Mitteilungen - Recht, Personal, Organisation

StGB NRW-Mitteilung 512/2023 vom 10.08.2023

Gesetzentwurf zum Schutz kritischer Infrastrukturen

Am 17. Juli hat das Bundesministerium des Innern und für Heimat einen Entwurf für das sogenannte KRITIS-Dachgesetz (KRITIS-DachG) vorgelegt. Das Gesetz wird im Hinblick auf physische Maßnahmen zur Stärkung der Resilienz kritischer Anlagen erstmals einheitliche bundesgesetzliche sektorübergreifende Mindeststandards festlegen und setzt insbesondere die europäische CER-Richtlinie in deutsches Recht um.

Bei der Umsetzung der CER-Richtlinie soll sichergestellt werden, dass Dienste, die für die Aufrechterhaltung lebenswichtiger gesellschaftlicher Funktionen, wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit sowie der Umwelt von entscheidender Bedeutung sind, in der EU reibungslos erbracht werden.

Die im KRITIS-DachG getroffenen Bestimmungen zu den kritischen Anlagen orientieren sich an den bisherigen Regelungen zum Cyberschutz von kritischen Infrastrukturen unter Berücksichtigung der geplanten Umsetzung der NIS 2-Richtlinie. Betreiber kritischer Anlagen müssen künftig die nach dem KRITIS-DachG vorgesehenen Aufgaben und Maßnahmen in ihre wirtschaftliche Betätigung integrieren, welche einen nicht unerheblichen Effekt auf ihre wirtschaftlichen Abläufe und Organisationen haben werden.

Adressat des KRITIS-DachG sind die Betreiber von kritischen Anlagen, d.h. Anlagen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben, da durch ihren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für wirtschaftliche Tätigkeiten, die öffentliche Sicherheit oder Ordnung eintreten würden.

Zunächst muss es sich hier um eine Anlagenart in den Sektoren – Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, Weltraum, öffentliche Verwaltung, oder Siedlungsabfallentsorgung handeln. Außerdem muss der maßgebliche Schwellenwert in der (noch zu erlassenden einheitlichen) KRITIS-Verordnung erreicht oder überschritten werden. Die Gesetzesbegründung spricht hier bereits davon, dass der Schwellenwert bei 500.000 versorgten Kunden liegen soll.

Unter anderem treffen die Betreiber der kritischen Anlagen folgende Pflichten:

•             Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und 
               Einrichtung einer Kontaktstelle als Ansprechpartner für das BBK, die jederzeit erreichbar ist.

 •             Erstellung einer Risikoanalyse und -bewertung und Erneuerung alle vier Jahre.

 •             Auf Grundlage der Risikoanalyse und -bewertung müssen geeignete und verhältnismäßig
                technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer
                Resilienz getroffen werden:

                Zum Beispiel können durch die Betreiber oder ihre Verbände branchenspezifische
                Resilienzstandards vorgeschlagen werden, um diese Pflichten zu erfüllen, oder es können
                Dokumente und Maßnahmen verwendet werden, die nach anderen Vorschriften umgesetzt
                werden. Hierfür kann das BBK eine Äquivalenzprüfung vornehmen.

 •             Die geplanten Maßnahmen und ihre Erfüllung müssen alle zwei Jahre nachgewiesen werden.

Erhebliche Störungen müssen an eine gemeinsame Meldestelle von BBK und BSI gemeldet werden. Diese Meldung muss bis spätestens 24 Stunden nach Kenntnisnahme des Vorfalls erfolgen, es sei denn dies ist in operativer Hinsicht nicht möglich.

Diese Pflichten greifen frühestens nach zehn Monaten nach der Registrierung der kritischen Anlage.

Die zuständige Aufsichtsbehörde wird das BBK sein, welches bei Verstößen gegen die zuvor genannten Pflichten Bußgelder verhängen kann.

Außerdem können insbesondere auf Landesebene weitere Vorgaben getroffen werden. Dies betrifft auch Maßnahmen um, das Personal der kritischen Anlagen arbeitsfähig zu halten (z.B. durch Gewährleistung einer Unterbringung von Kindern in Kindertagesstätten. Andere, über die Mindestvorgaben nach dem KRITIS-DachG hinausgehende Anforderungen an die Betreiber kritischer Anlagen bleiben unberührt.

Anmerkung des StGB und des DStGB

Der DStGB begrüßt, dass der Entwurf die CER-Richtlinie mit viel Augenmaß umsetzt und zum großen Teil nicht über die Anforderungen der CER-Richtlinie hinausgeht, sondern diese lediglich in deutsches Recht überträgt.

Positiv ist insbesondere, dass allein die Betreiber der kritischen Anlagen Adressat der neuen Pflichten sind und das KRITIS-DachG nicht auch auf (besonders) wichtige Einrichtungen erweitert wird. Auch die Abstimmung der Definitionen von KRITIS-DachG und NIS 2-Umsetzungsgesetz bewerten wir positiv. Nicht zuletzt wird zumindest für BSI und BBK eine gemeinsame Meldestelle etabliert und es können bereits vorgenommene Maßnahmen auf die neuen Resilienzpflichten angerechnet werden. Auch wurde die Möglichkeit Bußgelder zu verhängen eingeschränkt und es sind angemessene Übergangsfristenfristen gewählt worden.

Allerdings gibt es keine Hinweise, dass das BBK personell aufgestockt werden soll, sodass fraglich ist, ob das BBK seinen Aufgaben angemessen nachgehen können wird.

Quelle: DStGB Aktuell 2923 vom 21.07.2023

Az.: 15.2.12-011/003

ICON/icon_verband ICON/icon_staedtebau ICON/icon_recht ICON/icon_finanzen ICON/icon_kultur ICON/icon_datenverarbeitung ICON/icon_gesundheit ICON/icon_verkehr ICON/icon_bau ICON/icon_umwelt icon-gemeindeverzeichnis icon-languarge icon-link-arrow icon-login icon-mail icon-plus icon-search