KRITIS-Dachgesetz – Was hat sich im Wesentlichen mit dem neuen Referentenentwurf geändert?

PrintMailRate-it

veröffentlicht am 31. Januar 2024

Dieses Jahr kommt es zu einigen gesetzlichen Änderungen und Verschärfungen im Bereich der IT-Sicherheit/Informationssicherheit sowie der physischen Sicherheit kritischer Infrastrukturen, welche für Unsicherheit bei den betroffenen Stellen sorgen. Es ist gar nicht so einfach, hier den Überblick zu behalten. Vielleicht fragen Sie sich auch schon, welche weiteren Voraussetzungen Sie gegebenenfalls erfüllen müssen. Oder Sie hören hiervon gerade zum ersten Mal und wissen noch gar nicht, ob Sie betroffen sein könnten.
 
So oder so möchten wir Sie nicht im Regen stehen lassen. Dieser Artikel ist Teil 3 unserer Reihe „Newsupdate – Gesetzliche Anforderungen zur IT-Sicherheit”. Wir möchten Sie darin immer aktuell über das Geschehen und neue Entwicklungen informieren. Im aktuellen Artikel geht es um den neuen Referentenentwurf zu dem angekündigten KRITIS-Dachgesetz. Parallel zum NIS2-Umsetzungsgesetz, das die EU NIS2-Direktive für Cybersecurity umsetzt, soll das KRITIS-Dachgesetz die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken und setzt die entsprechende EU-Richtlinie (EU 2022/2557) in nationales Recht um.
 
Nach Einleitung der Ressortabstimmung sowie der Länder- und Verbändebeteiligung im Juli 2023 zum Entwurf des KRITIS-Dachgesetzes hatte das Bundesministerium des Innern und für Heimat (BMI) Gelegenheit die zahlreichen divergierenden Stellungnahmen der Beteiligten zu berücksichtigen und den Entwurf anzupassen. Ergebnis ist der kurz vor Jahresende veröffentlichte neue Referentenentwurf. Im Folgenden finden Sie einen Überblick über die wichtigsten Änderungen und wie es im Gesetzgebungsverfahren nun weiter geht. Es bleibt spannend!
 
Der neue Entwurf berücksichtigt insbesondere wesentliche Anliegen in Bezug auf die Struktur des Vollzugs und den Anwendungsbereich.
 

Vollzug

Ein Kritikpunkt war die zentrale Zuständigkeit des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK), dem gleichzeitig die Aufgaben bei der Registrierung, dem Störungsmonitoring, den nationalen Risikobewertungen, der Überprüfung der Resilienzmaßnahmen und der Festlegung von Bußgeldern zugewiesen wurde. Die Sektorbehörden der Länder und des Bundes erhalten daher nun ebenfalls wichtige Aufgaben bei der Umsetzung des Gesetzes.
 
Sektorbehörden des Bundes oder Länder sind nach dem neuen Entwurf zuständig für die Schaffung und die Prüfung der konkreten Resilienzvorgaben, die Aufsicht und Bußgeldfestsetzungen. Durch die Benennung eines zentralen Ansprechpartners in jedem Land werden zudem klare und übersichtliche Strukturen geschaffen. Das BBK macht dabei methodische und sektorübergreifende Vorgaben und bleibt somit weiterhin mit zentraler Funktion eingebunden. Dadurch soll Bundeseinheitlichkeit im Vollzug sichergestellt werden, vor allem bei der Festlegung von branchenspezifischen Resilienzstandards.
 

Anwendungsbereich

Hinsichtlich des Anwendungsbereichs ist die Flexibilisierung der Identifizierung von KRITIS-Betreibern hervorzuheben. Auch kleinere Einrichtungen unterhalb des Regelschwellenwertes von 500.000 zu versorgenden Einwohnern sollen nun unter bestimmten Bedingungen unter das KRITIS-Dachgesetz fallen können.
 
Dazu sind zum einen Flexibilisierungen innerhalb der gesonderten Rechtsverordnung zur Identifizierung von Betreibern kritischer Infrastrukturen durch Ausnahmen vom Regelschwellenwert oder bedarfsgerechte Anpassung der Bemessungskriterien vorgesehen. Diese Rechtsverordnung soll parallel zu den Beratungen zum Entwurf des KRITIS-Dachgesetzes erarbeitet werden.
 
Zum anderen erhalten die zuständigen Behörden im KRITIS-Dachgesetz selbst ein Vorschlagsrecht für weitere einzubeziehende kritische Dienstleister unterhalb des Regelschwellenwertes von 500.000 zu versorgenden Einwohnern. Kriterien wie u.a. die Stellung am Markt, die geografische Lage, regionale Bedeutung sowie das mögliche Ausmaß von Ausfällen und ggf. grenzüberschreitende Auswirkungen sind dabei maßgeblich. Damit soll der Belang spezifischer Einrichtungen und den Besonderheiten in den Ländern Rechnung getragen werden. Im Falle eines Vorschlags und der daraus folgenden Einordnung als Betreiber kritischer Anlagen, wird dem Betreiber durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe mitgeteilt, dass er den Verpflichtungen des KRITIS-Dachgesetzes unterliegt und wird gleichzeitig zur Registrierung aufgefordert.
 

Resilienzmaßnahmen und Registrierungspflicht

Auch der Pflichtenkatalog des Gesetzes wurde überarbeitet. Insoweit kam es zu bestimmten Erleichterungen, gleichzeitig aber wurde der Pflichtenkatalog auch erweitert und verschärft.
 
Die Registrierung hat nun erst innerhalb von drei Monaten nach erstmaliger oder erneuter Geltung als Betreiber kritischer Anlagen zu erfolgen, nicht wie zuvor bereits am Werktag nach Erreichung des Schwellenwertes. Wenn das BBK davon ausgeht, dass ein Betreiber der Registrierungspflicht nicht nachgekommen ist, kann die Behörde die für die Bewertung erforderlichen Unterlagen und Auskünfte verlangen.
 
Die Anforderungen bzgl. der Resilienzmaßnahmen und Risikoanalysen bleiben im Wesentlichen bestehen, wurden aber konkretisiert. Dem Zweck des Gesetzes entsprechend sind Betreiber kritischer Anlagen wie bereits zuvor zu umfassenden Resilienzmaßnahmen verpflichtet. So sind mindestens alle vier Jahre Risikoanalysen und Risikobewertungen auf Grundlage der von den Behörden zu erstellenden nationalen Analysen durchzuführen. Die Betreiber der kritischen Anlagen sind verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen. Neu ist hier die Auflistung detaillierterer Beispielmaßnahmen, die getroffen werden können. Genannt werden u.a. Maßnahmen zur Anpassung an den Klimawandel, Maßnahmen des Objektschutzes, darunter das Aufstellen von Zäunen und Sperren, der Einsatz von Detektionsgeräten, Zugangskontrollen, Risiko- und Krisenmanagementmaßnahmen und -protokolle, die Ermittlung alternativer Lieferketten, um die Erbringung wesentlicher Dienste im Ernstfall wieder aufnehmen zu können sowie Schulungen und die Bereitstellung von Informationsmaterial. Die getroffenen Maßnahmen müssen zudem in einem Resilienzplan festgehalten werden. Aus diesem Plan müssen die den Maßnahmen zugrunde liegenden Erwägungen einschließlich der Risikoanalysen und Risikobewertungen hervorgehen.
 
Eine obligatorische regelmäßige Nachweispflicht besteht nach dem neuen Entwurf nun nicht mehr. Schrieb der vorangegangene Entwurf noch einen Nachweis über die Implementierung der Resilienzmaßnahmen alle zwei Jahre vor, muss ein Nachweis nun nur noch auf Anforderung durch die zuständigen Behörden erfolgen. Da hier aber in der Regel nur kurze Zeiträume zwischen Anforderung und Frist zur Einreichung vorliegen, empfehlen wir einen Nachweis dennoch alle zwei Jahre durchzuführen, selbst wenn er nicht einzureichen ist.
 
Im Zusammenhang mit der Meldepflicht sind Vorfälle, welche die Erbringung kritischer Dienstleistungen erheblich stören oder erheblich stören könnten, nun unverzüglich an eine vom BBK und BSI eingerichtete gemeinsame zentrale Meldestelle zu melden.
 
Zusätzlich eingefügt wurde eine Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter, wie sie zuletzt auch im NIS2 Umsetzungsgesetzesentwurf gefordert ist. Auf Anfrage der zuständigen Aufsichtsbehörde ist darüber Nachweis zu führen. Besonders bemerkenswert hier die Haftungspflicht des Geschäftsleiters bei Verletzung der Billigungs- und Überwachungspflicht. Ein Verzicht des Betreibers auf Ersatzansprüche gegenüber dem Geschäftsleiter oder ein Vergleich sind  – mit Ausnahme im Fall der Zahlungsunfähigkeit und der durch Verzicht oder Vergleich bezweckten Abwendung der Insolvenz – ausdrücklich untersagt.
 
Der Geltungsbeginn bestimmter Pflichten ist nun zentral geregelt. Die Risikoanalysen sind erstmalig 9 Monate nach Registrierung durchzuführen. Die Resilienzmaßnahmen sind mit Ablauf von 10 Monaten nach Registrierung umzusetzen. Die Pflicht auf Anforderung Nachweise über die Implementierung der Resilienzmaßnahmen zu erbringen sowie Vorfälle zu melden tritt ebenfalls mit Ablauf von 10 Monaten nach Registrierung in Kraft.
 
Interessant zu wissen ist, dass das BBK im Einvernehmen mit dem BSI nun einen Katalog mit den sektorenübergreifenden Mindestanforderungen erstellen und veröffentlichen soll sowie den Einrichtungen Mustervorlagen für die Resilienzpläne vorlegen kann.
 

Bußgelder

Die Bußgeldtatbestände wurden konkretisiert und um weitere Tatbestände ergänzt. Miteinbezogen wurde nun z.B. die Nichtvorlage der für die Registrierung erforderlichen Unterlagen und Informationen sowie die Pflicht zur Vorlage eines Mängelbeseitigungsplans und zum rechtzeitigen Treffen von Maßnahmen zur Beseitigung der Mängel, soweit solche festgestellt wurden. Bußgeldbehaftet sind des Weiteren insbesondere Verstöße gegen die Registrierungspflicht, die Durchführung der Risikoanalysen und -bewertungen, die Pflicht zur Erstellung des Resilienzplans und dessen Befolgung sowie gegen die Nachweispflichten im Falle der Aufforderung durch die Behörden. Verlangte der letzte Entwurf noch Vorsatz ist dies nun nicht mehr der Fall. Die Höhe der Bußgelder ist bisher noch offengelassen.
 

Fazit

Insgesamt ist der neue Entwurf systematisch deutlich übersichtlicher geworden und sorgt für etwas mehr Klarheit in dem durchaus schwer verständlichen „Regelungs-Wirrwarr“. Das Gesetzgebungsverfahren ist jedoch noch nicht abgeschlossen und es kann weiterhin zu Änderungen kommen. Das Gesetz soll grundsätzlich im Oktober diesen Jahres in Kraft treten. Es bleibt abzuwarten, wie der neue Entwurf von den Beteiligten aufgenommen wird und ob im Zuge des darauffolgenden Diskurses weitere Anpassungen erfolgen. Gerade die Geschäftsleiterhaftung dürfte für Diskussionsstoff sorgen. Wir halten Sie in jedem Fall auf dem Laufenden.

FOLGEN SIE UNS!

Linkedin Banner

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu