Klärungsbedarf beim Kritis-Dachgesetz vorhanden

Dass die Unternehmen und Einrichtungen, die für das Funktionieren einer modernen Gesellschaft lebensnotwendig sind – eben die Kritischen Infrastrukturen – besonderen Schutz bedürfen, liegt auf der Hand, das Krits-Dachgesetz soll dafür sorgen. Die Hauptfragen sind allerdings, wie viel Schutz nötig ist und wer alles diese Schutzziele erfüllen muss. Anfang November diesen Jahres durchbrach ein Mann mit seiner Tochter in einem Wagen eine Absperrung am Hamburger Flughafen und gelangte auf das Vorfeld. Die Geiselnahme konnte unblutig beendet werden, doch stieß dieser Vorfall die Debatte an, inwieweit Flughäfen und andere, in der Öffentlichkeit als kritisch eingestufte Einrichtungen ausreichend gegen physische Angriffe geschützt seien. Zuvor hatten bereits Aktivisten der „Letzten Generation" einen Metallzaun durchtrennt und sich auf dem Rollfeld festgeklebt.

Lange Zeit sind diese Fragen vor allem für den Bereich der Cybersecurity erörtert und durch verschiedene organisatorische und gesetzliche Maßnahmen abgehandelt worden. Das Bundesamt für Informationssicherheit BSI kümmert sich federführend in Deutschland mit Einführung des BSI-Gesetzes 2015 um den Cyberschutz der Kritis-Betreiber. Weitere Verordnungen wie das IT-Sicherheitsgesetz 2.0 und aktuell das 2024 in Kraft tretende Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit (NIS2UmsuCG) sorgen für eine fortschreitende Anpassung der Regularien an aktuelle Entwicklungen. Doch Cybersicherheit alleine reicht als Schutzziel für viele Einrichtungen und Unternehmen nicht aus. Durch die IT-Landschaft, das Internet der Dinge und die zunehmende Vernetzung sind zwar alle modernen Unternehmen und Einrichtungen von einer sicheren IT abhängig, doch der physische Schutz ist lange Zeit vielerorts vernachlässigt worden. „Bislang sind in vielen Bereichen weder physische Schutzmaßnahmen, noch eine zugrunde liegende Risikobewertung der betriebenen Anlage notwendig gewesen“, erklärt Prof. Clemens Gause, Geschäftsführer beim Verband für Sicherheitstechnik e.V. Das Dachgesetz soll hier Abhilfe schaffen und erweitert die bisherigen Sektoren, die unter die Kritis-Verordnung fallen, auf insgesamt: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung. Zuständig ist nun generell das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), für bestimmte Sektoren gelten andere Aufsichtsbehörden.

Kurz vor Jahresende hat der Gesetzgeber seinen ersten Entwurf vom Juli noch einmal umfassend überarbeitet. Notwendig war dies unter anderem durch die Kritik der Verbände und Akteure der Wirtschaft geworden. Die Kritik am Kritis-Dachgesetz konzentrierte sich hauptsächlich auf die praktische Umsetzung des Gesetzes, die Klarheit der Bestimmungen und die Aufgabenverteilung zwischen Staat und Gesellschaft. Der Verband kommunaler Unternehmen (VKU) etwa hat in seiner Stellungnahme deutlichen Nachbesserungsbedarf gefordert. Während positive Aspekte wie die Adressierung nur der Betreiber kritischer Anlagen und die Anerkennung bestehender Dokumente und Maßnahmen aus dem Cybersicherheitsbereich anerkannt werden, gibt es auch Kritikpunkte. Dazu gehören die ungeklärte Verantwortungsteilung zwischen Staat und Gesellschaft, die Notwendigkeit, den Betreibern besondere Rechte zur Erfüllung der Auflagen zu gewähren, und die Forderung, dass das Kritis-DachG und das NIS 2-Umsetzungsgesetz zusammen behandelt werden sollten, da beide ineinander greifen.

Der Branchenverband Bitkom kritisierte in seiner Stellungnahme ebenfalls die uneinheitliche Definition von Begrifflichkeiten, Schwellenwerten und Zuständigkeiten zwischen dem Entwurf und dem NIS2-Umsetzungsgesetz. Der Bundesverband der Deutschen Industrie (BDI) kritisiert, dass der Gesetzentwurf dem Anspruch eines Dachgesetzes nicht gerecht wird, da er die ineinander verschränkte Risikolage im Cyber- und physischen Raum vernachlässigt und ungenau in seinen Formulierungen ist. Der BDI fordert eine engere Einbindung der Wirtschaft und beanstandete inkonsistente Definitionen zentraler Begriffe wie „kritische Anlagen“ oder „Kritische Infrastrukturen“. Es wird auch vorgeschlagen, Behörden mit koordinierenden Aufgaben in Krisenfällen, wie das Bundesamt für Bevölkerungs- und Katastrophenschutz, in den Kritis-Bereich einzubeziehen. Viele Kritiker bemängeln auch die Nicht-Ausformulierung des § 13 (Einsatz kritischer Komponenten; Verordnungsermächtigung), denn hier würden gegebenenfalls hohe unternehmerische Risiken anfallen, wenn auch nicht IT-bezogene Produkte betroffen wären.

Mit der Überarbeitung seines Entwurfes vom Juli geht der Gesetzgeber auf viele der Kritikpunkte ein, wenngleich immer noch Fragen offen bleiben. Der neue Entwurf betont zunächst, dass es sich vor allem um ein Gesetz handelt, dass den physischen Schutz kritischer Anlagen sektorenübergreifend regelt. Dabei verdeutlicht der Entwurf nun, dass es keine „sektoren- oder gar branchenspezifischen Regelungen treffen“ wird, sondern „abstrakt“ vorgibt, „dass in allen Kritis-Sektoren geeignete und verhältnismäßige Maßnahmen zum physischen Schutz von Betreibern kritischer Anlagen zu treffen sind. Das Gesetz setzt vielmehr einen Prozess auf, der die durch die Verbände zu erarbeitenden Schutzstandards, betreiberseitige und nationale Risikobewertungen einschließlich der Resilienzpläne sowie die Prüfungen seitens der zuständigen Behörden beinhaltet. In § 2 sind nun die Begriffsbestimmungen gegenüber dem ersten Entwurf leicht verändert und präzisiert, nämlich, was oder wer „Betreiber kritischer Anlagen“ sind und was eine „Anlage“, „kritische Anlage“ und eine „kritische Dienstleistung“ ist. Wegefallen ist der gesamte Teil in Bezug auf die Begriffsbestimmungen „besonders wichtige Einrichtung“ und „wichtige Einrichtung“ gemäß der Umsetzung der NIS2-Richtlinie. Damit entfällt die kritisierte fehlende Abgrenzung zum NIS2-Gesetz. Komplett neu formuliert ist nun § 3, der die Zuständigkeiten regelt. Der Bund ist für den Vollzug des Gesetzes sektorenübergreifend zuständig. Damit ist nun klar die Hoheit des Bundes festgelegt, die Länder bestimmen eine Landesbehörde für die Zuständigkeiten für „sektorenübergreifende Angelegenheiten“ und ob diese Behörde Aufgaben nach dem Dachgesetz wahrnehmen.

In § 4 (Anwendungsbereich) wird nun auch wie bei der Kritis-Verordnung ein Versorgungsschwellenwert von 500.000 Einwohnern zugrundegelegt. Der Gesetzgeber kann darüber hinaus per Rechtsverordnung weitere Betreiber kritischer Anlagen unter Berücksichtigung der nationalen Risikoanalysen und Risikobewertungen festlegen. Kriterien hierfür sind etwa „das Ausmaß der Abhängigkeit anderer Sektoren oder Branchen von der betreffenden kritischen Dienstleistung“ oder auch „die Zahl der Nutzer, die die von der betreffenden Anlage erbrachten kritischen Dienstleistung in Anspruch nehmen“. „Durch das Dachgesetz werden nun deutlich mehr Unternehmen und Einrichtungen als Kritische Infrastruktur eingestuft werden, als das bisher der Fall ist. Schätzungen gehen von bis zu 22.000 zusätzlichen Betreibern aus“, erläutert Gause. § 11 enthält nun die Angaben zu den Maßnahmen, die Betreiber zur Gewährleistung ihrer Resilienz umsetzen müssen, und zwar – neu gegenüber dem ersten Entwurf – „nach Ablauf von 10 Monaten nach Registrierung“. Die Maßnahmen sind gegenüber der ersten Fassung des Gesetzes stellenweise präzisiert, es bleibt bei generell-abstrakten Formulierungen, etwa zum Objektschutz wie Zugangskontrollen, Perimetersicherung und Umgebungsüberwachung. Die §§ 8 und 9 sind ebenfalls grundlegend überarbeitet worden und präzisieren die von den Behörden durchzuführenden nationalen Risikoanalysen für die einzelnen Sektoren sowie die Risikoanalysen, die von den Betreibern selbst auf Basis der nationalen Erkenntnisse, durchzuführen sind. Verdeutlicht ist in § 8 nochmal der internationale Ansatz, da hier auch grenzüberschreitende Abhängigkeiten von Sektoren berücksichtigt sind, etwa bei der Gas- und Stromversorgung.

Komplett entfallen ist der ohnehin nicht ausformulierte § 13 zum Einsatz kritischer Komponenten, der ohnehin von den Verbänden und der Wirtschaft moniert worden war. Stattdessen ist nun in § 13 geregelt, dass das BBK den Betreibern „Vorlagen, Muster und Leitlinien zur Umsetzung der Verpflichtungen“ zur Verfügung stellt. Neu hinzugekommen ist in § 14 die Billigungs -, Überwachungs -, und Schulungspflicht für Geschäftsleiter für Betreiber kritischer Anlagen. Hier ist nun die Sorgfaltspflicht für die Geschäftsführung festgelegt, da diese die in § 10 festgelegten Maßnahmen billigen und deren Umsetzung überwachen muss. Hierzu müssen Geschäftsleitende sich sogar regelmäßig durch Schulungen fortbilden, um selbst „Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken und deren Auswirkungen auf die von dem Betreiber der kritischen Anlage eingebrachten Dienstleistungen zu erwerben.“ Ein Verstoß hiergegen könnte im Ernstfall gravierende finanzielle Folgen aus haftungsrechtlicher Sicht nach sich ziehen. Nach wie vor nicht ausformuliert sind die Bußgeldvorschriften in § 19 hinsichtlich der Höhe, was bereits im ersten Entwurf zu Kritik führte und anscheinend weiterer Abstimmung bedarf.

Der neue Entwurf enthält zahlreiche Verbesserungen gegenüber der ersten Version, da einige zentrale Punkte nun präzisiert und Doppelungen mit dem NIS2-Gesetz ausgeräumt worden sind. Ziel muss es sein, eine Anlaufstelle für Meldungen zu haben, egal ob es sich um IT-Vorfälle oder Verletzungen klassischer physischer Schutzarten wie bei der Zutrittskontrolle oder dem Perimeterschutz handelt. Da das Dachgesetz erst im Oktober 2024 verabschiedet sein muss, die nationalen Risikoanalysen aber erst bis Januar 2026 erfolgen müssen und die darauf fußenden Maßnahmen danach im Juli 2026 in  Kraft treten, vergeht bis zu einem effektiv verordneten Schutz noch viel Zeit. Klar ist, das Gesetz wird kommen. Insofern sind die aktuellen Betreiber Kritischer Infrastrukturen und Dienstleistungen sowie solche, die höchstwahrscheinlich künftig unter das Gesetz fallen werden, gut beraten, sich bereits jetzt schon um entsprechende Risikoanalysen bemühen und gegebenenfalls erste Schritte zum verbesserten physischen Schutz einleiten. Denn das Gesetz zeigt auch, dass eine gesamtgesellschaftliche Resilienz in der Umsetzung vor allem eines braucht: Fachkräfte. Und die dürften auch in der Verwaltung fehlen, denn diese wird durch das Gesetz massiv erweitert, da zahlreiche Stellen geschaffen werden müssen, etwa für das Nachweisverfahren. Insofern wird sich zeigen, wie schnell sich spätestens nach Inkrafttreten aller Bestandteile des Gesetzes die vorgegebenen Fristen einhalten lassen können.