Mitte Oktober 2024 lief die Umsetzungsfrist aus, der von der Ampelregierung (auch damals schon zu spät – am 6.11.24) beschlossene Regierungsentwurf fiel der Diskontinuität zum Opfer.
Nun muss die aktuelle Bundesregierung nacharbeiten. Und das tut sie auch. Denn das federführende Bundesinnenministerium hat vergangenen Freitag den Referentenentwurf offiziell vorgelegt.
Und es wurde nicht nur aus Sicht der bereits abgelaufenen Umsetzungsfrist eng, sondern auch, weil NIS2 schon deutlich weiter im Prozess ist als KRITIS; Widersprüche in den beiden Gesetzen müssen dringend vermieden werden! Das unionsgeführte BMI musste nun liefern, weil das eine nicht ohne das andere beraten und beschlossen werden sollte.
Hierzu klingt mir noch eine Aussage zum NIS2-Regierungsentwurf von MdB Henrichmann (CDU/CSU-Bundestagsfraktion) aus der letzten Wahlperiode in einer seiner Reden im Plenum im Ohr: „(…) denn Sie müssen KRITIS ganzheitlich denken. (…) Aber wo ist das KRITIS-Dachgesetz? Sie bauen sozusagen das Haus zum Schutz der kritischen Infrastruktur und haben kein Dach drauf.“
Zurück zum aktuellen BMI-Referentenentwurf:
Offizieller Titel: „Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“
Und warum sprechen alle vom KRITIS-Dachgesetz?
Ganz einfach: Artikel 1 des Referentenentwurfs enthält das Kernelement des Entwurfs – das sog. Stammgesetz: das neue „Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS–Dachgesetz)“
Darum geht es:
„Im Wesentlichen“ wird die sog. CER-Richtlinie 1:1 umgesetzt – so das BMI. Bei dieser CER-Richtlinie handelt es sich um die Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates (ABl. L 333 vom 27.12.2022, S. 164). Dies fokussiert sich auf sektorenübergreifende physische Resilienzmaßnahmen beim Cyberschutz. Und dies soll auch das KRITIS-Dachgesetz tun.
Das BMI betont im RefE, dass sich die im KRITIS-Dachgesetz getroffenen Bestimmungen zu kritischen Anlagen an den bisherigen Regelungen zum Cyberschutz von kritischen Infrastrukturen unter Berücksichtigung der geplanten Umsetzung der NIS-2-Richtlinie orientieren, um den Aufbau des Systems unter dem All-Gefahren-Ansatz auch für die Wirtschaft zu erleichtern.
Kann jedes Unternehmen anhand des RefE schon klar ableiten, ob es betroffen Ist?
Einige werden dies sicherlich aufgrund Offensichtlichkeit können. Andere hingegen weniger – hier wird man noch auf die im KRITIS-Dachgesetz aufgeführten Rechtsverordnungen warten müssen.
Grundsätzlich soll das KRITIS-Dachgesetz für Betreiber kritischer Anlagen in folgenden Sektoren gelten:
1. Energie,
2. Transport und Verkehr,
3. Finanzwesen,
4. Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende,
5. Gesundheitswesen,
6. Wasser,
7. Ernährung,
8. Informationstechnik und Telekommunikation,
9. Weltraum und
10. Siedlungsabfallentsorgung.
Das Bundesministerium des Innern soll – im Einvernehmen mit 11 anderen Bundesministerien – durch Rechtsverordnung, die nicht der Zustimmung des Bundesrats bedarf, die kritischen Dienstleistungen bestimmen können, die jeweils zu diesen Sektoren gehören.
Mit einer anderen Rechtsverordnung soll das Bundesministerium des Innern ebenfalls ohne Zustimmung des Bundesrates bestimmen können
1. Kategorien von Anlagen,
2. allgemeine, sektoren-, branchen-, dienstleistungs- oder anlagenspezifische Schwellenwerte zum Versorgungsgrad, bei deren Erreichen eine Anlage einer bestimmten Kategorie nach Nummer 1 nach einem bestimmten Stichtag als erheblich für die Erbringung
einer kritischen Dienstleistung gilt und bei deren Unterschreiten eine Anlage nach einem bestimmten Stichtag nicht mehr als solches gilt,
3. Stichtage nach Nummer 2 sowie
4. Kategorien von Anlagen, die unabhängig von Nummer 2 als erheblich für die Erbringung einer kritischen Dienstleistung gelten.
Welche Pflichten wird es geben?
Es soll einige z. T. umfassende Pflichten für Betreiber kritischer Anlagen geben, u. a.
- Pflicht, diese Anlage(n) beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zur registrieren. Details zu Fristen (frühestens 17. Juli 2026) und Angaben bei Registrierung regelt § 8 KRITIS-Dachgesetz-E
- Pflicht, auf Grundlage der nationalen Risikoanalysen und Risikobewertungen und „anderer vertrauenswürdiger Informationsquellen“ Im Bedarfsfall, mindestens alle 4 Jahre, eine Risikoanalyse und -bewertung durchzuführen. Details regelt § 12 KRITIS-Dachgesetz-E. Das Bundesministerium des Innern soll wiederum ermächtigt werden, durch Rechtsverordnung, die wieder nicht der Zustimmung des Bundesrates bedarf, inhaltliche und methodische Vorgaben einschließlich Vorlagen und Muster für die Risikoanalysen und Risikobewertungen der Betreiber kritischer Anlagen zu bestimmen. Diese Ermächtigung soll das BMI wiederum auf das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übertragen können
- Resilienzpflichten und Erstellung eines Resilienzplans. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe soll bis 17. Januar 2026 vorlagen und Muster auf seiner Website zur Verfügung stellen (§ 13 KRITIS-Dachgesetz-E).
- Nachweispflichten bspw. hinsichtlich der Vorlage des Resilienzplans
- Meldepflichten für Vorfälle binnen 24 Stunden: Vorgaben zu den nötigen Angaben enthält § 18 KRITIS-Dachgesetz-E.
Last but not least: Die Umsetzungs- und Überwachungspflichten für Geschäftsleitungen. KRITIS ist damit „Chefsache“! Geschäftsleitungen sind nach § 20 KRITIS-DachG nicht nur verpflichtet, die zu ergreifenden Resilienzmaßnahmen umzusetzen und ihre Umsetzung durch geeignete Organisationsmaßnahmen sicherzustellen. Sie haften ihrer Einrichtung für einen schuldhaft verursachten Schaden.
Welche Behörden erhalten Zuständigkeiten?
Viele! Zentrale Anlaufstelle soll das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sein. Weitere zuständige Behörden listet § 3 KRITIS-Dachgesetz-E auf, u.a. das BMI, BNetzA, BMWE, Eisenbahnbundesamt, Fernstraßen-Bundesamt, Deutscher Wetterdienst, BaFIN… und ja, auch hier gibt es wieder eine Rechtsverordnungsermächtigung für das BMI – natürlich ohne Zustimmung des Bundesrates.
Gibt es noch mehr Rechtsverordnungen, die dem KRITIS-Dachgesetz folgen?
Ja. Der Entwurf des KRITIS-Dachgesetzes enthält darüber hinaus noch einige weitere Rechtsverordnungsermächtigungen, u. a. sektorspezifische Mindestvorgaben zu bestimmen – diese Ermächtigung sollen jeweils (und ohne Zustimmung des Bendesrates) erhalten: BMWE, BMLEH, BMG, BMV und BMDS. Immerhin sollen diese Rechtsverordnungen stets im Einvernehmen mit dem BMI ergehen.
Gibt es Bußgeldvorschriften?
Natürlich… Alles in § 24 KRITIS-Dachgesetz-E geregelt. Die Bußgelder gehen je nach OWi bis zu 50.000 / 100.000 / 200.000 bzw. 500.000 EUR.
Wie geht es weiter?
Das BMI stuft das Gesetzgebungsverfahren als dringlich ein – angesichts der abgelaufenen Umsetzungsfrist und des fortgeschrittenen Vertragsverletzungsverfahrens ist das nachvollziehbar. Daher soll das Bundeskabinett den Regierungsentwurf bereits am 10. September beschließen, damit das offizielle Gesetzgebungsverfahren starten kann.
Stellungnahmen können daher nur bis 5. September eingereicht werden, parallel erfolgt noch die Ressortabstimmung.
Und wenn das Gesetz dann in Kraft ist (übrigens weitestgehend am Tag nach der Verkündung), hat sich das BMI eine „regelmäßige“ Evaluation, erstmalig bis 17. Oktober 2029 – vorgenommen. Auf „wissenschaftlich fundierter Grundlage“.