Der neueste Referentenentwurf für ein KRITIS-Dachgesetz ist da: Das BMI legt zum Jahresende nochmals ordentlich vor!

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 25.12.2023

Prof. Dr. Dennis-Kenji Kipker

Es tut sich was in Sachen KRITIS-Dachgesetz: Kurz vor dem Jahresende 2023 hat das Bundesministerium des Innern und für Heimat (BMI) einen neuen Referentenentwurf für ein Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 (CER-Richtlinie) und zur Stärkung der Resilienz von Betreibern kritischer Anlagen veröffentlicht. Das KRITIS-Dachgesetz, dessen Entstehung parallel zur Umsetzung der europäischen NIS-2-Richtlinie verläuft, hat den physischen bzw. „analogen“ Schutz kritischer Infrastrukturen zum Gegenstand. Zusammen mit dem nationalen NIS2UmsuCG soll in Zusammenschau mit der Umsetzung beider europäischen Richtlinien ein ganzheitlicher und hybrider Schutz von kritischen Anlagen sowie wesentlichen und wichtigen Einrichtungen erzielt werden. Nachdem zunächst ein erstes Eckpunktepapier zum Thema im November 2022 publiziert wurde (https://community.beck.de/2022/11/29/neues-bmi-eckpunktepapier-fuer-ein-kritis-dachgesetz-mehr-physischer-schutz-fuer-kritische-infrastrukturen) folgte am 18. Juli 2023 ein erster Referentenentwurf aus dem federführenden BMI (https://community.beck.de/2023/07/18/das-kritis-dachgesetz-kommt-ein-umfassender-ueberblick-ueber-den-neuen-referentenentwurf), der umfassend durch Wissenschaft, Verbände, Unternehmen und Zivilgesellschaft kommentiert und teils auch kritisiert wurde – das ist jedoch wenig überraschend für eine erste, noch nicht weitergehend abgestimmte Entwurfsfassung eines Gesetzes. Überdies fand im Sommer 2023 zusätzlich ein internes Beratungsgespräch zur Umsetzung der CER-Richtlinie in Deutschland im BMI statt, dem auch der Verfasser dieses Beitrages als Experte beiwohnte. Zahlreiche Aspekte kritischer Stellungnahmen aus den vergangenen Monaten sind in den nunmehr am 21.12.2023 neu vorgelegten Entwurf für ein KRITIS-Dachgesetz eingeflossen, das grundsätzlich zum 18.10.2024 in Kraft treten soll. Auch im Sinne der besseren Verständlichkeit und Nachvollziehbarkeit des laufenden Gesetzgebungsverfahrens hat das BMI nicht nur eine neue Fassung des KRITIS-Dachgesetzes veröffentlicht (https://intrapol.org/wp-content/uploads/2023/12/231221_Referentenentwurf_KRITIS-DachG.pdf), sondern ebenso eine Vergleichsversion zur Nachvollziehbarkeit der Änderungen im Volltext (https://intrapol.org/wp-content/uploads/2023/12/231221-Vergleichsversion-RefE-KRITIS-DachG.pdf) sowie ein tabellarisches Übersichtsdokument, das die wesentlichen Änderungen zum Referentenentwurf vom 17.07.2023 hervorhebt (https://intrapol.org/wp-content/uploads/2023/12/231221-Uebersicht-wesentliche-Aenderungen-RefE-KRITIS-DachG.pdf).

Schon bei einem ersten Blick auf die Entwurfsfassung aus Dezember 2023 wird deutlich: Die Änderungsvorschläge sind umfassend. Zwar wird nach wie vor der „All-Gefahrenansatz“ verfolgt, es werden jedoch Anpassungen in den Begriffsbestimmungen, den behördlichen Zuständigkeiten – insbesondere auch in der Abgrenzung von Bund- und Länderbefugnissen in der Gefahrenabwehr, im Anwendungsbereich, in den Anforderungen an die Bundesverwaltung, in den Schwellenwerten und von den Betreibern vorzusehenden Maßnahmen, in der Risikoanalyse, im Meldewesen und in den Nachweis- und Berichtspflichten, in den Bußgeldvorschriften sowie in der Abgrenzung zu weiteren und spezialgesetzlichen Rechtsakten vorgenommen. Deutlich wird vor allem im Verhältnis von Bund- und Länderkompetenzen, dass der Bund die Aufrechterhaltung der Versorgungssicherheit als bundesweite Aufgabe betrachtet – die abschließende Festlegung dieses Kompetenzgefüges dürfte vor allem im weiteren Gesetzgebungsverfahren interessant werden.

Insgesamt ist der Anwendungsbereich des KRITIS-DachG kleiner und die Regelungsintensität im Vergleich zum NIS2UmsuCG geringer. Deshalb auch enthält das KRITIS-DachG keine sektoralen oder branchenspezifischen Regelungen, sondern will lediglich abstrakt vorgeben, dass in sämtlichen KRITIS-Sektoren geeignete und verhältnismäßige Maßnahmen zum physischen Infrastrukturschutz von den Betreibern kritischer Anlagen zu treffen sind. Um dieses Ziel zu erreichen, wird im Rahmen eines Prozesses eine Vielzahl von zusammenwirkenden Maßnahmen und Anforderungen bestimmt:

  • nationale Risikobewertungen,
  • betreiberseitige Risikobewertungen,
  • Erstellung von Resilienzplänen durch die Betreiber,
  • Erarbeitung branchenspezifischer Schutzstandards durch die zuständigen Verbände sowie
  • Äquivalenzprüfungen durch die fachlich zuständigen Behörden.

Deutlich wird in der Zusammenschau somit, dass es nicht „den einen“ abschließenden Maßnahmenkatalog geben wird, um künftig die KRITIS-Anforderungen aus dem Dachgesetz zu erfüllen. Dass die wirtschaftlichen Erfüllungsaufwände zur Umsetzung des Dachgesetzes erheblich sein werden, zeichnet sich schon jetzt ab. Wirklich belastbare zahlenmäßige Aussagen wird man aber erst dann machen können, wenn Anwendungsbereich und sektorspezifische Mindestanforderungen abschließend bestimmt wurden. Doch nicht nur der Wirtschaft entstehen Mehraufwände, ebenso bahnt sich das KRITIS-DachG als Kostenpunkt für die Verwaltung mit einem jährlichen Erfüllungsaufwand in Höhe von 6,4 Millionen Euro gesamtheitlich an, wovon in etwa 4,3 Millionen Euro auf den Bund und 2,1 Millionen Euro auf die Länder entfallen.

Politisch und strategisch wird das KRITIS-DachG in eine „Nationale KRITIS-Resilienzstrategie“ eingebunden werden, die bis zum 17.01.2026 verabschiedet werden soll und die derzeit noch gültige nationale KRITIS-Strategie des Bundes aus Juni 2009 ablöst – ein im Angesicht der elementar geänderten Bedrohungslage dringend notwendiger Schritt.

Die zentralen Betreiberpflichten zu Risikoanalysen und Risikobewertungen, Resilienzmaßnahmen, Nachweispflichten und für das Meldewesen treten am 17.07.2026 in Kraft.

Wo stehen wir aktuell und wie geht es weiter?

Es hat sich tatsächlich viel getan seit dem ersten Entwurf für ein KRITIS-DachG aus dem Sommer vergangenen Jahres – und im Ergebnis kann man feststellen: Der aktuelle Entwurf von Ende Dezember 2023 hat nicht nur viel von der initialen Kritik aufgegriffen, sondern auch mit der ursprünglichen verworrenen Systematik gründlich aufgeräumt. Herausgekommen ist ein KRITIS-DachG, das sich systematisch weitestgehend sauber und deutlich klarer, verständlicher und damit rechtssicherer präsentiert als seine erste Entwurfsfassung. Und das ist auch ganz im Sinne der Sache, denn die betroffenen Betreiber von kritischen Anlagen benötigen deutliche rechtliche Compliance-Vorgaben, um zu einer möglichst schnellen, effektiven, effizienten und widerspruchsfreien Umsetzung zu gelangen. In diesem Sinne hat das BMI in den vergangenen Monaten eine lobenswerte Arbeit geleistet, sodass das KRITIS-DachG zurzeit auf einem guten Weg ist und nur zu hoffen bleibt, dass der aktuell vorliegende Referentenentwurf im Laufe des weiteren Gesetzgebungsverfahrens vor allem durch Partikularinteressen nicht wieder verwässert wird.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen