Der Entwurf des KRITIS-Dachgesetzes sorgt für Überraschungen. Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und Bundesamt für Sicherheit in der Informationstechnik sollen demnach zukünftig in gemeinsame Verantwortung treten.
KRITIS-Dachgesetz soll die Sicherheit verbessern – und sorgt für Überraschungen
Das als Entwurf vorliegende KRITIS-Dachgesetz soll einheitliche Regeln schaffen, doch es enthält noch viele Unklarheiten. Verbände befürchten Regulierungsauswüchse.
Schon im Koalitionsvertrag war eine Verbesserung des Schutzes kritischer Infrastruktur (KRITIS) vorgesehen, die durch ein eigenes Gesetz umgesetzt werden sollte. Mit diesem „Dachgesetz für kritische Infrastruktur“ ist geplant, erstmalig bundeseinheitliche und sektorübergreifende Vorgaben zu schaffen, um kritische Anlagen zu identifizieren und die physische Resilienz durch entsprechende Maßnahmen und Mindeststandards zu erhöhen. Dies wurde in der Cybersicherheitsagenda der Bundesregierung erneut aufgegriffen, mit dem Ziel, dies Vorhaben bis zum Sommer umzusetzen.
Die zuständige Bundesinnenministerin Nancy Faeser beschrieb das Vorhaben so: „Mit dem KRITIS-Dachgesetz wollen wir die zukünftige Stärkung der Resilienz der Kritischen Infrastrukturen erreichen“. Dabei geht es keineswegs nur um Cyber-Security. „Damit werden die Kritischen Infrastrukturen vor allen denkbaren Risiken, die durch die Natur oder den Menschen verursacht werden können, besser geschützt: sei es ein Unwetter, menschliches Versagen oder ein Sabotageakt“, erklärt Faeser dazu.
Ganz ohne Anlass geriet diese Thematik nicht auf die Agenda des Bundesinnenministeriums, handelt es sich doch auch um die Umsetzung der EU-Richtlinie über „Critical Entities Resilience“ (CER). Diese sieht vor, dass alle Mitgliedstaaten eine nationale Strategie zur Stärkung der Resilienz kritischer Infrastruktur entwickeln und für diese regelmäßig eine Risikobewertung durchführen.
Überraschende Verantwortungsteilung zwischen BBK und BSI
Bereits im Dezember wurde ein Eckpunkte-Papier zum Dachgesetz beschlossen. Doch zunächst mussten die Zuständigkeiten geklärt werden. Ein Gerangel zwischen Bund und Ländern sollte vermieden werden, den Bundesbehörden und Aufsichtsorganen klare Rollen und Verantwortlichkeiten zugewiesen werden. Für Überraschung sorgte, dass das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eine exponierte Stellung einnehmen soll. Insider bezweifeln, dass das Amt für diese Aufgabe gewappnet ist und über die dafür nötigen Mitarbeiter verfügt. Angeblich hat das BBK noch nicht mal einen Überblick, welche Betreiber überhaupt zur kritischen Infrastruktur zählen. Erstes Ziel im beschlossenen Eckpunkte-Papier ist somit auch: „Kritische Infrastrukturen werden klar identifiziert“. Ferner ist nach derzeitigem Stand eine Aufgabenteilung zwischen BSI und BBK geplant, wonach das BBK die Aufsicht über die physische Sicherheit und das BSI über die Cyber-Sicherheit der KRITIS-Betreiber erhalten soll.
Forderungen der Verbände
Ende Juli wurde ein entsprechender Gesetzentwurf veröffentlicht, der inzwischen in den Ministerien zur sogenannten Ressortabstimmung liegt. Verbände und KRITIS-Betreiber äußerten Unmut. Sie plädierten frühzeitig für eine Abwägung „zwischen Wirtschaftlichkeit und Risikoeintrittswahrscheinlichkeit“, was wohl übersetzt heißen dürfte: Es sollte möglichst nichts kosten. Dieser Wunsch dürfte jedoch kaum in Erfüllung gehen.
Der Verband kommunaler Unternehmen (VKU) etwa kritisiert die fehlende Priorisierung besonders relevanter Anlagen und begrüßt zugleich die Fokussierung auf den bisherigen KRITIS-Sektor. Ferner befürchtet er, dass es nicht gelingen könnte, die unterschiedlichen Regelungen in den Bundesländern und auf Bundesebene zu vereinheitlichen, sodass länderspezifische Anpassungen bestehen bleiben.
Auch der Verband der Internetwirtschaft, eco, übt Kritik und auch er befürchtet Doppelregulierung und Rechtsunsicherheiten. Vorstandsmitglied Klaus Landefeld dazu in einer Pressemitteilung: „Für die Internetwirtschaft stiften die Vorgaben, die mit dem KRITIS-DachG gemacht werden, eher Verwirrung als Nutzen“. Viele Punkte sind also noch unklar, der Zeitplan der Bundesregierung sieht die Verabschiedung des Gesetzes aber noch in diesem Jahr vor.
Autor: Uwe Sievers