Kritis-Dachgesetz: Viel BĂĽrokratie und Dokumentation, wenig Resilienz
Mit dem Kritis-Dachgesetz will die Bundesregierung Infrastruktur besser schützen. Was bringt das Gesetz und was hat sich zum alten Entwurf der Ampel geändert?
(Bild: Harinnita Detta/Shutterstock.com/Bearbeit von iX)
- Manuel "HonkHase" Atug
Deutschland redet viel von einer Zeitenwende und einer dringend benötigten Verteidigungsfähigkeit. Wenn es aber darum geht, konkret zu werden, um sich durch defensive Resilienz stabiler gegen Sabotagen und Naturereignisse aufzustellen, wird es sehr dünn. Die Deadline der CER-Richtlinie der EU, die seit Jahren defensive Resilienz vorschreibt, wurde gerissen und das entsprechende Gesetz in Zeiten der hybriden Bedrohungen nicht verabschiedet.
Der am gestrigen Mittwoch vom Bundeskabinett verabschiedete Regierungsentwurf des Bundesministeriums des Innern für ein Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz) soll erstmals sektorenübergreifende Regelungen zum physischen Schutz von KRITIS einbringen. Die Cybersicherheit durch die EU-Richtlinie NIS2 und bestehende BSI-Gesetzgebung aus dem damaligen IT-Sicherheitsgesetz 2.0 soll also endlich um den Schutz vor physischen Gefahren wie Sabotage, Terror und Extremwetter ganzheitlicher adressiert werden.
Kritis-Betreiber werden verpflichtet, geeignete und verhältnismäßige Resilienzmaßnahmen umzusetzen und erhebliche Sicherheitsvorfälle zu melden. Aber auch nationale Risikoanalysen und Risikobewertungen sind vorgesehen. Diese berücksichtigen mindestens "naturbedingte, technische oder menschlich verursachte Risiken, die geeignet sein können, die Verfügbarkeit der kritischen Dienstleistungen entscheidend zu beeinträchtigen", sowie "sektorenübergreifende und grenzüberschreitende Risiken" und auch "Extremereignisse durch Unfälle, Naturgefahren und gesundheitliche Notlagen". Darüber hinaus müssen sie auch "hybride Bedrohungen, sicherheitsgefährdende oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten" berücksichtigen.
Die Umsetzung der CER-Richtlinie 2022/2557 wurde seitens der EU mit einer Frist bis 17. Oktober 2024 vorgegeben. Deutschland befindet sich inzwischen in der 2. Stufe eines EU Vertragsverletzungsverfahrens aufgrund der immer noch ausstehenden Umsetzung.
Der Referentenentwurf ist im Vergleich zum Gesetzesentwurf vom 27. November 2024 inhaltlich weitgehend unverändert geblieben. Offensichtlich blieben die vielen damaligen Stellungnahmen der Verbände im Wesentlichen unberücksichtigt.
Bleibt alles beim Alten?
Am 29. August 2025 wurde eilig eine erneute Verbändebeteiligung (gemäß § 47 GGO) mit Abgabefrist 4. September 2025 in die Wege geleitet. Eine Abgabefrist von 6 Tagen brutto, davon netto 4 Werktage. Begründet wurde das damit, dass man schon am 10. September 2025 eine Kabinettbefassung vorsieht. Wie mehrere Dutzend erneute Stellungnahmen der Verbände durch das Bundesinnenministerium in nur drei Werktagen durchgearbeitet und der Entwurf inhaltlich verbessert werden sollten, was ja meistens eine Ressortabstimmung mit den anderen Behörden nach sich zieht, wurde nicht näher erläutert.
So ist die Verbändebeteiligung auch hier erneut zu einer Scheinbeteiligung degradiert worden, wie die Gesellschaft für Informatik e.V. (GI) in ihrer Stellungnahme moniert. Eine "differenzierte Auseinandersetzung mit dem Referentenentwurf" werde so "nahezu unmöglich" gemacht. Bereits 2020 hatte zusammen mit anderen Vereinen "angemessene Fristen statt Scheinbeteiligung" gefordert.
Was ist das Ziel?
Der Referentenentwurf des Kritis Dachgesetzes leitet das Ziel mit folgenden Worten ein:
"Ziel der Richtlinie ist es, einheitliche Mindestverpflichtungen für kritische Einrichtungen festzulegen und deren Umsetzung durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen zu garantieren. Um die Resilienz dieser kritischen Einrichtungen, die für das reibungslose Funktionieren des Binnenmarktes von entscheidender Bedeutung sind, zu stärken, schafft die Richtlinie (EU) 2022/2557 einen übergreifenden Rahmen ("Dach"), der im Sinne des All-Gefahren-Ansatzes Naturgefahren oder vom Menschen verursachte, unbeabsichtigte oder vorsätzliche Gefährdungen berücksichtigt."
Gleichzeitig bleibt es bewusst schwammig in der Konkretisierung, um damit "auch den Belangen der Wirtschaft" Rechnung zu tragen:
"Das KRITIS-Dachgesetz wird keine sektoren- oder gar branchenspezifischen Regelungen treffen, sondern abstrakt vorgeben, dass Betreiber kritischer Anlagen in allen KRITIS-Sektoren geeignete und verhältnismäßige Maßnahmen zum physischen Schutz von kritischen Anlagen zu treffen haben."
Immerhin ist vorgesehen, bis 17. Januar 2026 eine "Nationale KRITIS-Resilienzstrategie" zu erstellen, und damit die derzeit gültige KRITIS-Strategie der Bundesregierung von Juni 2009 zu aktualisieren und zu erweitern. Ob diese Frist allerdings gehalten werden kann, darf bezweifelt werden. Bisher ist noch kein Entwurf existent oder in Fachkreisen im Gespräch.
Was hat sich geändert?
Im Vergleich zum Ampel-Entwurf mit 1.400 Betreibern wird jetzt von 1.700 kritischen Anlagen gesprochen. In § 2 werden die abgedeckten Sektoren in der Definition der "kritischen Dienstleistungen" explizit aufgeführt, "deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde", also beispielsweise Energie, Transport und Verkehr, Gesundheitswesen, Informationstechnik und Telekommunikation, Weltraum, Wasser, Ernährung und Siedlungsabfallentsorgung.
Eine neue Regelung gibt der Festlegung der Aufsicht durch Bundesbehörden (Bundesnetzagentur, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und Bundesamt für Sicherheit in der Informationstechnik) gegenüber Landesbehörden den Vorrang. Die in den Bundesländern zuständigen Länderbehörden müssen bis einen Monat nach Inkrafttreten des Gesetzes benannt werden. Drei Monate nach dem Inkrafttreten muss auch die Festlegung an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) kommuniziert werden.
Das BBK wiederum muss dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umgehend Änderungen bei den Registrierungen sowie neue Registrierungen von kritischen Anlagen in Kenntnis setzen. Gemäß § 14 Branchenspezifische Standards und Nachverordnungen können die Branchen eigene Resilienzstandards vorschlagen, diese werden dann vom BBK zur Eignung festgestellt. Neu ist jetzt, dass diese Eignungsfeststellung kostenlos erfolgen soll, "aus Gründen des öffentlichen Interesses". Auch soll das BBK zukünftig die Kritis‑Betreiber kostenfrei mit Diensten wie Mustern für Resililenzpläne, Leitlinien, Beratungen und Schulungen unterstützen.
Was ist zu tun?
Im Rahmen der Resilienzpflichten der Betreiber kritischer Anlagen müssen diese das Auftreten von Vorfällen verhindern, einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen gewährleisten, auf Vorfälle reagieren, diese abwehren und negative Auswirkungen solcher Vorfälle begrenzen, sowie nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung gewährleisten.
Videos by heise
Um diese Pflichten zu erfüllen, müssen Maßnahmen der Notfallvorsorge, Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente, Instrumente und Verfahren für die Überwachung der Umgebung, der Einsatz von Detektionsgeräten und auch von Zugangskontrollen genutzt werden.
Darüber hinaus sind Risiko- und Krisenmanagementverfahren und ‑protokolle sowie vorgegebene Abläufe im Alarmfall zu berücksichtigen. Aber es müssen auch Maßnahmen zur Aufrechterhaltung des Betriebs ergriffen werden, darunter die Notstromversorgung und die Ermittlung alternativer Lieferketten, um die Erbringung der kritischen Dienstleistung wiederaufzunehmen. Die Angestellten und das Personal externer Dienstleister sind durch Informationsmaterialien, Schulungen und Übungen mit Maßnahmen im Personalsicherheitsmanagement vertraut zu machen.
BuĂźgelder und Meldepflicht
Die Stufen sind je nach Ordnungswidrigkeit auf 500.000 Euro, 200.000 Euro, 100.0000 Euro und 50.000 Euro angesetzt. Die vorgesehenen Bußgelder sind daher kaum geeignet, die Einhaltung der Pflichten ernsthaft durchzusetzen. Denn der Aufbau und Betrieb eines echten Resilienz- oder Schutzkonzepts durch bauliche Sicherungen, Notstromversorgung, Redundanzen, Personaltraining und Ähnlichem kostet die Kritis-Betreiber ein Vielfaches dieser Beträge. Zum Vergleich: Die deutsche NIS2-Umsetzung sieht wesentlich schärfere Sanktionen von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes vor.
Kritis-Betreiber müssen sich ferner bei einer gemeinsamen Meldeplattform von BSI und BBK registrieren, die noch kommen soll. IP-Adressänderungen sollen innerhalb von zwei Wochen gemeldet werden.
Wie geht es mit dem Kritis-Dachgesetz weiter?
Das Kabinett hat den quasi unveränderten Entwurf des Kritis-Dachgesetzes beschlossen und damit den Regierungsentwurf verabschiedet. Bundesrat und Bundestag muss das Gesetz auch noch durchlaufen. Die Verkündung und damit auch das Inkrafttreten sollen weiterhin bis Ende 2025 erfolgen.
Fazit
Wesentlicher als die sehr überschaubaren Änderungen zwischen dem Ampel-Entwurf und dem aktuellen Referentenentwurf des Kritis-Dachgesetzes sind die ausgebliebenen Änderungen, die bereits in den vorherigen Anhörungen und Stellungnahmen, aber auch in den aktuellen Fassungen der Fachkreise und Verbände ausführlich dargelegt wurden.
Auch hier gilt wie beim NIS2-Gesetz, dass einem wirksamen Gesetz vor einem schnellen Gesetz Vorzug gewährt werden sollte. Dies ist hier erneut nicht ersichtlich.
So wird Deutschland zwar mit dem kommenden Kritis-Dachgesetz eine Steigerung der physischen Sicherheit erfahren, die aber wie bei NIS2 weit hinter den Möglichkeiten und dem Bedarf aufgrund der akuten Bedrohungen und Gefährdungen zurückbleibt. Es wird also viel Bürokratie und Dokumentation geben, aber durch Dokumente werden kritische Infrastrukturen nicht resilienter.
(axk)
