KRITIS-Dachgesetz
Das neue KRITIS-Dachgesetz
Betreiber kritischer Anlagen haben sich bekanntermaßen auf deutliche Änderungen einzustellen. Nicht nur die Umsetzung der NIS-2-Richtlinie, insbesondere der BSIG-Entwurf, wird KRITIS-Betreiber verpflichten, ihre Sicherheitsinfrastruktur fundamental zu verbessern. Auch das KRITIS-Dachgesetz wird KRITIS-Betreiber in die Pflicht nehmen, umfangreiche Resilienzmaßnahmen zu treffen.
Das federführende Bundesministerium des Innern veröffentlichte vor wenigen Wochen einen aktuellen Referentenentwurf (https://lnkd.in/eNEmxcnn). Während der BSIG-Entwurf die IT-Sicherheit von Unternehmen und Verwaltungsakteuren im Blick hat, betrifft der KRITIS-DachG-E den nicht-digitalen, „physischen“ Schutz. Die Gesetze treten damit nebeneinander. Ziel ist ein umfassender Schutz nach dem „All-Gefahren-Ansatz“. Sie ergänzen sich, sollen aber auch möglichst kohärent sein, um als holistische Lösung den aktuellen akuten Bedrohungslagen gerecht zu werden.
Das KRITIS-DachG dient der Umsetzung der CER-Richtlinie (Critical Entities Resilience). Achtung: die Umsetzungsfrist endet am 17.10.2024. Die Frist entspricht der der NIS-2-Richtlinie.
Vom Anwendungsbereich des KRITIS-DachG-E erfasst sind, abgesehen von den Einrichtungen der Bundesverwaltung, bloß die Betreiber kritischer Anlagen. Hier liegt ein bedeutsamer Unterschied zum BSIG-E, wo außer den KRITIS-Betreibern auch sonstige besonders wichtige Einrichtungen sowie wichtige Einrichtungen adressiert werden. Der Anwendungsbereich fällt im Vergleich also wesentlich kleiner aus.
Wer als Betreiber kritischer Anlagen gilt, wird – in weitestgehender Übereinstimmung mit dem BSIG-E – in § 2 Nr. 1 i. V. m. § 4 KRITIS-DachG-E bestimmt. Eine Anlage ist dann als kritisch anzusehen, wenn sie einem der aufgezählten Sektoren (Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Weltraum o. a.) zuzuordnen ist und einen bestimmten Schwellenwert überschreitet, welcher in einer noch folgenden Rechtsverordnung festgelegt wird. Die Systematik ist also vergleichbar mit dem aktuellen Wechselspiel zwischen BSIG und KRITIS-VO. Weiterhin kann das BMI unter Berücksichtigung bestimmter Kriterien weitere Betreiber kritischer Anlagen festlegen.
Wichtige Pflichten für Betreiber kritischer Anlagen werden sein:
- Registrierungspflicht nach § 6 KRITIS-DachG-E: KRITIS-Betreiber müssen sich spätestens 3 Monate nach Geltung als KRITIS-Betreiber beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Andernfalls kann das Bundesamt die Registrierung selbst vornehmen.
- Pflicht zur Vornahme von Risikoanalysen und -bewertungen nach § 9: Mindestens alle 4 Jahre haben KRITIS-Betreiber eine Risikoanalyse und -bewertung durchzuführen, die bestimmte Risikopotenziale zu berücksichtigen hat, wie naturbedingte, klimatische und vom Menschen verursachte, die Handlungsfähigkeit der Wirtschaft bedrohende Risiken oder Risiken, die aus besonderer Abhängigkeit von Dienstleistungen anderer KRITIS-Betreiber herrühren.
- Pflicht zur Vornahme (physischer) Resilienzmaßnahmen und Aufstellen eines Resilienzplans nach § 10: Spätestens 10 Monate nach ihrer Registrierung sind KRITIS-Betreiber verpflichtet, technische, sicherheitsbezogene und organisatorische Maßnahmen zu ergreifen, um die Resilienz gegenüber potenziellen Störungen der Dienstleistungserbringung zu gewährleisten. Was dies umfasst, ist exemplarisch in § 10 Abs. 1, Abs. 3 aufgezählt (Notfallvorsorgemaßnahmen, Objektschutzmaßnahmen, Risikomanagementverfahren, Schulungen u. a.). Zur Konkretisierung der Vorgaben soll durch das Bundesamt noch ein Katalog ausgearbeitet werden. Und: der Stand der Technik soll eingehalten werden.
- Nachweispflicht nach § 11: Die Einhaltung der o. g. Vorgaben ist ggf. durch geeignete Nachweise, z. B. in Form von Audits, zu belegen.
- Meldepflicht nach § 12: Vorfälle, welche die Dienstleistungserbringung erheblich stören oder stören könnten, haben KRITIS-Betreiber bei einer vom Bundesamt eingerichteten Meldestelle unverzüglich zu melden. Die Erstmeldung hat innerhalb von 24 h nach Kenntnis des Vorfalls zu erfolgen. Ein ausführlicher Bericht ist binnen eines Monats zu übermitteln.
- Pflichten für Geschäftsleiter von KRITIS-Betreibern nach § 14: Die nach § 10 zu treffenden Maßnahmen sind von den Geschäftsleitern zu billigen und zu überwachen. Außerdem haben Geschäftsleiter regelmäßig an Schulungen teilzunehmen.
Ein Verstoß gegen die aufgeführten Pflichten wird mitunter nach § 19 als Ordnungswidrigkeiten eingestuft und kann mit einer Geldbuße geahndet werden.