist dazu in regelmäßigem Austausch mit anderen Behörden in der EU für übergreifende kritische Anlagen und Betreiber. §7 (3)
Das Innenministerium kann bei der Europäischen Kommission eine Beratungsmission für diese Anlagen beantragen und übermittelt Risikobewertungen und Resilienzmaßnahmen der Betreiber sowie Aufsichts- und Durchsetzungsmaßnahmen. §7 (4)(5)
Staat und Aufsicht
Aufsicht
Zuständigkeiten
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist im Bund die nationale zuständige Behörde Art. 9 RCE/CER und unterstützt Betreiber kritischer Anlagen. Das BBK arbeitet dazu eng mit BNetzA, BSI, BNetzA und BaFin zusammen und tauscht Informationen zu Maßnahmen, Risiken und Vorfällen aus. §3 (1)(2)(3)
Landesbehörden
Landesbehörden werden für bestimmte Betreiber, Dienstleistungen und Sektoren ebenfalls zuständig werden. §3 (4)(5)(6) Es gibt weiterhin eine Einbindung von oder Verweis auf zuständige Landesbehörden in vielen Einzelpflichten wie Nachweisen, Meldungen.
Überwachung
Das BBK hat bei Betreibern Aufsichts- und Durchsetzungsrechte für Resilienz. §11
- Überprüfung der Einhaltung von Anforderungen, ggf. durch Dritte, auch durch Betreten der Räumlichkeiten und Einsichtnahme von Unterlagen §11 (9)
- Mängelbeseitigung nach Audits §11 (8)
- Anweisungen für Maßnahmen zur Behebung von Verstößen §11 (10)
EU
Im Dachgesetz wird die Regulierung von Resilienz neben der nationalen Behörde BBK in einen europäischen Rahmen der EU eingebettet, zum Austausch von Informationen und Vorfällen, zur Vernetzung zwischen Aufsichtsbehörden und für transnationale Vorfälle und Auswirkungen.
Das BBK übermittelt an die Europäische Kommission regelmäßig nationale Informationen: §15
- Ergebnisse und Risiken der nationalen Risikoanalysen drei Monate nach Durchführung
- Kritische Anlagen und Dienstleistungen nach Ermittlung unverzüglich, dann alle vier Jahre
- Schwellenwerte zur Spezifizierung der Kriterien zur Ermittlung
- Bericht über Meldungen und Maßnahmen zum Juli 2028 und dann alle zwei Jahre
Nationale Aufgaben
Resilienzstrategie
Die Bundesregierung muss bis zum 17. Januar 2026 eine nationale Resilienzstrategie (Strategie zur Verbesserung der Resilienz kritischer Infrastrukturen) verabschieden. §1
Im Juli 2024 wurde vom Innenministerium ein Umsetzungsplan der Deutschen Strategie zur Stärkung der Resilienz gegenüber Katastrophen mit vielen Einzelmaßnahmen und Aktivitäten veröffentlich.
Risikoanalysen
Die für die kritischen Dienstleistungen zuständigen Bundes- und Landesministerien müssen alle vier Jahre und erstmalig bis Januar 2026 Risikoanalysen durchführen. In den Analysen soll u.a. bewertet werden: §8 (1)
- Risiken, welche die
Wirtschaftsstabilität
gefährden, sektor- oder grenzüberschreitend sind und auch hybride, terroristische oderfeindliche
Bedrohungen umfassen, - Alle wesentlichen Risiken für den Binnenmarkt und die Bevölkerung durch Abhängigkeiten
- Allgemeine Risikobewertung (Katastrophenschutzverfahren der Union)
- Sonstige Risikobewertungen, u.a. Gewährleistung der sicheren Gasversorgung, Risikovorsorge im Elektrizitätssektor, Hochwasserrisiken, Gefahren schwerer Unfälle mit gefährlichen Stoffen
- Gemeldete Vorfälle (aus §12)
Das BBK erhält diese Risikoanalysen, stellt relevante Teile den Betreibern zur Verfügung und übermittelt Informationen und Risiken an die Europäische Kommission. §9 (3)(4)(5)
Sanktionen und Bußgelder
Im KRITIS-Dachgesetz gibt es eigene Bußgeldvorschriften. Diese sind begrenzter als bei KRITIS und NIS2, und im aktuellen Entwurf noch nicht in der Höhe festgelegt. §19
Tatbestände
Folgende Tatbestände bei Betreibern sind bei Vorsatz Ordnungswidrigkeiten: §19 (1)
Höhe | Verstöße |
---|---|
fehlt noch |
|
Die Höhe muss nach §19 (3) noch definiert werden. Die Verwaltungsbehörde der Bußgelder ist das BBK. §19 (2)
Geschäftsleitung
Geschäftsleiter von Betreibern müssen die Maßnahmen für Resilienz (§10) billigen
und die Umsetzung überwachen.
Ebenso müssen sie Schulungen zu Risiko-Management absolvieren und Nachweise bei Nachfrage vorlegen.
§14
Roadmap
Gesetzgebung
Das KRITIS-Dachgesetz wird 2024 verabschiedet und tritt am 18. Oktober 2024 in Kraft. Seit Ende 2023 gibt es zwei Referentenentwürfe, die das Gesetz in Grundzügen umreissen – ein erster früher aus Juli, ein weiterer aus Dezember 2023.
Version | Status | Datum | Akteur |
---|---|---|---|
RCE | EU 2022/2557 Final | Dez 2022 | Amtsblatt |
KRITIS-Dachgesetz | Eckpunkte-Papier | Dez 2022 | Innenministerium |
KRITIS-Dachgesetz | Referentenentwurf | Jul 2023 | Innenministerium |
KRITIS-Dachgesetz | 2. Referentenentwurf | Dez 2023 | Innenministerium |
Rechtsverordnung(en) | fehlt noch | bis Okt 24 | Innenministerium |
KRITIS-Dachgesetz | Inkrafttreten | 18.10.2024 | Bundestag |
Das KRITIS-Dachgesetz basiert auf der EU RCE-Direktive, die seit 2020 bekannt und 2022 verabschiedet wurde. Der Koalitionsvertrag der Bundesregierung sprach schon vom KRITIS-Dachgesetz, das Innenministerium veröffentlichte dann im Dezember 2022 ein Eckpunkte-Papier avisierte einen Gesetzesentwurf bis zur Sommerpause 2023, parallel zu NIS2.
Das Dachgesetz wird fünf Jahre nach Inkrafttreten wissenschaftlich evaluiert werden. §20
Aufwände
Der aktuelle Referentenentwurf vom KRITIS-DachG schätzt Aufwände für die Umsetzung in der Wirtschaft und der Verwaltung, jedoch hängt die konkrete Höhe von der Anzahl an kritischen Anlagen nach §16 und den noch zu erlassenden Vorgaben ab. IV. 4.
Wirtschaft
Konkrete Kalkulationen zur Aufwand für die Wirtschaft enthält der Entwurf von Dezember nicht, nimmt aber an, dass 1.300 Betreiber kritischer Anlagen über keine ausreichende physische Resilienz verfügen.
Die Kosten für Resilienz seien zehn Mal so hoch
wie für IT-Sicherheit, daraus folgt die Schätzung eines jährlichen Aufwands im hohen dreistelligen Millionenbereich.
Die Annahmen sind wie folgt: IV. 4. b.
Pflicht | Jährlich Unternehmen | Einmalige Kosten |
---|---|---|
Registrierung §§6, 7 | relativ gering |
|
Risikoanalysen §9 | spürbar einstelliger Mio-Bereich |
|
Resilienz-Maßnahmen §10 (1)(2) | [wird nicht einzeln erwähnt] | |
Branchenstandards §10 (6) | relativ gering |
|
Resilienzpläne §10 (7) | relativ gering |
|
Nachweise §11 | relativ gering |
|
Äquivalenzprüfung §‚9-11 i.V.m. §4 (8) | relativ gering |
|
Meldepflicht §12 | relativ gering |
Verwaltung
Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder. Es gibt dazu eine sehr umfangreiche Kalkulationen im Gesetz basierend auf einzelnen Fällen pro Verpflichtung in Minuten, die dann in jährliche Aufwände (Personal, Sachkosten) für Bund und Länder und Einmalkosten (IT, Lösungen) umgerechnet werden. IV. 4. c.
Pflicht | Jährlich Bund | Jährlich Länder | Einmalige Kosten |
---|---|---|---|
KRITIS-Resilienzstrategie §1 | 36 Tsd. + 50 Tsd. EUR | ||
Risikoanalysen §8 | 352 Tsd. EUR | 1.1 Mio EUR | |
Branchenstandards §10 | 599 Tsd. EUR | 213 Tsd. EUR | 1.8 Mio + 116 Tsd. EUR |
Nachweisverfahren §11 | 2.8 Mio EUR | 1.6 Mio EUR | 256 Tsd. EUR |
Meldeverfahren §12 | 10 Tsd. + 190 Tsd. EUR | 1.9 Mio EUR | |
Berichtspflichten §§3, 7, 15 | 595 Tsd. EUR | EUR | 725 Tsd. EUR |
Die notwendigen Planstellen werden erst mit den letzten Entwürfen klarer werden.
Bürger
Für Bürger entsteht kein Erfüllungsaufwand.
Fristen
Gesetz
Das Dachgesetz tritt am 18. Oktober 2024 in Kraft, einige der verbindlichen Maßnahmen treten erst am 17. Juli 2026 in Kraft: Artikel 3 (1)(2)
KRITIS-DachG | Pflicht | In Kraft |
---|---|---|
Artikel 3 (1) | KRITIS-Dachgesetz | 18. Oktober 2024 |
§1 | Nationale Resilienzstrategie Bundesregierung | 17. Januar 2026 |
§6§7 | Registrierungspflicht für Betreiber | 17. Juli 2026 |
§9 | Risikoanalysen bei Betreibern | 17. Juli 2026 |
§10 | Resilienzmaßnahmen bei Betreibern | 17. Juli 2026 |
§11 | Nachweise | 17. Juli 2026 |
§12 | Meldewesen | 17. Juli 2026 |
§14 | Geschäftsleiter-Pflichten | 17. Juli 2026 |
§17 | Ausnahmebescheide | 17. Juli 2026 |
§19 | Bußgelder | 17. Juli 2026 |
Artikel 2 | Sektorstandards durch Landesregierungen | 1. Januar 2029 |
Umsetzung bei Betreibern
Im Gesetz sind Fristen für Betreiber zur Umsetzung der Resilienz-Anforderungen vorgesehen, beginnend mit der eigenen Registrierung: §6 (6)
- Registrierung innerhalb von drei Monaten nach Identifizierung §6 (1)
- Risikoanalyse neun Monate nach Registrierung, §9
- Umsetzung Resilienzmaßnahmen erstmals zehn Monate nach Registrierung, §10
- Nachweise und Aufsichtspflichten erstmals zehn Monate nach Registrierung, §11
- Meldungen von Vorfällen erstmals zehn Monate nach Registrierung, §12
Ergänzende Rechtsverordnung
Verschiedene Definitionen aus dem KRITIS-Dachgesetz müssen noch durch eine Verordnung §16 durch das Innenministerium mit anderen Ministerien konkretisiert werden:
- Kritische Dienstleistungen in
KRITIS
-Sektoren und Versorgungsgrad - Kritische Anlagen in
KRITIS
-Sektoren - Schwellenwerte für kritische Dienstleistung der Sektoren
- Die Schwellenwerte sollten branchenspezifisch sein
- Stichtage zur Bestimmung
- Sektorspezifische Mindestvorgaben für Betreiber
Ein Entwurf der Rechtsverordnung ist noch nicht verfügbar.
Auswirkung auf weitere Gesetze
Änderungen weiterer Gesetze sind nicht abzusehen.
Änderungen der Referentenentwürfe
Es gab bisher zwei öffentliche Referentenentwürfe aus Juli und Dezember 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand:
Änderungen im Dezember 2023 zu Juli 2023
- Betreiber: Die parallele Definition der Einrichtungen (NIS2) wurde entfernt
- Sektoren: Sektoren wurden mit der NIS2-Umsetzung harmonisiert
- Nachweise: Keine reguläre Nachweispflicht mehr für Betreiber.
- Registrierung: Frist zur eigenen Registrierung beim BBK erst nach drei Monaten
- BBK und BSI: Mehr Harmonisierung gemeinsamer Abläufe mit dem BSI
- Staat: Deutliche Einbindung von Landesbehörden
- Kritische Komponenten wurden gestrichen
- Verantwortung für Geschäftsleiter wurde aufgenommen (à la NIS2)
Neuerungen in Juli 2023
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS)
- Sektoren: Die bisherigen KRITIS-Sektoren mit Änderungen, u.a. IT, TK, Finanz, Versicherungen
- Resilienz: Vorgaben zu Krisen/Risiken, BCM, Personalsicherheit, physische Sicherheit
- Aufsicht: Deutsche Aufsicht beim BBK, gemeinsame Lösungen mit dem BSI sind geplant
- Sanktionen: Liste mit Verstößen durch Betreiber, Bußgelder sind noch nicht definiert
- Risiken:
Wirtschaftsstabilität
spielt eine große Rolle für Betreiber, das BBK (und die EU).
Weitere Informationen
Literatur
- Umsetzungsplan der Deutschen Strategie zur Stärkung der Resilienz gegenüber Katastrophen, Bundesministerium des Inneren, 15.07.2024
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
- KRITIS-Dachgesetz:Â Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
- Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Quellen
- Referentenentwurf des BMI: KRITIS-Dachgesetz – KRITIS-DachG, AG KRITIS, letzte Version vom 21.12.2023
- DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
- Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz), Bundesministerium des Innern, 17.07.2023
- Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
- Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
- Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
- Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022