"Mit unserem Gesetz zum Schutz kritischer Infrastrukturen machen wir Deutschland krisenfester!"

Typ: Meldung , Schwerpunktthema: Bevölkerungsschutz , Datum: 06.11.2024

Kabinett beschließt Entwurf zum KRITIS-Dachgesetz, das bundeseinheitliche Mindeststandards für den Schutz kritischer Infrastrukturen festlegt.

Am 6. November 2024 hat das Bundeskabinett den Entwurf zum KRITIS-Dachgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen) beschlossen und ins parlamentarische Verfahren eingebracht. Mit diesem vom Bundesinnenministerium vorgelegten Gesetzentwurf wird erstmals bundesweit festgelegt, welche Unternehmen und Einrichtungen Teil der kritischen Infrastruktur sind. Außerdem enthält es Mindeststandards für den physischen Schutz der kritischen Infrastrukturen, und zwar bundeseinheitlich und sektorübergreifend. Auch wird es eine Meldepflicht für Vorfälle geben. "Die russische Aggression in Europa, Sabotageakte und Terroranschläge bedrohen unsere Sicherheit. Durch den Klimawandel erleben wir immer häufiger Naturkatastrophen wie Starkregen und Überschwemmungen. Der Schutz kritischer Infrastrukturen von Krankenhäusern bis hin zur Lebensmittel-, Strom- und Wasserversorgung ist daher von größter Bedeutung“, betont Innenministerin Nancy Faeser.

aktuelles Zitat:

Bundesministerin Nancy Faeser
"Wir machen Deutschland widerstandsfähiger und krisenfester. Denn wir müssen uns gegen Krisen- und Katastrophenfälle viel stärker wappnen als in der Vergangenheit."

Bundesinnenministerin Nancy Faeser

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen

Umsetzungsstand

Erklärung der Darstellung "Umsetzungsstand"

Kritische Infrastrukturen besser schützen

Der Gesetzentwurf legt fest, welche Infrastruktur-Einrichtungen unentbehrlich dafür sind, die Versorgung der Bevölkerung zu sichern und die Wirtschaft aufrechtzuerhalten. Für die Betreiber dieser Einrichtungen legt das Gesetz Mindestanforderungen fest. Dabei gilt der All-Gefahren-Ansatz: Jedes denkbare Risiko muss berücksichtigt werden, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Für Vorfälle besteht künftig eine Meldepflicht.

Das KRITIS-Dachgesetz fasst erstmalig die Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum und Öffentliche Verwaltung zusammen und ergänzt die bestehenden Regelungen im Bereich der IT-Sicherheit kritischer Infrastrukturen.

Ausgangspunkt sind alle denkbaren Risiken, die durch die Natur oder den Menschen verursacht werden können, von Unwettern über menschliches Versagen bis hin zu einem Sabotageakt. "Mit unserem Gesetz legen wir erstmals fest, welche Infrastruktur-Einrichtungen unentbehrlich dafür sind, die Versorgung der Bevölkerung zu sichern und die Wirtschaft aufrechtzuerhalten", so Bundesinnenministerin Faeser. "Dabei haben wir auch wechselseitige Abhängigkeiten im Blick: Vom Energiesektor hängen auch alle anderen Sektoren ab. Genauso sind Wasser und Transportwege für die jeweils anderen Sektoren unverzichtbar."

Mindestanforderungen für den Schutz der Kritischen Infrastruktur

Das KRITIS-Dachgesetz definiert, welche Unternehmen und Einrichtungen mit Blick auf den physischen Schutz für die Gesamtwirtschaft verpflichtende Resilienzmaßnahmen ergreifen müssen. Zwei Kriterien müssen erfüllt sein: eine Einrichtung muss essenziell für die Gesamtversorgung in Deutschland sein und mehr als 500.000 Personen versorgen. Für die Betreiber werden Mindestanforderungen für den Schutz festgelegt. Das können zum Beispiel Notfallteams, Schulungen für Beschäftigte, ein stärkerer Objektschutz, Notfall-Kommunikationsmittel, eine Notstromversorgung und Maßnahmen zur Ausfallsicherheit sein. "Jedes denkbare Risiko muss berücksichtigt werden, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen", erläutert die Bundesinnenministerin. Und weiter: "Für Vorfälle besteht künftig eine Meldepflicht, damit schnell Klarheit über Schäden besteht und diese begrenzt werden können."

Fragen und Antworten zum KRITIS-Dachgesetz

Was sind kritische Infrastrukturen (KRITIS)?

Von der Strom- und Wasserversorgung über die Ernährung bis zum Zahlungsverkehr – kritische Infrastrukturen (KRITIS) sind für unser Gemeinwesen unverzichtbar. Jede und jeder Einzelne ist im Alltag auf sie angewiesen. Sie sichern die Handlungsfähigkeit staatlicher Institutionen und sind Voraussetzung für gesellschaftliches Zusammenleben und das Funktionieren unserer Wirtschaft. Ausfälle und Störungen der kritischen Infrastrukturen können zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit und Ordnung führen.

Wieso brauchen wir ein KRITIS-Dachgesetz?

Dass kritische Infrastrukturen besonders wichtig und auch verwundbar sind, haben uns insbesondere die Corona-Pandemie, Naturkatastrophen wie Hochwasser, der Krieg in der Ukraine oder auch Sabotageakte deutlich gezeigt. Bisher gibt es aber keine einheitlichen bundesrechtlichen Regelungen für den physischen Schutz kritischer Infrastrukturen. Entsprechende Vorschriften sind in den Sektoren und Branchen sehr heterogen: Sie reichen von unverbindlichen Leitlinien bis hin zu bundes- und landesgesetzlichen Spezialregelungen oder genau festgelegten DIN-Normen. Mit dem KRITIS-Dachgesetz wollen wir erstmals einen einheitlichen bundesrechtlichen Rahmen für den physischen Schutz der kritischen Infrastrukturen schaffen. Damit ergänzen wir die seit einigen Jahren bestehenden Regelungen des BSI-Gesetzes zur IT-Sicherheit von KRITIS um weitere zentrale Aspekte.

Was ist das Ziel des KRITIS-DachG?

Der Schutz unserer kritischen Infrastrukturen hat eine besondere Priorität. Vorfälle gefährden nicht nur die Versorgung der Bevölkerung, sie können außerdem einen hohen wirtschaftlichen Schaden verursachen. Allein durch Hochwasser und Überschwemmungen in Folge von Starkregen entstanden zum Beispiel an Gebäuden, Verkehr, Industrie, Gewerbe und Lieferketten seit dem Jahr 2000 Schäden in Höhe von mindestens 70 Milliarden Euro. Ziel des Gesetzes ist deshalb die Erhöhung der Widerstandsfähigkeit der für die Versorgungsicherheit der Bevölkerung essentiellen KRITIS, also die Aufrechterhaltung des Betriebs auch bei Vorfällen.

Durch Resilienzmaßnahmen sollen Vorfälle weitmöglich verhindert werden, auf diese besser reagiert, negative Auswirkungen wie Folgekosten begrenzt oder die zügige Wiederherstellung der kritischen Dienstleistung gewährleistet werden. Das KRITIS-Dachgesetz soll bestehende Regelungen nicht ersetzen, sondern durch staatliche und betreiberseitige Risikoanalysen Lücken und Schwachstellen aufzeigen. So können diese durch sektorübergreifende Mindestanforderungen sowie spezifische Regelungen geschlossen werden.

Wer ist für den Schutz von KRITIS verantwortlich?

Grundsätzlich gilt: Die Unternehmen sind in erster Linie selbst verantwortlich für ihren Schutz. Dennoch ist der Schutz der KRITIS eine gesamtstaatliche Aufgabe, bei der Bund, Länder und Kommunen entsprechend ihrer jeweiligen Zuständigkeiten eng auch mit den Betreibern zusammenarbeiten, um die Versorgungssicherheit unserer Gesellschaft mit lebenswichtigen Dienstleistungen sicherzustellen.

Was unternimmt der Staat zum Schutz von KRITIS?

Schon jetzt leistet der Staat vieles beim KRITIS-Schutz. Unsere Sicherheitsbehörden bewerten die Sicherheitslage fortlaufend, informieren und sensibilisieren Unternehmen regelmäßig und anlassbedingt. Und die Landespolizeien handeln im Rahmen der Gefahrenabwehr ebenfalls zum Schutz von KRITIS. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) unterstützt Staat und Betreiber beim Schutz kritischer Infrastrukturen durch Leitfäden und Empfehlungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist als Cybersicherheitsbehörde des Bundes zuständig für die Cybersicherheit von KRITIS-Anlagen nach BSI-Gesetz.

Die Unternehmen selbst tun ebenfalls bereits viel für den physischen Schutz ihrer Einrichtungen sowie um ihren Betrieb zu gewährleisten und investieren in Maßnahmen zum physischen Schutz ihrer Anlagen, etwa vor umweltbedingten Schäden oder gegen Sabotage. Mit dem KRITIS-Dachgesetz werden erstmalig die Verantwortlichkeiten und das Zusammenwirken der verschiedenen Akteure beim KRITIS-Schutz festgeschrieben.

Wer zählt alles zu den kritischen Infrastrukturen nach dem KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz identifiziert kritische Anlagen in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitssuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung. Außerdem werden Einrichtungen der Bundesverwaltung zu Maßnahmen verpflichtet. Welche Anlagen in den einzelnen Sektoren konkret in den Anwendungsbereich des KRITIS-Dachgesetzes fallen, orientiert sich an mehreren abstrakten Kriterien, wie die Anzahl der versorgten Personen, die Bedeutung der kritischen Dienstleistung für andere Dienstleistungen oder den Marktanteil. In einer noch zu erlassenden Rechtsverordnung werden für die verschiedenen Kategorien von Anlagen nachvollziehbare Schwellenwerte festgelegt, wie etwa die Zahl der Patienten in einem Krankenhaus pro Jahr oder die von einer Anlage produzierte Menge an Strom in einem Jahr. Eine derartige Methodik wird bereits zur Identifizierung von kritischen Infrastrukturen für die Zwecke der IT-Sicherheit nach dem BSI-Gesetz verwendet und hat sich bewährt.

Gegen welche Gefahren müssen sich KRITIS-Betreiber schützen?

Kritische Infrastrukturen können durch viele verschiedene Umstände gefährdet werden – vom menschlichen Versagen über klimabedingte Katastrophen bis hin zu hybriden Bedrohungen, Terrorismus oder Sabotage. Deshalb muss ein All-Gefahrenansatz zugrunde gelegt werden, der auf den Schutz vor Gefahren aller Art zielt. Der Brandanschlag auf die Energieinfrastruktur zur Versorgung des Tesla-Werks in Grünheide hatte zum Beispiel erhebliche Auswirkungen auf das dortige Logistikzentrum einer großen Supermarktkette, die 500 Märkte in der Region versorgt und über keine ausreichende Notstromversorgung verfügte. Solche Interdependenz verschiedener Sektoren zeigen, wie notwendig es ist, Risikoanalysen zu erstellen und darauf aufbauende Maßnahmen umzusetzen.

Welche Vorgaben macht das KRITIS-Dachgesetz den KRITIS-Betreibern? 

Derzeit gibt es keine für alle Betreiber gleichermaßen geltende Verpflichtung, die Risiken für ihre Anlagen regelmäßig zu überprüfen und umfassende Maßnahmen zu treffen, um deren Funktionsfähigkeit zu sichern. Das KRITIS-Dachgesetz formuliert daher erstmals sektorenübergreifende Ziele für die Betreiber. Dazu zählt, Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherzustellen. Ergebnis dieses Prozesses kann zum Beispiel ein erhöhtes Risiko für Hochwasserschäden sein. In der Folge müssten in der betreffenden Anlage etwa Klappschotten oder andere Dichtungen eingebaut werden, um solche Schäden zu vermeiden. Grundsätzlich müssen die Betreiber alle Risiken einbeziehen, die durch die Natur oder durch Menschen verursacht werden können („All-Gefahren-Ansatz“) beispielsweise Unwetter, menschliches Versagen, Sabotage oder Terrorismus.

Wie unterstützt der Staat die KRITIS beim besseren Schutz?

Um passgenaue Maßnahmen vornehmen zu können, unterstützten staatliche Risikobewertungen die KRITIS-Betreiber bei der Bewertung der jeweiligen Risiken für die jeweils eigenen kritischen Anlagen. Von den Betreibern werden verhältnismäßige Maßnahmen verlangt, also können sie eine Abwägung von Zweck und Mittel vornehmen unter Berücksichtigung auch wirtschaftlicher Aspekte. Von der Wirtschaft erarbeitete Branchenstandards sollen bei der Frage, welche mögliche Maßnahmen geeignet und verhältnismäßig sein können, Orientierung geben. Darüber hinaus müssen Betreiber erhebliche Vorfälle, also Ausfälle oder Beeinträchtigungen bei ihren kritischen Dienstleistungen, dem BBK melden.

Welche Maßnahmen müssen KRITIS-Betreiber zur Stärkung ihrer Funktionsfähigkeit konkret treffen?

Das KRITIS-Dachgesetz schreibt Betreibern kritischer Anlagen keine konkreten Regelungen vor. Es verpflichtet die Betreiber lediglich dazu, geeignete und verhältnismäßige Maßnahmen zu ergreifen.

Welche Maßnahmen das sind, kann sich von Sektor zu Sektor und von Unternehmen zu Unternehmen unterscheiden. In Hochwassergebieten sind andere Maßnahmen erforderlich als in anderen örtlichen Umgebungen; ein Krankenhaus muss anders geschützt werden als das Stromnetz.

Wieso müssen KRITIS-Betreiber Vorfälle dem BBK melden?

Bereits heute sind KRITIS-Betreiber verpflichtet, IT-Sicherheitsvorfälle dem BSI zu melden. In Zukunft werden sie Vorfälle – sei es IT-Sicherheitsvorfälle oder solche mit physischem Bezug – über ein gemeinsames Online-Portal des BBK und des BSI melden. Die Meldung von Vorfällen ermöglicht ein Lagebild zur Situation der kritischen Infrastrukturen in Deutschland – und in Europa, da Vorfälle mit grenzüberschreitender Bedeutung auch an andere EU-Mitgliedstaaten weitergeleitet werden. Dadurch werden Entwicklungen und Abhängigkeiten der einzelnen kritischen Infrastrukturen deutlicher und es können in der Folge weitere oder veränderte Maßnahmen getroffen werden, um die Resilienz der KRITIS weiter zu stärken.

Was wird konkret besser durch das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz ist ein Meilenstein beim physischen KRITIS-Schutz in Deutschland und in Europa. Die Risiken werden systematisch in den Blick genommen und bestehende Lücken können durch das KRITIS-Dachgesetz gefüllt werden. Auch wenn bislang einzelne Aspekte in anderen Fachgesetzen oder in Leitlinien behandelt werden, gibt es kein einheitliches Mindestniveau an Maßnahmen, das für alle Sektoren gilt. Durch die Befassung mit Risiken und die Meldung von Vorfällen durch Betreiber wird ein besseres Lagebild ermöglicht. Zudem werden die Verantwortlichkeiten der verschiedenen Beteiligten konkreter beschrieben.

Wieso sind die Regelungen des KRITIS-Dachgesetzes sehr abstrakt und schreiben noch keine konkreten Maßnahmen für die Unternehmen vor?

Das KRITIS-Dachgesetz stellt die Weichen für einen umfangreichen Prozess zu einer besseren Widerstandsfähigkeit unserer KRITIS. Aufgrund der großen Unterschiede zwischen den einzelnen Sektoren und den einzelnen Anlagen können Konkretisierungen nur in den weiteren Prozessen erfolgen: Ein Strommast erfordert andere Maßnahmen zu seinem Schutz als ein Krankenhaus oder eine Anlage, die in einer durch Hochwasser bedrohten Gegend liegt. Von der Wirtschaft erarbeitete Branchenstandards sollen bedarfsgerechte Orientierung geben.

Wie verhält sich das KRITIS-Dachgesetz zu den bestehenden Vorgaben zur IT-Sicherheit von kritischen Infrastrukturen? Warum werden Cyberschutz und physischer Schutz von KRITIS nicht gleich zusammen geregelt?

Neben dem KRITIS-Dachgesetz hat das Bundesinnenministerium zudem einen Entwurf für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz erarbeitet (NIS2UmsuCG), der nun im Bundestag beraten wird. Durch die Umsetzung der EU-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) steigern wir das Sicherheitsniveau und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden. Wir werden beide Vorhaben in einen europäischen Rahmen einbetten und damit zu einer höheren Versorgungssicherheit in Deutschland und Europa beitragen. Das NIS2UmsuCG baut dabei auf das bereits existierende, umfassende Schutzsystem für die Cybersicherheit kritischer Infrastrukturen in Deutschland auf. Bei beiden Vorhaben wurde auf größtmögliche Kohärenz bei den Schnittstellen geachtet. Dies soll z.B. durch eine gemeinsame KRITIS-Verordnung zur Identifizierung und einer gemeinsamen Registrierungsplattform und einer gemeinsamen Plattform zur Meldung von Vorfällen gewährleistet werden.

Wie ist der Schutz der KRITIS in der EU geregelt?

Auch auf europäischer Ebene wird die Bedeutung der Stärkung der physischen Resilienz von kritischen Infrastrukturen erkannt. Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (sog. CER-Richtlinie) wurde Ende 2022 beschlossen und wird mit dem KRITIS-Dachgesetz in nationales Recht umgesetzt. Damit wird ein EU-weit einheitliches Mindestniveau für den physischen Schutz von KRITIS gewährleistet und die EU-weite Zusammenarbeit in diesem Bereich gestärkt.