Die Bundesregierung hat den von der Bundesministerin des Innern und für Heimat, Nancy Faeser, vorgelegten Entwurf für das Kritis-Dachgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen) beschlossen. Das Kritis-Dachgesetz soll erstmals den physischen Schutz kritischer Infrastrukturen bundeseinheitlich und sektorenübergreifend regeln. Bisher gab es eine solche Bundesregelung nur für die IT-Sicherheit kritischer Infrastrukturen.
Der Gesetzentwurf legt fest, welche Infrastruktur-Einrichtungen unentbehrlich dafür sind, die Versorgung der Bevölkerung zu sichern und die Wirtschaft aufrechtzuerhalten. Für die Betreiber dieser Einrichtungen legt das Gesetz Mindestanforderungen fest. Dabei gilt der All-Gefahren-Ansatz: Jedes denkbare Risiko muss berücksichtigt werden, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Für Vorfälle besteht künftig eine Meldepflicht.
„Wir machen Deutschland widerstandsfähiger und krisenfester. Denn wir müssen uns gegen Krisen- und Katastrophenfälle viel stärker wappnen als in der Vergangenheit. Die russische Aggression in Europa, Sabotageakte und Terroranschläge bedrohen unsere Sicherheit. Durch den Klimawandel erleben wir immer häufiger Naturkatastrophen wie Starkregen und Überschwemmungen. Der Schutz kritischer Infrastrukturen von Krankenhäusern bis hin zur Lebensmittel-, Strom- und Wasserversorgung ist daher von größter Bedeutung“, sagt Bundesinnenministerin Nancy Faeser. Und weiter: „Mit unserem Kritis-Dachgesetz definieren wir erstmals die zu schützenden Bereiche und sorgen dafür, dass Risiken früher erkannt, Schutzmaßnahmen getroffen und Störungen gemeldet werden. Das sind herausragend wichtige Maßnahmen für den Schutz der Menschen in Deutschland, für eine sichere Versorgung und eine schnellere Bewältigung von Krisen, wenn sie eintreten.“
Einheitliche Regeln in elf Sektoren
Der Entwurf für das Kritis-Dachgesetz legt erstmals einheitliche Regeln in elf Sektoren fest: Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung, Öffentliche Verwaltung sowie Leistungen der Sozialversicherung.
Welche Anlagen in Deutschland unter die Regelungen des Gesetzes fallen, bemisst sich nach quantitativen und qualitativen Kriterien. Wenn eine Einrichtung zum Beispiel essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Personen versorgt, zählt sie zur kritischen Infrastruktur im Sinne des Gesetzentwurfs. Außerdem wird das Ausmaß der wechselseitigen Abhängigkeiten der kritischen Infrastrukturen untereinander berücksichtigt: So hängen vom Energiesektor auch alle anderen Sektoren ab. Genauso sind Wasser und Transportwege für die jeweils anderen Sektoren unverzichtbar.
Bislang gibt es keine für alle Betreiber gleichermaßen geltende Verpflichtung, die Risiken für ihre Anlagen regelmäßig zu überprüfen und umfassende Maßnahmen zu treffen, um deren Funktionsfähigkeit zu sichern. Das Kritis-Dachgesetz formuliert daher erstmals sektorenübergreifende Ziele für die Betreiber. Dazu zählt, Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherstellen zu können.
Betreiber müssen Vorfälle an BBK und BSI melden
Dazu muss jeder Betreiber in Zukunft auf die spezifischen Risiken für seine Anlage mit passgenauen Maßnahmen reagieren, die in Resilienzplänen dargestellt werden. Wesentliche Resilienzmaßnahmen können etwa die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung sein. Eine Grundlage hierfür sind Risikoanalysen und Risikobewertungen, die von den zuständigen staatlichen Stellen erarbeitet und den Betreibern zur Verfügung gestellt werden.
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registriert die entsprechenden Einrichtungen und erfasst anfallende Störungen. Das BBK arbeitet dabei mit den je nach Sektor zuständigen Aufsichtsbehörden des Bundes oder der Länder zusammen. Die Zuständigkeiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die IT-Sicherheit kritischer Infrastrukturen bleiben bestehen. Die sektorspezifischen, anderen Aufsichtsbehörden des Bundes oder der Länder können die Erfüllung der gesetzlichen Vorgaben kontrollieren: Sie können bei einzelnen Betreibern die Resilienzpläne der Unternehmen prüfen und, falls nötig, nachschärfen lassen.
Betreiber kritischer Infrastrukturen werden außerdem künftig dazu verpflichtet, Vorfälle auf einem Onlineportal von BBK und BSI zu melden. Die Erkenntnisse helfen dabei, die Widerstandskraft kritischer Anlagen weiter zu erhöhen.
Das Kritis-Dachgesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (sog. CER-Richtlinie) um. Durch europaweite einheitliche Mindeststandards für den Schutz kritischer Infrastrukturen sowie verstärkte grenzüberschreitende Kooperation soll auch die Versorgungssicherheit in Deutschland und Europa gestärkt werden. (ah)