Es tut sich was beim Kritis-Dachgesetz (Kritis-DachG): Kurz vor dem Jahresende 2023 hat das Bundesinnenministerium (BMI) einen neuen Referentenentwurf für ein Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 (CER-Richtlinie) und zur Stärkung der Resilienz von Betreibern kritischer Anlagen veröffentlicht.
Das Kritis-Dachgesetz, dessen Entstehung parallel zur Umsetzung der europäischen NIS-2-Richtlinie verläuft, hat den physischen beziehungsweise „analogen“ Schutz Kritischer Infrastrukturen zum Gegenstand. Zusammen mit dem nationalen NIS2UmsuCG (Tagesspiegel Background berichtete) soll ein ganzheitlicher und hybrider Schutz kritischer Anlagen sowie wesentlicher und wichtiger Einrichtungen erzielt werden.
Nachdem zunächst ein Eckpunktepapier zum Kritis-DachG publiziert wurde, folgte im Juli 2023 ein erster Referentenentwurf aus dem federführenden BMI, der umfassend durch Wissenschaft, Verbände, Unternehmen und Zivilgesellschaft kommentiert und teils auch kritisiert wurde (Tagesspiegel Background berichtete) – das ist jedoch wenig überraschend für eine erste, noch nicht weitergehend abgestimmte Entwurfsfassung eines Gesetzes. Überdies fand im Sommer 2023 zusätzlich ein internes Beratungsgespräch zur Umsetzung der CER-Richtlinie in Deutschland statt, dem auch der Verfasser dieses Beitrages als Experte beiwohnte.
Zahlreiche Aspekte kritischer Stellungnahmen aus den vergangenen Monaten sind in den am 21. Dezember 2023 neu vorgelegten Entwurf für ein Kritis-Dachgesetz eingeflossen, das grundsätzlich zum 18. Oktober 2024 in Kraft treten soll. Auch im Sinne der besseren Verständlichkeit und Nachvollziehbarkeit des laufenden Gesetzgebungsverfahrens hat das BMI nicht nur eine neue Fassung des Dachgesetzes veröffentlicht, sondern auch eine Vergleichsversion zur Nachvollziehbarkeit der Änderungen im Volltext sowie ein tabellarisches Übersichtsdokument, das die wesentlichen Änderungen hervorhebt.
Systematische Einordnung des neuen Referentenentwurfs
Schon bei einem ersten Blick auf die Entwurfsfassung vom Dezember 2023 wird deutlich: Die Änderungsvorschläge sind umfassend. Zwar wird nach wie vor der „All-Gefahrenansatz“ verfolgt, es werden jedoch Anpassungen in den Begriffsbestimmungen, den behördlichen Zuständigkeiten – insbesondere auch in der Abgrenzung von Bund- und Länderbefugnissen in der Gefahrenabwehr, im Anwendungsbereich, in den Anforderungen an die Bundesverwaltung, in den Schwellenwerten und von den Betreibern vorzusehenden Maßnahmen, in der Risikoanalyse, im Meldewesen und in den Nachweis- und Berichtspflichten, in den Bußgeldvorschriften sowie in der Abgrenzung zu weiteren und spezialgesetzlichen Rechtsakten vorgenommen. Deutlich wird vor allem im Verhältnis von Bund- und Länderkompetenzen, dass der Bund die Aufrechterhaltung der Versorgungssicherheit als bundesweite Aufgabe betrachtet.
Insgesamt ist der Anwendungsbereich des Kritis-DachG kleiner und die Regelungsintensität im Vergleich zum NIS2UmsuCG geringer. Deshalb enthält das Kritis-DachG auch keine sektoralen oder branchenspezifischen Regelungen, sondern soll lediglich abstrakt vorgeben, dass in sämtlichen Kritis-Sektoren geeignete und verhältnismäßige Maßnahmen zum physischen Infrastrukturschutz von den Betreibern kritischer Anlagen zu treffen sind. Um dieses Ziel zu erreichen, wird im Rahmen eines Prozesses eine Vielzahl von zusammenwirkenden Maßnahmen und Anforderungen bestimmt:
- nationale Risikobewertungen,
- betreiberseitige Risikobewertungen,
- Erstellung von Resilienzplänen durch die Betreiber,
- Erarbeitung branchenspezifischer Schutzstandards durch die zuständigen Verbände
- sowie Äquivalenzprüfungen durch die fachlich zuständigen Behörden.
Deutlich wird, dass es nicht „den einen“ abschließenden Maßnahmenkatalog gibt, um künftig die Kritis-Anforderungen aus dem Dachgesetz zu erfüllen. Dass die wirtschaftlichen Erfüllungsaufwände zur Umsetzung des Dachgesetzes erheblich sein werden, zeichnet sich schon jetzt ab. Wirklich belastbare Aussagen wird man aber erst machen können, wenn Anwendungsbereich und sektorspezifische Mindestanforderungen abschließend festgelegt wurden. Doch nicht nur der Wirtschaft entstehen Mehraufwände, ebenso bahnt sich das Kritis-DachG als Kostenpunkt für die Verwaltung mit einem jährlichen Erfüllungsaufwand in Höhe von 6,4 Millionen Euro an, wovon in etwa 4,3 Millionen Euro auf den Bund und 2,1 Millionen Euro auf die Länder entfallen.
Politisch und strategisch wird das Kritis-DachG in eine „Nationale Kritis-Resilienzstrategie“ eingebunden werden, die bis zum 17. Januar 2026 verabschiedet werden soll und die derzeit noch gültige nationale Kritis-Strategie des Bundes aus 2009 ablöst – ein im Angesicht der elementar geänderten Bedrohungslage dringend notwendiger Schritt. Die zentralen Betreiberpflichten zu Risikoanalysen und Risikobewertungen, Resilienzmaßnahmen, Nachweispflichten und für das Meldewesen treten am 17. Juli 2026 in Kraft.
Zentrale Begriffsbestimmungen
Zentrale begriffliche Veränderungen im Vergleich der Entwurfsfassungen betreffen die „Anlagen“ und „Einrichtungen“. Die bislang verwirrende versuchte Angleichung an die NIS-2-Richtlinie beziehungsweise an das NIS2UmsuCG wird im Wesentlichen aufgegeben, indem vor allem die Begriffe „besonders wichtige Einrichtung“ und „wichtige Einrichtung“ gestrichen werden. Das gilt ebenso für den Begriff der „Kritischen Infrastruktur“, der keine europarechtliche Entsprechung hat.
Behördenzuständigkeiten und behördliche Zusammenarbeit
Vor allem im Bereich der behördlichen Zuständigkeiten wird der künftige Befugnisaufwuchs des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) deutlich, das zwar im Rahmen eines ganzheitlichen nationalen Resilienzkonzepts nicht die einzige zuständige Behörde sein kann, wohl aber die zentrale Anlaufstelle sein wird. Abzugrenzen ist das BBK insbesondere von der Bundesnetzagentur (BNetzA), von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie vom Bundesamt für Sicherheit in der Informationstechnik (BSI)..
Anwendungsbereich und Geltungsumfang
§ 16 Kritis-DachG-E enthält eine Ermächtigung des BMI zum Erlass von den Anwendungsbereich konkretisierenden Rechtsverordnungen. Bemessungskriterium sind qualitativ die als kritisch geltenden Dienstleistungen und quantitativ der als bedeutend geltende Versorgungsgrad. Ebenfalls bestimmt werden die für die Bemessung zugrunde zu legenden Stichtage. Dies entspricht dem bereits bekannten Vorgehen aus dem IT-Sicherheitsrecht.
Eine Anlage gilt grundsätzlich dann als kritisch im Sinne des Kritis-DachG, wenn sie zum Stichtag einer durch die Rechtsverordnung bestimmten Anlagenarten in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung qualitativ zuzuordnen ist und quantitativ die in der Rechtsverordnung festgelegten Schwellenwerte erreicht oder überschreitet. Auch bei der Bemessung dieses Schwellenwerts gilt der bereits bekannte Regelschwellenwert von 500.000 zu versorgenden Einwohnern.
Spätestens drei Monate nach Erfüllung der Betroffenheitskriterien ist der Betreiber einer kritischen Anlage verpflichtet, eine Registrierung durchzuführen. Diese ist zu richten an eine gemeinsam von BBK und BSI geschaffene Registrierungsmöglichkeit.
Risikoanalysen und Resilienzmaßnahmen
Identifizierte Betreiber kritischer Anlagen sind zu umfassenden Resilienzmaßnahmen verpflichtet. Hierzu sind zuvorderst mindestens alle vier Jahre Risikoanalysen und Risikobewertungen anzustellen. Dabei können die nationalen Risikoanalysen zugrunde gelegt werden. Nach Ablauf von zehn Monaten nach ihrer Registrierung sind die Betreiber der kritischen Anlagen verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen. Neu im Dezember-Entwurf des Kritis-DachG ist die im Vergleich zum Vorgänger-Entwurf detaillierter gefasste Auflistung beispielhafter Maßnahmen – damit wird ein weiterer Kritikpunkt der Juli-Fassung adressiert. Die von den Betreibern getroffenen Maßnahmen müssen sodann in einem Resilienzplan dargestellt werden, zu dem Vorlagen und Muster durch das BBK zur Verfügung gestellt werden können.
Meldewesen der Betreiber und Geschäftsleiterverantwortung
Ebenfalls umfassend überarbeitet wurde das Meldewesen. Betreiber kritischer Anlagen sind verpflichtet, Vorfälle, die die Erbringung kritischer Dienstleistungen erheblich stören oder erheblich stören könnten, unverzüglich an eine vom BBK und BSI eingerichtete gemeinsame Meldestelle zu melden.
Wie schon für das NIS2UmsuCG schlägt auch der Entwurf für ein Kritis-DachG neuerdings gesteigerte Billigungs-, Überwachungs- und Schulungspflichten für Geschäftsleiter der Betreiber kritischer Anlagen voraus. Diese sollen nunmehr zusätzlich verpflichtet sein, die ergriffenen Resilienzmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Gerade dieser Vorstoß dürfte im weiteren Gesetzgebungsverfahren für erheblichen Diskussionsbedarf sorgen. Folgerichtig ist es aber, wenn das Gesetz verlangt, dass die Geschäftsleiter bei Kritis-relevanten Entscheidungen inhaltlich auch entscheidungsfähig sein müssen.
Wo stehen wir aktuell und wie geht es weiter?
Es hat sich tatsächlich viel getan seit dem ersten Entwurf für ein Kritis-DachG aus dem Sommer vergangenen Jahres – und im Ergebnis kann man feststellen: Der aktuelle Entwurf hat nicht nur viel von der initialen Kritik aufgegriffen, sondern auch mit der ursprünglichen verworrenen Systematik gründlich aufgeräumt. Herausgekommen ist ein Kritis-DachG, das sich systematisch weitestgehend sauber und deutlich klarer, verständlicher und damit rechtssicherer präsentiert als seine erste Entwurfsfassung. Und das ist auch ganz im Sinne der Sache, denn die betroffenen Betreiber kritischer Anlagen benötigen deutliche rechtliche Compliance-Vorgaben, um zu einer möglichst schnellen, effektiven, effizienten und widerspruchsfreien Umsetzung zu gelangen. In diesem Sinne hat das BMI in den vergangenen Monaten eine lobenswerte Arbeit geleistet, sodass das Kritis-DachG zurzeit auf einem guten Weg ist und nur zu hoffen bleibt, dass der Entwurf im Laufe des weiteren Gesetzgebungsverfahrens nicht wieder durch Partikularinteressen verwässert wird.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht, Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und des Advisory Boards des Anbieters für verschlüsselte Kommunikation NordVPN. Kipker ist zudem wissenschaftlicher Direktor des Cyberintelligence Institute in Frankfurt am Main.
In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Dennis-Kenji Kipker erschienen: Microsoft, die Cybersicherheit und das Kartellrecht: Immer noch nichts dazugelernt?
