KRITIS-Dachgesetz bringt neue Pflichten, Maßnahmen und Folgen

Auf KRITIS-Betreiber kommen mit dem Dachgesetz neue Verpflichtungen zu, beispielsweise die einheitliche Registrierung bei einer zentralen Stelle. Gemeinsam verantwortlich sollen dafür gemäß einem aktuellen Gesetzesentwurf das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und das Bundesamt für Sicherheit in der Informationstechnik sein. 

KRITIS-Dachgesetz bringt neue Pflichten, Maßnahmen und Folgen  

KRITIS-Betreiber sehen sich beim Dachgesetz vor diversen Herausforderungen. Bußgelder drohen, doch deren Höhe ist noch völlig unklar. 

Strom- und Wasserversorgung, Krankenhäuser, Banken und Zahlungsverkehr sowie der öffentliche Nahverkehr oder die Müllentsorgung gehören alle zur kritischen Infrastruktur (KRITIS). Hier drohen neben Cyber-Angriffen verschiedene andere Gefahren wie Naturkatastrophen, Sabotage oder Brandausbrüche. Die Widerstandsfähigkeit in diesem Sektor will die Bundesregierung durch ein Dachgesetz stärken, das zugleich unterschiedliche Regeln verschiedener Branchen und Bundesländer vereinheitlichen soll. Das soll mit zusätzlichen Maßnahmen erreicht beziehungsweise flankiert werden. Dabei arbeitet das verantwortliche Bundesinnenministerium (BMI) mit Schwellenwerten und setzt als Voraussetzung, dass Betreiber mindestens 500.000 Einwohner mit ihren Leistungen versorgen. 

Zunächst sichert sich das federführende BMI aber im Gesetz umfangreiche Verordnungsbefugnisse. Beispielsweise kann das BMI unter bestimmten Voraussetzungen Betreiber durch Ausnahmebescheide von bestimmten Verpflichtungen des KRITIS-Dachgesetzes befreien. 

Registrierung, Risikoanalyse und Bewertung 

Das Gesetz liegt bisher lediglich als Entwurf vor. Daraus ist aber bereits ersichtlich, dass auf Betreiber neue Verpflichtungen zukommen. Beispielsweise eine Registrierungspflicht bei einer neuen Registrierungsstelle, die gemeinsam von den zukünftig zuständigen Behörden, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unterhalten werden soll. 

Mit der Registrierung entstehen weitere Pflichten. So hat jeder Betreiber einer kritischen Anlage die Pflicht, eigene Risikoanalysen und Bewertungen durchzuführen. Dies erstmals neun Monate nach der Registrierung und dann periodisch alle vier Jahre. Doch dies soll nicht für alle KRITIS-Bereiche gelten, von der Verpflichtung sind etwa Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ oder „Informationstechnik und Telekommunikation“ ausgenommen. Beide sind allerdings auch bereits durch andere Gesetze reguliert. 

Der Gesetzesentwurf enthält noch viele Unschärfen. Betreiber kritischer Anlagen sind verpflichtet, „geeignete und verhältnismäßige technische, sicherheitsrelevante und organisatorische Maßnahmen zur Gewährleistung der erforderlichen Resilienz“ zu treffen. Diese Maßnahmen sollen dem Stand der Technik entsprechen. Genaueres wird also noch festzulegen sein. Kritische Vorfälle müssen an die zuständigen Behörden gemeldet werden. Dabei ist anzugeben, wie viele Menschen von der Störung betroffen sind, wie lange sie voraussichtlich dauern wird und welches geografische Gebiet sie umfasst. Ferner müssen Betreiber dem BBK zuständige Ansprechpartner benennen.  

Neue Sanktionen, neue Bußgelder 

Bei Verstößen gegen die Auflagen kann das BBK Bußgelder gegen die Betreiber verhängen. Die Höhe der Bußgelder ist allerdings noch nicht festgelegt. Hier ist zunächst eine Abstimmung mit dem Bundesjustizministerium notwendig. Vor der Verhängung eines Bußgelds soll dem betroffenen Betreiber eine Frist eingeräumt werden, um die Verstöße zu beseitigen und den Pflichten nachzukommen. Die wesentlichen Pflichten des Gesetzes sollen zum 1. Januar 2026 in Kraft treten, die Bußgeldvorschrift erst ein Jahr später. 

Autor: Uwe Sievers