Neues BMI-Eckpunktepapier für ein KRITIS-Dachgesetz: mehr physischer Schutz für Kritische Infrastrukturen

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 29.11.2022

Von Tilmann Dittrich, LL.M. und Prof. Dr. Dennis-Kenji Kipker

  1. Einführung

Kritische Infrastrukturen werden aktuell vor eine Zerreißprobe gestellt, denn die Gefahren sind vielfältig. Neben den viel beachteten Cybergefahren wurde dies zuletzt u.a. durch Sabotageakte bei der Energieversorgung (Nordstream-Pipelines) sowie dem Angriff auf das Bahnnetz in Deutschland im Oktober 2022 mehr als deutlich. Im Zuge der hybriden Bedrohungslage müssen Einrichtungen auch universell geschützt sein. Dies hat auch die Europäische Union erkannt und im Rahmen der EU-Cybersicherheitsstrategie sowohl eine Überarbeitung der bisherigen NIS-RL aus 2016 als auch eine neue europäische Resilienz-Richtlinie (CER) auf den Weg gebracht, die mit der neuen NIS-2-RL Synergien bilden und die Mitgliedstaaten sowie die Unternehmen zu einer umfassenden Resilienz gegenüber cyber- und nicht-cyberbezogenen Gefahren führen soll (Kipker/Birreck/Niewöhner/Schnorr, MMR 2021, 214; Dittrich/Dochow/Ippach, GesR 2021, 613). Beide Richtlinien wurden mittlerweile durch das EU-Parlament beschlossen.

Das Bundesministerium des Innern und für Heimat (BMI) hat diese Gefahrenlage sowie die europäischen Bestrebungen zum Anlass genommen, national gesetzgeberisch tätig zu werden. Mit einem neuen KRITIS-Dachgesetz will man die Resilienz der kritischen Einrichtungen stärken und die Resilienz-Richtlinie umsetzen, wofür die EU einen Zeitraum von bis zu 18 Monaten nach Inkrafttreten des Rechtsaktes vorsieht. Seit Ende November 2022 liegt für das Kritis-Dachgesetz ein Eckpunkte-Papier vor, das dessen Vorgaben vorab inhaltlich konkretisiert (abrufbar unter: https://intrapol.org/wp-content/uploads/2022/11/Eckpunkte-fuer-ein-KRITI...).

  1. Europäisch bemessener Anwendungsbereich

Das Kritis-Dachgesetz soll zunächst die Bestimmung Kritischer Infrastrukturen, die bereits durch BSI-KritisV und BSIG für Gefahren aus dem Cyberraum vorgenommen wurde, durch eine systematische und umfassende Identifizierung aller besonders schützenswerten Kritischen Infrastrukturen ergänzen. Diesem Ziel soll die Festlegung von Definitionen, Sektoren, kritischen Dienstleistungen und Schwellenwerten dienen. Die Resilienz-Richtlinie sieht mindestens elf Sektoren als kritisch an: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, öffentliche Verwaltung, Weltraum, Produktion, Verarbeitung und Vertrieb von Lebensmitteln. Dabei wird in Zukunft ein Gleichlauf mit den Kritischen Infrastrukturen entsprechend der NIS-2-RL bestehen.

  1. Staatliche Risikobewertung

Die Gefährdungslage für kritische Dienstleistungen unterliegt regelmäßigen Veränderungen. Dies wird unter Berücksichtigung der sich verändernden weltpolitischen Lage in den vergangenen Jahren besonders deutlich. Das Kritis-Dachgesetz soll nunmehr dafür sorgen, dass die Gefährdungslage und die mit ihr einhergehenden Risiken einer regelmäßigen staatlichen Bewertung unterzogen werden, um Unternehmen und öffentlichen Einrichtungen zu ermöglichen, angemessene Schutzmaßnahmen zu treffen. Mit einem „All-Gefahren-Ansatz“ soll diese Risikobewertung alle relevanten natürlichen und vom Menschen verursachten sowie sektorenübergreifenden und grenzüberschreitenden Risiken in einem dynamischen Lernprozess mindestens alle vier Jahre ermitteln.

  1. Verbindliche Erhöhung des Schutzniveaus

Das Kritis-Dachgesetz soll zukünftig bei den vom Anwendungsbereich erfassten Unternehmen und Einrichtungen zu einer verbindlichen Erhöhung des Schutzniveaus durch Mindestvorgaben im Bereich der physischen Sicherheit beitragen. Die Pflichten werden die Vorgaben aus dem Bereich der Cybersicherheit (BSIG und Spezialgesetze) spiegelbildlich ergänzen. Als Kernaufgabe soll ein betriebliches Risiko- und Krisenmanagement eingerichtet werden. Umfasst von den Management-Prozessen sind die Durchführung von Risikoanalysen und -bewertungen, die Erstellung von Resilienzplänen sowie die Umsetzung geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen sowie Sicherheitsmaßnahmen. Das Eckpunktepapier nennt diesbezüglich beispielhaft die Errichtung von Zäunen und Sperren, den Einsatz von Detektionsgeräten, Zugangskontrollen, Sicherheitsüberprüfungen, aber auch das Vorhalten von Redundanzen und die Diversifizierung von Lieferketten.

  1. Meldesystem und zentrales Störungs-Monitoring

Wie schon das BSIG soll auch das Kritis-Dachgesetz ein Meldesystem erhalten. Mit einem zentralen Störungs-Monitoring soll so ein Überblick über mögliche Schwachstellen beim physischen Schutz Kritischer Infrastrukturen ermöglicht werden. Die Meldung von Sicherheitsvorfällen kann zur Warnung anderer Kritischer Infrastrukturen genutzt werden. Entsprechend den Meldepflichten von DS-GVO und BSIG soll zeitnah eine erste Meldung abgegeben werden, damit die zuständige Behörde Art und mutmaßliche Ursache sowie mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln kann. Es ist davon auszugehen, dass diese Meldung dann ergänzt werden muss, wenn ein vollständiger Überblick über den Sicherheitsvorfall bei der meldepflichtigen Einrichtung vorhanden ist. Anhand der gemeldeten Sicherheitsvorfälle soll durch die zuständige Behörde zweijährlich ein Bericht erstellt werden, der auch an die Europäische Kommission zu übermitteln sein wird.

  1. Schaffung eines institutionellen Rahmens mit dem BBK als Zentralbehörde

Das Eckpunktepapier sieht vor, dass das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zur übergreifenden zuständigen Behörde für den physischen Schutz Kritischer Infrastrukturen werden soll, da es hierfür bereits über umfangreiche methodische und sektorübergreifende Expertise verfügt. Dem BBK sollen die zuständigen Ansprechpartner in den Einrichtungen (vergleichbar mit der Benennung von Kontaktstellen nach dem BSIG) sowie die Sicherheitsvorfälle gemeldet werden. Das BBK wird überdies, ggf. gemeinsam mit anderen fachlichen Aufsichtsbehörden, die Einhaltung der nach dem KRITIS-Dachgesetz vorgesehenen Mindestvorgaben für Resilienzmaßnahmen beaufsichtigen und durchsetzen. Hinsichtlich der Durchsetzung muss bereits jetzt eindringlich auf die durch die EU-Resilienz-Richtlinie vorgesehenen Sanktionen hingewiesen werden, die – wie aus DS-GVO und NIS-RL bekannt, dort allerdings als nicht ausreichend angewandt von der EU-Kommission kritisiert (Dittrich, MMR 2022, 267) – wirksam, verhältnismäßig und abschreckend sein sollen. Das BBK soll mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eng zusammenarbeiten, um Kohärenz beim Cyberschutz und beim physischen Schutz von Kritischen Infrastrukturen zu erzielen. Das Bundesministerium des Innern und für Heimat (BMI) wird zukünftig im Anwendungsbereich des Kritis-Dachgesetzes seine Koordinierungsrolle in Deutschland und im europäischen System verstärken und als Verbindungsstelle zu anderen Mitgliedstaaten, Drittstaaten und der Europäischen Kommission fungieren.

  1. Fazit

Sowohl der EU als auch dem BMI ist in ihrer aktuellen Einschätzung zuzustimmen, dass der bisherige Schutz von Kritischen Infrastrukturen, insbesondere vor physischen Gefahren in Zeiten von Klimakatastrophen, Lieferengpässen und Sabotageakten, ungenügend ist. Die EU-Resilienz-Richtlinie sowie die Schaffung eines nationalen KRITIS-Dachgesetzes sind daher grundsätzlich zu begrüßen. Der weitere Gesetzgebungsprozess muss nun aufmerksam durch Behörden, Wissenschaft, Verbände/Organisationen und Unternehmen begleitet werden, um die bereits vorhandene umfassende Expertise hierzulande im Bereich der Krisenvorsorge in das Gesetz einfließen zu lassen. Allerdings muss auch angemahnt werden, dass allein die Verabschiedung eines Gesetzes noch keine Krisenresilienz bewirkt, denn die Regelungen müssen nicht nur in ausreichendem Maße angewandt und durchgesetzt werden, sondern auch praktikabel sein. Eine zurückhaltende Durchsetzung der Vorschriften einschließlich der Sanktionen, wie in der Vergangenheit beim BSIG vermutet und von der Europäischen Kommission angemahnt, hilft den Unternehmen und anderen Einrichtungen nicht nachhaltig, um der akuten Gefahrenlage Herr zu werden. Überdies muss auch für die physische Resilienz Kritischer Infrastrukturen wie schon für die Cyberresilienz gelten, dass es keine hundertprozentige Sicherheit vor erfolgreichen Angriffen und damit verbundenen Ausfällen gibt. Hier muss das neue KRITIS-Dachgesetz in seinem sicherlich kontrovers zu diskutierenden ersten Entwurf noch zeigen, wie es über unterschiedlichste Infrastrukturbereiche hinweg tatsächlich nachhaltig und nachweisbar durch effektive und effiziente Methoden ein höheres Maß an Versorgungssicherheit für die Bevölkerung gewährleisten will.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen