Das KRITIS-Dachgesetz kommt: Ein umfassender Überblick über den neuen Referentenentwurf

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 18.07.2023

Rechtsgebiete: Öffentliches RechtVerwaltungsrechtRechtspolitikWirtschaftsrechtComplianceIT-RechtIT-Sicherheitsrecht1|6510 Aufrufe

Prof. Dr. jur. Dennis-Kenji Kipker / Tilmann Dittrich, LL.M.

I. Die Hintergründe zum KRITIS-Dachgesetz

Dass die Bedrohungslage im KRITIS-Sektor noch nie so intensiv war wie jetzt, merkt man sehr schnell, denn im Recht der Kritischen Infrastrukturen geht es aktuell Schlag auf Schlag. Während im Mai 2023 ein (nicht abgestimmter) Referentenentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) zur nationalen Implementierung der europäischen NIS-2-RL bekannt wurde, der die Regulierung sog. „wesentlicher“ und „wichtiger“ Dienste aufgreift, wurde am 18. Juli 2023 ein ebenfalls noch nicht abgestimmter Referentenentwurf für das KRITIS-Dachgesetz publiziert (https://ag.kritis.info/wp-content/uploads/2023/07/230717_Referentenentwurf_KRITIS-DachG_vor_Ressortabstimmung.pdf). Das neue Dachgesetz wird spiegelbildlich zur NIS-2 die EU-Resilienz-Richtlinie (CER bzw. RCE) in nationales Recht umsetzen. Hierfür gilt eine EU-Umsetzungsfrist bis Oktober 2024.

Systematisch ist die Rolle der beiden neuen europäischen Resilienz-Rechtsakte zunächst klar abgrenzbar: Die NIS-2-RL adressiert die Netzwerk- und Informationssicherheit von Unternehmen und Einrichtungen, die für Gesellschaft und Wirtschaft bedeutend sind. Als korrespondierendes Puzzlestück zum Digitalschutz wirkt die CER-Richtlinie, die die Resilienz der Einrichtungen vor allen nicht-cyberbezogenen Gefahren stärken soll. Teilweise wird in diesem Zusammenhang auch von „physischen Gefahren“ bzw. „hybrider Bedrohungslage“ gesprochen. Als „Resilienz“ bezeichnet der Entwurf in § 2 Nr. 6 KRITIS-DachG die Fähigkeit des Betreibers einer kritischen Anlage, einen Vorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Vorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen. Beachtenswert ist für den Entwurf des KRITIS-DachG, dass es offensichtlich nicht, wie ursprünglich durch das BMI verlautbart, in der Form eines Artikelgesetzes daherkommt, das u.a. das Gesetz über die Errichtung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBKG) anpasst, sondern als eigenständige gesetzliche Grundlage publiziert wurde. Genau dies würde sich aber entsprechend der parallelen Cybersecurity-Regulierung im Bereich der wesentlichen und wichtigen Dienste anbieten. Auffällig ist außerdem die Kürze des Entwurfs mit gegenwärtig nur 20 Paragraphen – kein Vergleich zur hochkomplexen und verschachtelten Cybersecurity-Regelungssystematik.

II. Adressierte Einrichtungskategorien

Einer der interessanten und lange erwarteten Kernpunkte des KRITIS-DachG war neben der Art der umzusetzenden Resilienzmaßnahmen die Frage nach deren Anwendungsbereich. Dabei nimmt der Entwurf in Anlehnung an die Neustrukturierung der Adressaten durch das NIS2UmsuCG Kritische Infrastrukturen sowie kritische Anlagen in die Pflicht, bei letzteren auch solche von besonderer Bedeutung für Europa, § 7 KRITIS-DachG-RefE. Auffällig ist dies deshalb, weil der Begriff der „Kritischen Infrastruktur“ bzw. „KRITIS“ in erster Linie deutschen Ursprungs ist und keine direkte europäische Entsprechung findet, sondern aus der Nationalen Strategie zum Schutz Kritischer Infrastrukturen (sog. „KRITIS-Strategie“) aus Juni 2009 abgeleitet wird. Deutlich wird dabei: Die durch den Entwurf geregelten „kritischen Anlagen“ und deren Betreiber stellen nur einen qualifizierten Teilbereich der Kritischen Infrastrukturen dar. Damit geht der nationale Gesetzgeber – wie bereits mit NIS2UmsuCG bislang auch – über den europäischen Regelungskanon hinaus. Ob dies jedoch im Sinne einer gelungenen Systematik hilfreich ist, kann angezweifelt werden. Jedenfalls dürfte das deutsch-europäische „Begriffschaos“ um wesentliche Dienste, wichtige Dienste, besonders wichtige Dienste, kritische Anlagen, kritische Dienste, kritische Einrichtungen und Betreiber kritischer Anlagen nicht zu einem guten ontologischen Verständnis beitragen und wird im fortlaufenden Gesetzgebungsverfahren mit Sicherheit zu Kritik führen.

Kritische Infrastrukturen sind nach § 2 Nr. 2 KRITIS-DachG-RefE Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der wirtschaftlichen Tätigkeit, der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Für die wichtigen Einrichtungen (zu differenzieren ist nach deutscher abweichend von europäischer Definition zwischen wichtigen und besonders wichtigen Einrichtungen) wiederum sind § 2 Nr. 11, Nr. 12 KRITIS-DachG-RefE einschlägig. Erfasst sind vor allem Großunternehmen und mittlere Unternehmen aus den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten sowie Weltraum.

Ebenfalls besonders wichtige Einrichtung sind die Betreiber einer kritischen Anlage. Dabei handelt es sich nach § 2 Nr. 3 KRITIS-DachG-RefE um eine Anlage, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens hat, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für wirtschaftliche Tätigkeiten, die öffentliche Sicherheit oder Ordnung eintreten würden. Bedauerlicherweise tut man sich hier mit einer genauen Abgrenzung zur Kritischen Infrastruktur schwer – vermutlich aber auch deshalb, weil man es (zumindest zum gegenwärtigen Zeitpunkt) nicht besser zu definieren weiß. Hier sollte definitiv noch nachgebessert werden – der Verfasser Kipker hat dies auch bereits vor Entstehen dieser ersten Entwurfsfassung gegenüber dem BMI angemerkt. Eine Konkretisierung der kritischen Anlagen sieht § 4 KRITIS-DachG-RefE vor. Welche Einrichtung sodann konkret hierunter fällt, bestimmt sich laut RefE nach einer zukünftig zu erlassenden Rechtsverordnung (§ 15 KRITIS-DachG-RefE). Hier werden die Parallelen zum bestehenden KRITIS-Cyberschutz nochmals deutlich.

III. (Neuer) Pflichtenkanon für betroffene Einrichtungen

Schon geraume Zeit wurde darüber sinniert, wie man denn nun den analogen KRITIS-Schutz praktikabel umsetzen könnte, beispielsweise bei schwer zu überwachenden Großinfrastrukturen wie Bahnanlagen, Stromtrassen oder Pipelines. Umso gespannter durfte man im Hinblick auf dieses Problem auch auf den ersten Entwurf des KRITIS-DachG sein. Das BMI aber hat den Streit um die richtige Maßnahme diplomatisch gelöst – soll heißen: sich an Bewährtem aus dem ersten IT-SiG orientiert. Kern des neuen KRITIS-Pflichtenkanons ist somit zumindest zurzeit nur die Pflicht zur Etablierung von „Resilienzmaßnahmen“ nach § 11 KRITIS-DachG-RefE sein. Danach sind die Betreiber kritischer Anlagen verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen. Solche Maßnahmen sind nach § 11 Abs. 2 KRITIS-DachG-RefE verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer Beeinträchtigung der kritischen Dienstleistung zu den Folgen ihres Ausfalls oder ihrer Beeinträchtigung angemessen erscheint. Ein allererstes Beispiel-Repertoire an solchen Maßnahmen liefert der Referentenentwurf in Anhang 1. Hier findet sich nichts Überraschendes – und auch erst recht keine Umsetzungshilfe. Formuliert werden ganz allgemein beispielsweise nur Objektschutz, Zugangskontrollen, Lieferketten, Zugangsberechtigungen, Übungen etc. Dies mag kritisiert werden – aber auch hier stellt sich, vielleicht sogar noch drängender als im IT-Sicherheitsrecht aufgrund der Vielgestaltigkeit der Sachverhalte, die Frage, wie der Gesetzestext Maßnahmen konkret definieren soll. Interessant jedenfalls ist, dass auch im KRITIS-DachG auf die aus der Cybersecurity bekannte Sollformel rekurriert wird, wonach Maßnahmen nach „Stand der Technik“ umzusetzen sind. Das ist einerseits wenig kreativ, zeigt andererseits aber auch sehr deutlich, dass die analoge KRITIS-Regulierung definitiv Neuland für das BMI ist.

Zur Einrichtung der gesetzlichen Resilienzmaßnahmen helfen den Betreibern zum einen die Ergebnisse der staatlichen Risikoanalyse und -bewertung (§ 9 KRITIS-DachG-RefE), zum anderen die der eigenen Risikoanalyse und -bewertung nach § 10 KRITIS-DachG-RefE. Diese eigenen Risikoanalysen sind erstmals neun Monate nach der Registrierung als kritische Anlage (§ 8 KRITIS-DachG-Ref) erforderlich und danach im 4-Jahres-Rhythmus zu wiederholen.

Die physischen Schutzmaßnahmen zielen nach § 11 Abs. 3 KRITIS-DachG-RefE im Ergebnis darauf ab,

das Auftreten von Vorfällen zu verhindern,
einen angemessenen physischen Schutz der Räumlichkeiten der kritischen Anlagen zu gewährleisten,
auf Vorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen,
nach Vorfällen die Wiederherstellung zu gewährleisten,
ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten, einschließlich des Personals externer Dienstleister und
das entsprechende Personal für die unter den Nummern 1 bis 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen zu sensibilisieren.

Außerdem müssen die Betreiber kritischer Anlagen einen Resilienzplan (§ 11 Abs. 6 KRITIS-DachG-RefE) erstellen, der gegenüber dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das die national zuständige Behörde für die Resilienz kritischer Anlagen (§ 3 KRITIS-DachG-RefE) wird, im Zwei-Jahres-Rhythmus vorgelegt werden muss. Ebenfalls bestehen zweijährliche Nachweispflichten nach § 11 Abs. 8 KRITIS-DachG-RefE über die Erfüllung der Anforderungen zu den Resilienzmaßnahmen nach § 11 Abs. 1 KRITIS-DachG-RefE, wie bereits aus dem BSIG bekannt. Dies gilt auch für die Möglichkeit nach § 11 Abs. 5 KRITIS-DachG-RefE für Betreiber kritischer Anlagen und ihre Branchenverbände, branchenspezifische Resilienzstandards zur Gewährleistung der Resilienzanforderungen vorzuschlagen, die vom BBK als geeignet festgestellt werden können. Diese Feststellung erfolgt u.a. im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Daran wird deutlich, dass digitaler und analoger KRITIS-Schutz in einigen Fällen nicht wirklich voneinander abgrenzbar sein dürften, wenn es z.B. um bauliche Maßnahmen in der physischen Infrastruktur geht.

Selbstverständlich darf auch eine Meldepflicht für Störungen nicht fehlen, geregelt in § 12 KRITIS-DachG-RefE. Danach sind alle Vorfälle, die die Erbringung kritischer Dienstleistungen (§ 2 Nr. 4 KRITIS-DachG-RefE) einer kritischen Anlage erheblich stören könnten, unverzüglich über die Kontaktstelle des Betreibers (§ 8 Abs. 3 KRITIS-DachG-RefE) an die vom BBK im Einvernehmen mit dem BSI eingerichtete gemeinsame Meldestelle zu übermitteln. Hieran wird die angestrebte und auch erstrebenswerte bessere Vernetzung von BBK und BSI deutlich. Auch im physischen KRITIS-Schutz ist der Faktor Zeit für den Erfolg von Abwehrmaßnahmen entscheidend. Deshalb muss bereits innerhalb der ersten 24 Stunden nach Kenntnisnahme des Vorfalls eine erste Meldung abgegeben werden, § 12 Abs. 3 KRITIS-DachG-RefE. Spätestens einen Monat danach wird ein ausführlicher Bericht fällig.

Für die Betreiber einer kritischen Anlage mit besonderer Bedeutung für Europa, die als kritische Anlage für oder in sechs oder mehr Mitgliedstaaten der EU die gleiche oder ähnliche Dienstleistungen erbringen sowie eine Meldung durch die Europäische Kommission über ihre besondere Bedeutung erhalten haben, besteht nach § 7 Abs. 2 KRITIS-DachG-RefE eine Mitteilungspflicht gegenüber dem BBK über die Dienstleistungen.

Die Pflichten nach §§ 6 bis 8 sowie §§ 10 bis 12 KRITIS-DachG-RefE treten zum 1.1.2026 in Kraft.

IV. Freiwillige Resilienz für „kleinere“ Kritische Infrastrukturen

Sicherlich kann das KRITIS-DachG keinen lückenlosen KRITIS-Schutz gewährleisten – jedenfalls aber ist durch den Gesetzgeber das Bemühen darum geschuldet, was auch anhand der nachfolgenden Regelung deutlich wird: § 6 Abs. 1 KRITIS-DachG-RefE stellt klar, dass die Resilienzmaßnahmen nach § 11 Abs. 1 S. 1, S. 3 KRITIS-DachG-RefE, soweit geeignet und verhältnismäßig, auch von Betreibern Kritischer Infrastrukturen in den nach § 4 KRITIS-DachG-RefE festgelegten Sektoren, die die Schwellenwerte der zu erlassenden Rechtsverordnung nicht erreichen, zur Steigerung ihrer Resilienz ergriffen werden können. Weiterhin bestimmt § 6 Abs. 2 KRITIS-DachG-RefE, dass die Betreiber Kritischer Infrastrukturen nach Abs. 1 die branchenspezifischen Resilienzstandards nach § 11 Abs. 5 KRITIS-DachG-RefE berücksichtigen können. Möglicherweise bietet sich für die Zukunft an, für diese „kleineren“ Kritischen Infrastrukturen durch gezielte Fördermaßnahmen Anreize zu schaffen, diese Vorgaben freiwillig umzusetzen, da es gerade kleinere Unternehmen finanziell schwerer haben, derart organisatorisch und personell aufwändige Unternehmensprozesse zu initiieren.

V. Bußgelder im KRITIS-DachG

Die CER-Richtlinie sieht vor, dass in den Mitgliedstaaten wirksame, verhältnismäßige und abschreckende Sanktionen umgesetzt werden – ein „klassischer“ europäischer Terminus. Diese Vorgabe versucht § 19 KRITIS-DachG-RefE über einen Katalog von Ordnungswidrigkeiten umzusetzen. Die Tatbestände betreffen die Registrierung, die Benennung einer Kontaktstelle, die Durchführung der Risikoanalysen und -bewertungen, die Vorlage von Resilienzplänen und anderen Nachweisen sowie eine mangelhafte Wahrnehmung von Mitwirkungspflichten gegenüber dem BBK. Die Höhe der Bußgelder ist im bisherigen Entwurf noch offen. Es bleibt abzuwarten, ob sie sich an den erheblichen zahlenmäßigen Werten des NIS2UmsuCG sowie den dort vorgesehenen Konzernregelungen orientiert. Außerdem ist nach § 19 Abs. 4 KRITIS-DachG-RefE für die Bußgeldvorschriften das Verhältnismäßigkeitsprinzip zu wahren, weshalb vor Verhängung eines Bußgelds zunächst die Möglichkeit eingeräumt werden muss, per Aufforderung an den Betreiber der kritischen Anlage den festgestellten Mangel innerhalb einer Frist zu beheben. Die Bußgeldvorschrift tritt zum 1.1.2027 in Kraft.

VI. Fazit und Ausblick

Für geraume Zeit wurde der Entwurf des KRITIS-Dachgesetzes mit Spannung erwartet – nun ist er da. Gibt es Anlass zur Enttäuschung? Sicherlich ist der Gesetzentwurf für die Monate, die er im BMI gereift ist, handwerklich nicht besonders auffällig. Im Gegenteil: Eigentlich handelt es sich um ein IT-SiG, bereinigt aber eben um die IT-Sicherheit. Die dahinterstehenden politischen Prozesse sind komplex und mögen den ausgedehnten Zeitplan sicherlich rechtfertigen. Inhaltlich jedenfalls enthält der Entwurf keine großen Überraschungen, die Nüchternheit mag für den einen oder anderen sicherlich enttäuschend sein. Fakt ist aber ebenso, dass es auch hier wie schon für das IT-Sicherheitsrecht nicht möglich sein wird, abschließend Resilienzvorgaben qua Gesetz zu bestimmen. Der Verfasser Kipker hat dazu schon in den Jahren 2014/2015 mit KRITIS-Betreibern für den digitalen KRITIS-Schutz nach IT-SiG Debatten geführt. Best Practices werden sich, soweit nicht bereits vorhanden, an dieser Stelle erst noch etablieren müssen. Deshalb auch ist das KRITIS-Dachgesetz für die Bundesregierung Neuland.