Analog-Schutz: Bundeskabinett bringt Kritis-Dachgesetz auf den Weg

Inhaltsverzeichnis

Über ein Jahr nach dem ersten Entwurf hat das Bundeskabinett am Mittwoch das Kritis-Dachgesetz in Richtung Bundestag befördert. Mit dem Gesetz soll das analoge Pendant zur NIS2-Richtlinie zur Cybersicherheit umgesetzt werden. Bundesinnenministerin Nancy Faeser (SPD) sieht in dem Gesetz "herausragend wichtige Maßnahmen für den Schutz der Menschen in Deutschland, für eine sichere Versorgung und eine schnellere Bewältigung von Krisen, wenn sie eintreten."

Das Gesetz, mit dem die vor bald drei Jahren verabschiedete Richtlinie über den Schutz Kritischer Einrichtungen auf EU-Ebene in deutsches Recht umgesetzt wird, orientiert sich in seiner Logik an der geltenden Kritis-Verordnung des BSI-Gesetzes. Wer mehr als 500.000 Menschen versorgt oder sonst wichtige Anlagen betreibt, muss künftig Mindestschutzmaßnahmen ergreifen und Resilienzpläne aufstellen.

Resilienz vor und nach Vorfällen soll gesteigert werden

Ganz praktisch soll das so funktionieren: Ein Versorger muss mögliche Risiken analysieren und Schutzmaßnahmen ergreifen, um seine Leistung abzusichern. Das kann etwa mit Überwachungskameras, Objektschützern, Zäunen, Drohnen, Drohnenabwehr, Zugangs- und Paketkontrollen oder Vorkehrungen gegen Naturkatastrophen geschehen.

Mit Alarm- und Resilienzplänen sollen die Anlagenbetreiber Vorsorge tragen, dass im Ernstfall der Schaden möglichst gering ausfällt. Fällt eine kritische Anlage etwa beim Wasserversorger aus, muss dieser eine Notversorgung geplant haben. Das kann etwa die Priorisierung der Versorgten oder eine Ersatzleistung durch andere Versorger sein.

Allerdings geht das neue Gesetz weiterhin grundsätzlich von Einzelereignissen aus – großflächige Störfälle mit mehreren Betroffenen etwa derselben Branche oder verschiedenen Infrastrukuturen parallel sind strukturell nicht vorgesehen. Katastrophenereignisse sind in der Bundesrepublik eine Zuständigkeit der Länder, solange es sich dabei nicht um den Verteidigungsfall handelt, der Bund darf hierbei nur unterstützend tätig werden.

Mit dem Gesetz sollen die gesellschaftlichen Kernfunktionen gesichert werden. Wie bei der NIS2-Umsetzung soll eine Meldepflicht eingeführt werden. Die Bundesämter für Bevölkerungsschutz und Katastrophenhilfe (BBK) und Sicherheit in der Informationstechnik (BSI) sollen auf Meldungen zugreifen können, was ein schnelleres Lagebild ergeben soll.

Etwa 1.400 Unternehmen würden unter das Gesetz fallen. Die Größe von 500.000 Versorgten ist dabei aber nicht abschließend. Besteht bei einer einzelnen Anlage die Gefahr, dass sie Rückwirkungen hat, regional nicht teilersetzt werden kann oder für Notfallversorgung ("Schwarzstartfähigkeit") maßgeblich ist, kann das Kritis-Dachgesetz ebenfalls gelten. Hier will das Innenministerium im Rahmen einer Verordnung später genauere Angaben nachlegen.

Kritische Komponenten nicht in Dachgesetz geregelt

Telekommunikation, Informationstechnik und Finanzdienstleistungen unterfallen dabei eigenen Vorsorge- und Resilienz-Sonderregeln, weitgehend außerhalb des Kritis-Dachgesetzes. Allerdings hängen auch diese Branchen regelmäßig von Dienstleistungen anderer ab – ohne Wasserversorgung funktionieren Gas- und Kohlekraftwerke und Rechenzentren nicht.

In der Kabinettsfassung nicht mehr enthalten sind nach über einem Jahr Beratung spezifische Regelungen zu kritischen Komponenten bei kritischen Anlagen, wie sie in der NIS2-Gesetzgebung enthalten sind. Überwachungskamerainstallationen oder Drohnen müssen also nicht von vertrauenswürdigen Herstellern stammen. "Das ist natürlich nicht unbedenklich", sagte Faeser am Mittwochmittag auf Frage von heise online. Sie hoffe aber, dass mit dem NIS2-Gesetz und anderen Instrumenten hier entgegengewirkt werden könne.

Ebenfalls unter das Gesetz fallen sollen fast alle Bundesministerien – nur Auswärtiges Amt und Verteidigungsministerium sollen eigene, ähnliche Regeln für sich erarbeiten. Nicht im Gesetz enthalten sind jedoch Teile der Bundesverwaltung und alles, wofür Länder und Kommunen per Grundgesetz zuständig sind. Neben Kultur, Forschung, Katastrophenschutz, Polizei, Justizvollzug und Medien also etwa auch Kindergärten und Schulen. Wie sich in der Corona-Pandemie gezeigt hatte, ist deren Verfügbarkeit oft entscheidend für die Arbeitsfähigkeit. Die Länder sollen für ihre Zuständigkeiten nun eigene Gesetze erlassen.

Verbände wollen Zuständigkeitswirrwarr verhindern

Unbedingt vermieden werden müssten nun Kompetenzüberschneidungen der Aufsichtsbehörden, fordert Klaus Landefeld vom Verband der Internetwirtschaft Eco: "Es muss unbedingt und glasklar definiert werden, wo die Zuständigkeiten des BBK, des BSI und der Bundesnetzagentur liegen sollen." Er begrüßt ausdrücklich, dass bereits existierende Standards der Branche auch für das Kritis-Dachgesetz genutzt werden können. Auch Bitkom-Präsident Ralf Wintergerst fordert einheitliche Meldewege und zudem, dass "alle Einrichtungen der Bundesverwaltung als kritische Infrastruktur gelten."

Über das Kritis-DG beugt sich nun der Bundestag, der derzeit auch das Cybersicherheitsschwestergesetz zur NIS2-Richtlinie berät -- und vom Innenministerium mehrfach mehr Tempo beim Kritis-DG gefordert hatte.

(dmk)