04.08.2023Fachbeitrag

Update Datenschutz Nr. 151

Das neue KRITIS-Dachgesetz: Überblick zum neuen Referentenentwurf

Es herrscht viel Bewegung im Bereich der Informationssicherheit. Nachdem bereits im Mai 2023 ein Referentenentwurf für das Umsetzungsgesetz der NIS-2-Richtlinie („NIS-2-UmsuCG“) veröffentlicht wurde, ist mit Datum vom 17. Juli 2023 nun auch der erste Referentenentwurf zum neuen KRITIS-Dachgesetz („KRITIS-DachG“) veröffentlicht worden.

A. Hintergrund

Das KRITIS-DachG dient der Umsetzung der „Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates“ („CER-Richtlinie“). Die CER-Richtlinie und die NIS-2-Richtlinie bilden wichtige Grundpfeiler der EU Cybersicherheitsstrategie, mit denen die Resilienz und Sicherheit bestimmter (kritischer) Einrichtungen in der Europäischen Union gefördert werden soll.
 
Während die NIS-2-Richtlinie die Cybersicherheit – d. h. die Sicherheit der Netz- und Informationssysteme – von bestimmten Einrichtungen stärken soll, hat die CER-Richtlinie die Stärkung der physischen Sicherheit von kritischen Anlagen zum Inhalt. Dabei soll im Wege eines sog. „All-Gefahren-Ansatzes“ ein umfangreicher Schutz vor Naturkatastrophen wie auch von Menschen verursachten Gefährdungen gewährt werden. Das entspricht auch dem im Koalitionsvertrag der Bundesregierung erklärten Ziel, den physischen Schutz kritischer Infrastruktur in einem KRITIS-Dachgesetz zu bündeln.

Nach der vorgesehenen Konzeption soll das KRITIS-DachG neben das Gesetz über das Bundesamt in der Informationstechnik („BSIG“), das durch das NIS-2-UmsuCG grundlegend angepasst wird, treten. Ziel ist es, ein kohärentes System zur Stärkung der Resilienz kritischer Anlagen und weiterer – sog. wichtiger und besonders wichtiger – Einrichtungen zu schaffen, indem die Schnittstellen zwischen beiden Bereichen berücksichtigt und, soweit möglich und sinnvoll, übereinstimmend geregelt werden.

B. Adressatenkreis des Entwurfs

Der Entwurf des KRITIS-DachG richtet sich primär an „Betreiber kritischer Anlagen“.

Betreiber einer kritischen Anlage ist gemäß dem Entwurf eine natürliche oder juristische Person, die bestimmenden Einfluss auf die Anlage ausübt. Eine kritische Anlage ist gemäß dem Entwurf eine Anlage, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens hat. Welche Anlagen im Einzelnen kritische Anlagen sind, soll sich nach einer noch zu erlassenden Rechtsverordnung bestimmen. Nach dem Willen des Gesetzgebers sollen hierbei in einer gemeinsamen Rechtsverordnung sowohl kritische Anlagen als auch wichtige und besonders wichtige Einrichtungen nach dem KRITIS-DachG und dem BSIG bestimmt werden. Das Vorgehen gleicht insoweit dem Ansatz in dem aktuellen BISG und der darunter erlassenen KRITIS-Verordnung. So sieht der Entwurf des KRITIS-DachG hier vergleichbar zur aktuellen KRITIS-Verordnung vor, dass bestimmte Anlagenarten abhängig von ihrer Sektorzugehörigkeit und dem Erreichen bestimmter Schwellenwerte automatisch als kritische Anlage eingestuft werden.

Einen Sonderfall stellen sog. „kritische Anlagen von besonderer Bedeutung für Europa“ dar. Dies sollen solche sein, die gemäß einer Rechtsverordnung nach § 15 als kritische Anlage eingestuft sind, für sechs oder mehr Mitgliedsstaaten die gleiche Dienstleistung erbringen und für die der Betreiber eine Meldung der EU-Kommission erhalten hat, dass die Anlage von besonderer Bedeutung für Europa ist. Für Betreiber kritischer Anlagen von besonderer Bedeutung für Europa gelten besondere Pflichten in dem KRITIS-DachG.

C. Pflichten

Nach dem vorliegenden Entwurf des KRITIS-DachG werden verschiedene Pflichten an Betreiber kritischer Anlagen gerichtet.

I. Registrierungspflicht

Betreiber kritischer Anlagen sind verpflichtet die Anlage bei einer gemeinsam vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe („BBK“) und dem Bundesamt für Sicherheit in der Informationstechnik („BSI“) einzurichtenden Registrierungsstelle zu registrieren. Darüber hinaus muss jeder Betreiber einer kritischen Anlage eine Kontaktstelle oder Person als Ansprechpartner benennen.

Das BBK ist gemäß dem Entwurf die national zuständige Behörde und zugleich zentrale Anlaufstelle im Sinne der CER-Richtlinie. In dieser Funktion ist das BBK für die Durchsetzung der Regelungen im KRITIS-DachG sowie den Austausch mit weiteren zentralen Anlaufstellen in anderen Mitgliedstaaten verantwortlich. Unterstützt wird das BBK durch das BSI und die Bundesnetzagentur. Diese sollen dem BBK die relevanten Informationen zu IT-Sicherheitsrisiken, -bedrohungen, -vorfällen sowie sonstigen Risiken, Bedrohungen und Vorfällen, die für kritische Anlagen bestehen, bereitstellen.

II. Risikoanalysen und Risikobewertungen

Das für den jeweiligen Sektor zuständige Bundesministerium, dem die kritische Anlage angehört, führt alle vier Jahre oder auf Veranlassung Risikoanalysen und -bewertungen durch. Diese sollen dann dem BBK zur Auswertung zur Verfügung gestellt werden. Diese Auswertung wird wiederum den Betreibern der kritischen Anlagen und der Europäischen Kommission übermittelt.

Betreiber kritischer Anlagen haben auf Grundlage dieser staatlichen Risikoanalysen erstmals neun Monate nach der Registrierung und dann spätestens alle vier Jahre eigene Risikoanalysen und -bewertungen durchzuführen.

III. Resilienzmaßnahmen und Resilienzpläne

Ein wesentlicher Aspekt des Entwurfs sind die Vorgaben zur Umsetzung von sog. Resilienzmaßnahmen. Betreiber kritischer Anlagen sind demnach verpflichtet, geeignete und verhältnismäßige Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen. Die Maßnahmen sollen auf den staatlichen und den eigenen Risikoanalysen und -bewertungen (siehe oben) fußen.

Zu den Maßnahmen in diesem Sinne zählen solche, die erforderlich sind, um das Auftreten von Vorfällen zu verhindern, einen physischen Schutz der Räumlichkeiten der Anlage zu gewährleisten, auf Vorfälle zu reagieren, sie abzuwehren und die Folgen zu begrenzen, nach Vorfällen die Wiederherstellung zu gewährleisten, ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten und das entsprechende Personal für solche Maßnahmen durch Informationsmaterialien, Schulungen und Übungen zu sensibilisieren.

Konkrete Vorgaben, wie diese Maßnahmen im Detail ausgestaltet werden sollen, enthält der Entwurf nicht. Dem Betreiber steht somit ein Abwägungsspielraum zu. Die Maßnahmen sollen jedoch stets den Stand der Technik einhalten. Zu der Frage, welche Maßnahmen im Rahmen der vorgenannten Abwägung berücksichtigt werden können, enthält Anhang 1 eine nicht abschließende Liste von möglichen Maßnahmen. Darunter fallen beispielsweise Maßnahmen der Notfallvorsorge, die Errichtung von Zäunen und Sperren, der Einsatz von Detektionsgeräten, Zugangskontrollen, Sicherheitsüberprüfungen und die Diversifizierung von Lieferketten.

Zur Unterstützung der Betreiber bei der Abwägung soll das BBK Vorlagen und Muster zur Verfügung stellen. Bei der Bewertung der Angemessenheit geplanter Maßnahmen und der konkreten Ausgestaltung dieser kann u. a. an bereits bestehende Standards der Informationssicherheit angeknüpft werden, wie z. B. ISO 27001 oder den BSI IT-Grundschutz, da diese ebenfalls Maßnahmen zum physischen Schutz von bestimmten Systemen beinhalten (z. B. im Bereich von Zutritts- und Zugangskontrollen).

Eine weitere Möglichkeit besteht auch darin, dass Betreiber kritischer Anlagen und ihre jeweiligen Branchenverbände branchenspezifische Resilienzstandards vorschlagen können sollen. Daraufhin kann das BBK auf Antrag feststellen, ob die vorgeschlagenen Standards geeignet sind, den Anforderungen des KRITIS-DachG zu entsprechen.

Neben der Umsetzung von Resilienzmaßnahmen sind die Betreiber der kritischen Anlagen ebenfalls verpflichtet, sämtliche dieser Maßnahmen in einem Resilienzplan darzustellen. Dieser muss dem BBK zu einem bei der Registrierung der Anlage festgesetzten Zeitpunkt vorgelegt und ab dann alle zwei Jahre nachgewiesen werden. Auch die Erfüllung dieser Anforderungen muss zu einem vom BBK bei der Registrierung festgelegten Zeitpunkt und anschließend alle zwei Jahre nachgewiesen werden.

Das BBK ist nach dem Entwurf befugt im Einvernehmen mit der zuständigen Aufsichtsbehörde die Einhaltung dieser Anforderungen zu überprüfen, wenn daran Zweifel bestehen. Dabei kann das BBK in dem Fall dann auch Betreiber anweisen, erforderliche und verhältnismäßige Resilienzmaßnahmen zu ergreifen.

IV. Meldepflichten

Der Entwurf enthält weiterhin Regelungen zu Meldepflichten für die Betreiber kritischer Anlagen. Danach sind die Betreiber verpflichtet, Vorfälle zu melden, welche die Erbringung ihrer kritischen Dienstleistung erheblich stören können. Die Meldung muss dabei über die bei dem Betreiber eingerichtete Kontaktstelle erfolgen.

Empfangszuständig für die Meldung soll eine vom BBK im Einvernehmen mit dem BSI geschaffene Meldestelle sein. Hier bleibt abzuwarten, inwieweit die von dem BBK und dem BSI zu benennende Meldestelle mit der ebenfalls gemeinsam zu benennenden Registerstelle in einer einheitlichen Stelle konsolidiert werden.
 
Eine erste Meldung von einem Vorfall muss innerhalb von 24 Stunden ab Kenntnisnahme des Vorfalls erfolgen. Ein ausführlicher Bericht hat dann spätestens nach einem Monat zu folgen.

Der Betreiber einer „kritischen Anlage von besonderer Bedeutung für Europa“ hat zusätzlich dem BBK zu melden, welche kritischen Dienstleistungen er in welchen Mitgliedsstaaten anbietet.

D. Sanktionen

Der Entwurf enthält ein Sanktionsregime für die Nichtbefolgung bestimmter gesetzlicher Vorgaben. Konkret betrifft dies insbesondere die vorgestellten Pflichten, d. h. wenn eine nach dem Gesetz notwendige Registrierung nicht vorgenommen wird, keine Kontaktstelle benannt wird, die Risikoanalysen und -bewertungen nicht durchgeführt werden, der Resilienzplan nicht rechtzeitig vorliegt oder die Überprüfung durch das BBK nicht gestattet wird.

Die Höhe der Bußgelder ist in dem Entwurf noch nicht konkret beziffert. Nach dem Entwurf müssen Bußgelder aber jedenfalls verhältnismäßig sein. Das bedeutet insbesondere, dass ein Betreiber einer kritischen Anlage zunächst aufgefordert werden muss, seinen Verpflichtungen nachzukommen. Erst danach kann ein Bußgeld verhängt werden.

Anders als im Referentenentwurf zum NIS2-UmsuCG sind im KRITIS-DachG bisher keine weitergehenden Compliance-Pflichten enthalten. So ist hier, anders als dort, keine persönliche Haftung der Geschäftsleitung für Schäden durch eine mangelhafte Umsetzung des Gesetzes geregelt. Auch formuliert der Entwurf zum KRITIS-DachG keine konkreten Überwachungs- oder Weiterbildungspflichten für die Geschäftsleitung mit Blick auf das physische Risikomanagement.

E. Fazit und Ausblick

Die CER-Richtlinie ist bis Oktober 2024 umzusetzen. Bis dahin muss der Entwurf des KRITIS-DachG verabschiedet werden. Angesichts des früheren Stadiums des Gesetzgebungsverfahrens ist noch mit Änderungen zu rechnen. Wie tiefgreifend diese sein werden, bleibt allerdings noch abzuwarten.

Der Entwurf des KRITIS-DachG selbst sieht aktuell vor, dass das Gesetz am 1. Januar 2026 in Kraft tritt. Demgegenüber sollen die Bußgeldvorschriften erst am 1. Januar 2027 in Kraft treten. Dies bedeutet somit, dass die Adressaten noch eine zusätzlich „Übergangsfrist“ erhalten, um die Vorgaben umzusetzen.

Fest steht bereits jetzt: Der neue Rechtsrahmen im Bereich der Informationssicherheit in Deutschland nimmt immer konkretere Formen an und birgt viele Herausforderungen. Zwar knüpfen viele vorgesehene Vorgaben an bereits im KRITIS-Bereich bestehende Regelungen an. Gleichzeitig kommen aber auch eine Vielzahl von neuen Vorgaben auf Betreiber kritischer Anlagen zu. Gerade für Einrichtungen und Unternehmen, die bislang nicht in den Anwendungsbereich der aktuell geltenden KRITIS-Regelungen im BSIG und der KRITIS-VO fallen und sich dementsprechend noch nicht mit den bisher geltenden Vorgaben auseinander setzen mussten, gilt, dass diese sich frühzeitig mit den neuen Vorgaben befassen und die weiteren Entwicklungen genau beobachten sollten. Denn erfahrungsgemäß ist die Umsetzung von Maßnahmen im Bereich der Informations-, IT-oder Cyber-Sicherheit regelmäßig mit erheblichen Aufwänden verbunden und bedarf einer langfristigen Planung. Voraussetzung ist hier allerdings natürlich, dass der deutsche Gesetzgeber die entsprechende Rechtsverordnung erlässt, in der dann die jeweiligen Schwellenwerte und Sektorenzugehörigkeit für die Einstufung als Betreiber einer kritischen Anlage entsprechend festgelegt werden. Aber auch bereits jetzige KRITIS-Betreiber müssen sich auf neue Anforderungen einstellen und sollten daher ebenfalls frühzeitig mit der Planung und Umsetzung der kommenden Vorgaben beginnen.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.