Das Bundesinnenministerium (BMI) hat einen neuen Referentenentwurf für das KRITIS-Dachgesetz (KritisDG) vorgelegt, um den Schutz Kritischer Infrastrukturen in Deutschland zu stärken. Damit reagiert die Bundesregierung auf die verzögerte Umsetzung der EU-weiten CER-Richtlinie und auf die Notwendigkeit, Mindeststandards für physische Resilienz neben der digitalen Sicherheit gemäß NIS-2-Richtlinie verbindlich zu regeln.
Der Vorgängerentwurf aus dem Jahr 2024, noch unter Federführung der damaligen Innenministerin Nancy Faeser (SPD), war nach den politischen Turbulenzen rund um den Bruch der Ampelregierung zwar vom Kabinett gebilligt worden, gelangte jedoch nicht mehr in den Bundestag. Die inhaltlichen Schwerpunkte des neuen Entwurfes aus dem nun CSU-geführten BMI ähneln stark jenen, die bereits im Entwurf aus 2024 herausgearbeitet wurden. Einige Details und Anpassungen wurden dennoch vorgenommen.
Anpassungen bei Betreibern und BBK-Aufgaben
Der neue Entwurf erweitert die Zahl der betroffenen Betreiber kritischer Anlagen von 1.400 auf 1.700 und benennt erstmals explizit die abgedeckten Sektoren. Dazu zählen neben Energie, Transport und Verkehr, Finanzwesen und Sozialversicherung auch Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie die Siedlungsabfallentsorgung.
Damit werden nicht nur klassische Infrastrukturen, sondern auch neue Bereiche systemrelevant definiert. Die Zuständigkeiten der Bundesbehörden bleiben weitgehend unverändert, jedoch wurden Fristen für die Benennung der Landesbehörden und die Meldung an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) flexibler gestaltet. Das BBK übernimmt darüber hinaus zusätzliche Aufgaben kostenlos, darunter die Abnahme branchenspezifischer Resilienzstandards, die Bereitstellung von Leitlinien, Mustervorlagen, Schulungen und Beratungsleistungen.
Das kommt auf KRITIS-Betreiber zu
Für Betreiber kritischer Anlagen sind verpflichtende Resilienzpläne vorgesehen, die nicht nur organisatorische Maßnahmen wie Risiko- und Krisenmanagement umfassen, sondern auch physische Schutzmaßnahmen wie Zäune, Notstromaggregate oder Hochwasserschutz sowie die Einrichtung ständig erreichbarer Ansprechstellen und Alternativpläne für Lieferkettenausfälle.
Meldungen über Vorfälle müssen binnen 24 Stunden erfolgen, andernfalls drohen empfindliche Bußgelder. Anders als im vorherigen Entwurf verzichtet das BMI auf konkrete Kostenschätzungen und verweist auf künftige Haushaltsverfahren, wobei betont wird, dass Resilienzmaßnahmen langfristig Kosten einsparen, die durch Ausfälle entstehen würden.
Die sektorspezifischen Mindestvorgaben können die zuständigen Ministerien erst ab 2030 erlassen, um den Unternehmen ausreichend Zeit für die Umsetzung zu geben, während für das Auswärtige Amt gesonderte Verwaltungsvorschriften erarbeitet werden.
AG KRITIS sieht weiterhin Defizite
In einer ersten Einschätzung äußert sich Manuel Atug, Gründer und Sprecher der unabhängigen Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS), auf der Website der AG KRITIS nach wie vor kritisch bezüglich des überarbeiteten Entwurfes. So blieben „alle Defizite aus vorherigen Entwürfen weiterhin bestehen“ und Deutschland würde mit der aktuellen Version des KritisDG „weit hinter den Vorgaben der EU zu physischer und Cyber-Resilienz zurückbleiben“.
Wie bereits nach der Veröffentlichung des ersten Entwurfes, fordert die AG KRITIS eine Überarbeitung der Bereiche nationale Risikoanalysen, Betreiberpflichten und Resilienzplanvorgaben. Lobend hebt Atug hingegen hervor, dass die branchenspezifischen Resilienzstandards künftig öffentlich beim BBK abrufbar sein werden.
