Was ist das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz (KRITIS-DachG) soll die CER-Richtlinie (EU-Richtlinie) umsetzen und zielt auf die Stärkung der Resilienz von Unternehmen, die als kritische Infrastrukturen eingestuft sind. Während sich das IT-Sicherheitsgesetz bzw. das IT-Sicherheitsgesetz 2.0 ausschließlich auf die IT-Sicherheit fokussieren, soll das KRITIS-Dachgesetz den physischen Schutz von KRITIS-Organisationen und -Einrichtungen zum Ziel haben. Das KRITIS-Dachgesetz ist noch nicht verabschiedet, ein Referentenwurf aus dem Juli 2023 liegt vor.

Wann tritt das KRITIS-Dachgesetz in Kraft?

Für das KRITIS-Dachgesetz besteht bislang (Stand: Dezember 2023) lediglich ein Referentenentwurf vom Juli 2023. Dieser liegt den Ländern und Verbänden bereits vor. Das Gesetz soll noch im Jahr 2023 verabschiedet werden, sodass es im Jahr 2024 in Kraft treten könnte. Einzelne Paragraphen und Vorgaben, die im Gesetzesentwurf zum Schutz kritischer Infrastrukturen vorgesehen sind, können auch zu einem späteren Zeitpunkt rechtsgültig werden.

Wer ist vom KRITIS-Dachgesetz betroffen?

Zum Schutz des gesamtgesellschaftlichen Systems innerhalb Deutschlands und der EU führt die Bundesregierung das KRITIS-Dachgesetz verpflichtend ein. Das KRITIS-Dachgesetz gilt für Organisationen und Einrichtungen, die als kritische Infrastrukturen bzw. kritische Anlagen eingestuft werden. Dazu gehören Unternehmen aus den folgenden Sektoren:

• Energie
• Transport und Verkehr
• Finanz- und Versicherungswesen
• Gesundheit
• Trinkwasser
• Abwasser
• Siedlungsabfallentsorgung
• Informationstechnik und Telekommunikation
• Ernährung
• Weltraum
• Öffentliche Verwaltung

Zudem müssen Unternehmen folgende Kriterien erfüllen, um zu den kritischen Anlagen gezählt zu werden:

• maßgebliche Rolle bei der Gesamtversorgung in Deutschland
• Versorgung von mehr als 500.000 Personen

Welche Pflichten haben Betreiber von kritischen Anlagen einzuhalten?

Betreiber kritischer Infrastrukturen bzw. kritischer Einrichtungen müssen verschiedene Anforderungen erfüllen, um die Vorgaben des KRITIS-Dachgesetzes einzuhalten.

• Auf Grundlage einer Risikobewertung konkrete Maßnahmen identifizieren, um das Unternehmen gegen mögliche Risiken abzusichern.
• Maßnahmen müssen in einem Resilienzplan festgehalten werden.
• In regelmäßigen Abständen müssen neue Risikobewertungen durchgeführt werden, um die Sicherheit der kritischen Infrastruktur dauerhaft schützen zu können.

Wie erfolgen Umsetzung und Überwachung des KRITIS-Dachgesetzes?

Für die Umsetzung der CER-Richtlinie ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zuständig. Entsprechend unterstützt das BBK die Betreiber kritischer Infrastrukturen bei der Umsetzung zum Schutz ihrer Systeme. Dabei steht das BBK im Austausch mit dem Bundesamt für Informationssicherheit (BSI) und der Bundesnetzagentur (BNetzA). Dem BBK obliegt es, zu prüfen, ob die Vorgaben zum Schutz kritischer Infrastrukturen durch einen Betreiber erfüllt wurden oder nicht. Bei Nichterfüllen können Bußgelder verhängt werden.

Was sind die Folgen bei Nichteinhaltung des Gesetzes?

Betreiber, deren Unternehmen laut Kritisverordnung (BSI-KritisV) zu den kritischen Infrastrukturen gehören, müssen bei Nichtbeachtung der Vorgaben mit hohen Bußgeldern rechnen. Die konkrete Höhe der Bußgelder ist noch nicht festgelegt. Vor der Verhängung eines Bußgeldes bekommt der Betreiber die Möglichkeit, seinen Verpflichtungen innerhalb einer angemessenen Frist nachzukommen.