Besserer Schutz für kritische Infrastruktur – Bundesinnenministerium präsentiert Eckpunkte für ein KRITIS-Dachgesetz
Locations
Eckpunktepapier vom 07. Dezember 2022
In Deutschland finden sich zentrale Regelungen zum Schutz kritischer Infrastruktur bislang in erster Linie im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz). Das Gesetz erfasst allerdings lediglich den Bereich Cybersicherheit. Der physische Schutz kritischer Infrastruktur findet sich zwar in zahlreichen Spezialgesetzen, eine zentrale Regulierung fehlt allerdings. Genau hier soll das KRITS-Dachgesetz nachbessern:
Anstelle fragmentierter Einzelregelungen will die Bundesregierung den Schutz kritischer Infrastrukturen zukünftig mit einem sektorübergreifenden Regelwerk angehen. Schwerpunkt des Gesetzes soll der physische Schutz kritischer Infrastruktur sein. Darüber hinaus soll das Dachgesetz aber auch die bestehenden Regelungen – zum Beispiel zur Cybersicherheit – ergänzen und insgesamt ein kohärentes System zum Schutz kritischer Infrastrukturen schaffen. Dieser Ansatz ist sehr zu begrüßen – denn die Vorfälle in den vergangenen Monaten haben deutlich gemacht, dass physische und Cybersicherheit für einen ganzheitlichen Schutz kritischer Infrastruktur kaum voneinander zu trennen sind.
Betroffene Infrastruktur
Das Dachgesetz orientiert sich an den vorhandenen europäischen Leitbildern (Directive 2022/2557 on the resilience of critical entities – "CER-Richtline"; Directive 2022/2555 on measures for a high common level of cybersecurity across the Union – "NIS 2-Richtlinie") und wird Regelungen für die folgenden Sektoren enthalten:
- Energie
- Verkehr
- Bankwesen
- Finanzmarktinfrastruktur
- Gesundheit
- Trinkwasser
- Abwasser
- Digitale Infrastruktur
- Öffentliche Verwaltung
- Weltraum
- Lebensmittel (Produktion, Verarbeitung, Vertrieb)
Ob eine Infrastruktur im jeweiligen Sektor als "kritisch" eingestuft wird, soll anhand von quantitativen und qualitativen Merkmalen, insbesondere der Anzahl von Nutzern und der Bedeutung der kritischen Infrastruktur für die Aufrechterhaltung von Diensten beurteilt werden. Noch ist offen, wie der Gesetzgeber diese Merkmale konkret ausgestalten wird.
Risikobewertung
Ein weiteres Kernstück des Dachgesetzes soll eine regelmäßige Risikobewertung sein, die mindestens alle vier Jahre wiederholt wird. Das betrifft zunächst eine staatliche Risikobewertung, in der sämtliche potentielle Risiken für kritische Infrastruktur identifiziert und analysiert werden (All-Gefahren-Ansatz). In einem zweiten Schritt soll die staatliche Risikobewertung als Grundlage für eine verpflichtende spezifische Risikobewertung der Betreiber im Hinblick auf ihre konkrete Infrastruktur dienen.
Vorgaben für Betreiber
Um insbesondere den physischen Schutz kritischer Infrastruktur zu gewährleisten, sollen die Betreiber in die Pflicht genommen werden, bestimmte Sicherheitsmaßnahmen zu treffen. Das Dachgesetz soll hier einen verbindlichen Mindeststandard schaffen und Maßnahmen festlegen, die alle Betreiber treffen müssen. Dazu gehören neben Risikomanagement, Risikobewertung und Resilienzplänen auch "technische, personelle und organisatorische Maßnahmen". Als Beispiel nennt das Eckpunktepapier etwa Zäune, Detektionsgeräte, Zugangskontrollen, Sicherheitsüberprüfungen und Redundanzen.
Interessant wird hier insbesondere die Durchsetzungspraxis. Denn vergleichbare Vorgaben gibt es im Bereich Cybersicherheit bereits durch das BSI-Gesetz. Bislang werden diese Maßnahmen jedoch unzureichend umgesetzt. Das BSI mahnt zwar seit Jahren die Umsetzung der Vorgaben an, hat von seiner Sanktionsbefugnis jedoch noch keinen Gebrauch gemacht. Es ist allerdings davon auszugehen, dass sich die Aufsichtspraxis in Anbetracht der veränderten politischen Lage ändern wird.
Störungs-Monitoring
Die Vorteile eines zentralen Regelwerkes sollen auch durch einen zentralen Meldemechanismus ausgeschöpft werden. Ziel ist es, durch ein Monitoring aller Störungen einen umfassenden Überblick über aktuelle Gefährdungslagen zu haben und Maßnahmen, wie etwa Warnungen von ebenfalls betroffenen kritischen Infrastrukturen (auch im europäischen Ausland), umsetzen zu können. Zu diesem Zweck sollen – nach dem Vorbild des BSI-Gesetzes – Meldepflichten für Betreiber eingeführt werden.
Übergreifende Behörde
Um eine effektive Umsetzung der Maßnahmen sicherzustellen, soll das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu der übergreifend zuständigen Behörde für den physischen Schutz kritischer Infrastruktur ausgebaut werden. Es soll insbesondere für die Einhaltung der Mindestmaßnahmen, Koordinierung, Informationsweitergabe und Kompetenzbündelung zuständig werden. Zu diesem Zweck soll es eng mit dem weiterhin für den Bereich Cybersicherheit zuständigen BSI zusammenarbeiten.
Europäischer Schutz kritischer Infrastruktur
Das KRITIS-Dachgesetz dient der vorgezogenen Umsetzung von EU-Recht (CER–Richtlinie und NIS 2-Richtlinie). Auch auf europäischer Ebene gibt es politische Bestrebungen, den Schutz kritischer Infrastrukturen zu verbessern. Beide Richtlinien treten am 16. Januar 2023 in Kraft. Die Mitgliedstaaten haben allerdings noch bis zum 17. Oktober 2024 Zeit, die Richtlinien in nationales Recht umzusetzen.
Die NIS 2-Richtlinie ist die Überarbeitung der ursprünglichen NIS-Richtlinie 2016/1148 aus dem Jahr 2016. Gegenstand ist der Schutz von KRITIS vor Cyberbedrohungen. Ergänzend dazu hat der Unionsgesetzgeber erkannt, dass insbesondere der physische Schutz von KRITIS unzureichend ist. Daher wurde parallel die CER als Ablösung der European Critical Infrastructures Direktive (ECI-Richtlinie) aus dem Jahr 2008 geschaffen, die genau diese Lücke schließen soll. Schwerpunkt der Richtlinie ist dabei, neben den durch das Dachgesetz bereits implementierten Maßnahmen, Koordinierung und Schutz auf europäischer Ebene. So unterliegt kritische Infrastruktur, die in sechs oder mehr Mitgliedsstaaten der EU dieselben oder ähnliche kritische Dienstleistungen erbringen, einer verstärkten Aufsicht auf EU-Ebene.
Neuer Vorschlag der Kommission
Doch auch auf europäischer Ebene sind die Vorfälle der letzten Monate Anlass für weitere Maßnahmen. Aufbauend auf einem Fünf-Punkte-Plan von Kommissionspräsidentin Ursula von der Leyen hat die Kommission am 18. Oktober 2022 eine neue Empfehlung veröffentlicht. Diese sieht unter anderem folgende Maßnahmen vor:
- Beschleunigte Umsetzung der CER-Richtlinie
- Stresstest um Schwachstellen zu erkennen: zunächst im Energiesektor, dann auch in anderen Bereichen wie dem digitalen Offshore-Bereich
- Ausbau der Reaktionsfähigkeit im Rahmen des bestehenden Katastrophenschutzverfahrens
- Bestmögliche Nutzung der Satellitenüberwachung zur Erkennung von Bedrohungen
- Stärkung der Zusammenarbeit mit NATO und Partnerländern (insb. USA)
Fazit
Das KRITIS-Dachgesetz soll eine Bestehende Lücke im Schutz von kritischer Infrastruktur schließen und durch einen ganzheitlichen Ansatz das Schutzniveau insgesamt verbessern. Insbesondere die Zentralisierung ist dabei begrüßenswert, die bei koordinierten Angriffen oder natürlichen Gefahren ein schnelles Lagebild schaffen und schnelle, gezielte Maßnahmen ermöglichen soll. Gleichzeitig gibt das Eckpunktepapier Hoffnung auf eine schnelle und ggf. sogar vorzeitige Umsetzung der europäischen Rechtsakte.
Für viele der betroffenen Unternehmen werden die Neuregelungen eine Verschärfung der Sicherheitsarchitektur bedeuten und es ist davon auszugehen, dass vielfach eine Anpassung der Risikobewertung und der darauf aufbauenden technischen und organisatorischen Maßnahmen erforderlich wird. Betreiber kritischer Infrastrukturen sollten deshalb schon im Laufe des Gesetzgebungsverfahrens mögliche Auswirkungen auf ihr Geschäft prüfen.
Für Fragen rund um die rechtliche Bewertung der neuen Rahmenbedingungen steht Ihnen Martin Lose (martin.lose@fieldfisher.com) gerne zur Verfügung.
Melden Sie sich für unseren Newsletter an
ABONNIEREN