Gesetzentwurf der Bundesregierung zum stärkeren Schutz kritischer Infrastrukturen

Anfang November dieses Jahres hat die Bundesregierung den Gesetzesentwurf zum KRITIS-Dachgesetz auf den Weg gebracht. Das Gesetz soll laut Pressemitteilung des Bundesinnenministeriums die wichtigsten Sektoren definieren und Schutzstandards, Risikoanalysen und Störungsmonitoring regeln.

KRITIS-Dachgesetz
Stromerzeuger gehören in jedem Fall zur kritischen Infrastruktur, da von ihnen zahlreiche weitere Sektoren abhängig sind. Foto: AdobeStock/Mny-Jhee

Mit dem KRITIS-Dachgesetz soll erstmals auch der physische Schutz kritischer Infrastrukturen bundeseinheitlich und sektorenübergreifend geregelt werden. Bislang lag eine solche Bundesregelung nur für die IT-Sicherheit kritischer Infrastrukturen vor. Damit setzt die Bunderegierung die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen um. Die Festlegung europaweiter, einheitlicher Mindeststandards für den Schutz kritischer Infrastrukturen und verstärkte, grenzüberschreitende Kooperationen sollen die Versorgungssicherheit in Europa stärken.

Für Betreiber kritischer Infrastruktur gilt All-Gefahren-Ansatz

In dem Gesetzentwurf werden die Infrastruktur-Einrichtungen festgelegt, die für die sichere Versorgung der Bevölkerung und Aufrechterhaltung der Wirtschaft unentbehrlich sind. Für die Betreiber dieser Einrichtungen legt das Gesetz Mindestanforderungen fest. Dabei gilt der sogenannte All-Gefahren-Ansatz, bei dem jedes denkbare Risiko berücksichtigt werden muss – von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Für solche Vorfälle besteht künftig eine Meldepflicht.

In dem KRITIS-Dachgesetz werden einheitliche Regeln in den folgenden elf Sektoren festgelegt:

  • Energie,
  • Transport und Verkehr,
  • Finanzwesen,
  • Gesundheitswesen,
  • Wasser,
  • Ernährung,
  • Informationstechnik und Telekommunikation,
  • Weltraum,
  • Siedlungsabfallentsorgung,
  • Öffentliche Verwaltung und
  • Leistungen der Sozialversicherung.

Die in Deutschland unter das Gesetz fallenden Anlagen werden nach quantitativen und qualitativen Kriterien bemessen. Demnach muss eine Einrichtung für die Gesamtversorgung in Deutschland essentiell sein und mehr als 500.000 Personen versorgen. Ein weiteres Kriterium ist das Ausmaß der wechselseitigen Abhängigkeiten der kritischen Infrastrukturen untereinander: So hängen vom Energiesektor zahlreiche weitere Sektoren ab. Gleiches gilt für Wasser und Transportwege, die für die jeweils anderen Sektoren unverzichtbar sind.

KRITIS-Dachgesetz sieht regelmäßige Überprüfungen vor

Hinzu kommt der präventive Charakter des KRITIS-Dachgesetzes: So gab es bisher keine für alle Betreiber gleichermaßen geltende Verpflichtung, die Risiken für ihre Anlagen regelmäßig zu überprüfen und umfassende Maßnahmen zu treffen, um deren Funktionsfähigkeit zu sichern. Das KRITIS-Dachgesetz soll Betreiber dazu verpflichten, Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherstellen zu können.


Wir machen Deutschland widerstandsfähiger und krisenfester. Denn wir müssen uns gegen Krisen- und Katastrophenfälle viel stärker wappnen als in der Vergangenheit.“

Bundesinnenministerin Nancy Faeser
zum KRITIS-Dachgesetz-Entwurf der Bundesregierung


Hierfür sind von den Betreibern künftig Resilienzpläne mit passgenauen Maßnahmen für den Ernstfall zu erstellen. Dabei kann es sich um die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung handeln. Eine Grundlage hierfür bilden Risikoanalysen und Risikobewertungen, die von den zuständigen staatlichen Stellen erarbeitet und den Betreibern zur Verfügung gestellt werden. 

Die unter das KRITIS-Dachgesetzes fallenden Einrichtungen werden vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registriert. Die Zuständigkeiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die IT-Sicherheit kritischer Infrastrukturen bleiben bestehen. Vorfälle werden dem BKK und BSI von den Betreibern kritischer Infrastrukturen über ein Onlineportal gemeldet. Die Erkenntnisse daraus sollen dabei helfen, die Widerstandskraft kritischer Anlagen weiter zu erhöhen. Die sektorspezifischen, anderen Aufsichtsbehörden des Bundes oder der Länder können die Erfüllung der gesetzlichen Vorgaben kontrollieren und, falls nötig, nachschärfen lassen.

Welche Rolle spielt das KRITIS-Dachgesetz für Kommunen?

Inwieweit das KRITIS-Dachgesetz Kommunen und ihre kommunalen Eigenbetriebe betreffen wird, scheint noch nicht ganz klar, da diese in den Entwürfen praktisch nicht vorkommen. Nach Angaben von OpenKRITIS.de können kommunale Eigenbetriebe unter das Gesetz fallen, sofern sie die entsprechenden Kriterien erfüllen. Betreffen kann dies in den Sektoren:

  • Energie: Kommunale Stadtwerke, Heizkraftwerke
  • Gesundheit: Kommunale Krankenhäuser und Gruppen
  • Entsorgung: Kommunale Entsorger
  • Wasser: Kommunale Wasser- und Abwasserwerke
  • IT: Kommunale IT-Dienstleister und Rechenzentren

Der Regierungsentwurf sowie der Referentenentwurf und diverse Stellungnahmen zum KRITIS-Dachgesetz gibt es auf der Homeage des Bundesinnenministeriums zum Download.

red.

Mehr zum Thema

IT-Sicherheit in Kommunen

IT-Sicherheit in Kommunen durch Erkennung akuter Cyberangriffe verbessern

Wie stellt man sich gegen Cyberangriffe auf und wie kann die IT-Sicherheit in Kommunen verbessert werden? IT-Experte Tim Berghoff plädiert …
Kritischer Infrastrukturen

Kriterien und Regeln für ein robustes System Kritischer Infrastrukturen

Krieg in Europa, Cyberattacken, Sabotage: Was heißt das für die Sektoren Kritischer Infrastrukturen – für Verantwortliche in den Kommunen? Antworten …

Kritische Infrastruktur: Datenspeicherung in der Cloud oder vor Ort?

Das Mittel- und Niederspannungsnetz gehört zu den kritischen Infrastrukturen – kommunale Stromnetzbetreiber tragen daher eine besondere Verantwortung. Philipp Huppertz erläutert, …