28. August 2023
Die EU hat Ende 2022 die „CER“- Richtlinie verabschiedet, die zum Schutz kritischer digitaler Infrastruktur beitragen soll. Dabei konzentriert sich die Richtlinie auf den physischen Schutz und will die Resilienz kritischer Einrichtungen vor (nicht-cyberbezogenen) Gefahren stärken. Die Richtlinie wird auf Ebene der Mitgliedstaaten umgesetzt, in Deutschland in Form des KRITIS-Dachgesetzes, welches bisher nur als Entwurf vorliegt (KRITIS-DachG-E).
Das Gesetz soll bis Mitte 2024 verabschiedet werden, jedoch haben Unternehmen für die Umsetzung bis zum 1. Januar 2026 Zeit.
Mit dem Gesetz sollen die Regelungen zur physischen Sicherheit von „kritischen Anlagen“, „wichtigen Anlagen“ und „besonders wichtigen Anlagen“ unter einem Dach zusammengefasst werden. Der Entwurf enthält jedoch zunächst nur Regelungen für „kritische Anlagen“. Welche Unternehmen als „kritische Anlagen“ konkret betroffen sein werden, wird erst durch eine noch zu erlassende Rechtsverordnung festgelegt werden (vgl. §§ 4, 15 KRITIS-DachG-E).
Ein zentraler Punkt des Entwurfs sind die Anforderungen an Resilienzmaßnahmen. Betreiber kritischer Anlagen sind nach § 11 KRITIS-DachG-E verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Sicherstellung der Resilienz zu treffen. Darunter ist nach § 2 Nr. 6 KRITIS-DachG-E die Fähigkeit des Betreibers einer kritischen Anlage zu verstehen, „einen Vorfall zu verhindern, sich davor zu schützen, darauf zu reagieren, einen solchen abzuwehren, die Folgen eines solchen Vorfalls zu begrenzen, einen Vorfall aufzufangen, zu bewältigen und sich von einem solchen Vorfall zu erholen“.
Diese Maßnahmen basieren auf behördlichen und eigenen Risikoanalysen und umfassen z.B. den physischen Schutz der Anlagen, Reaktionen auf Vorfälle und Maßnahmen zur Wiederherstellung der Anlagen nach Vorfällen. Mangels detaillierter Vorgaben des Entwurfs zur Ausgestaltung dieser Maßnahmen bleibt den Betreibern dabei ein gewisser Umsetzungsspielraum.
Die Betreiber müssen alle Resilienzmaßnahmen in einem Resilienzplan dokumentieren und diesen regelmäßig dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) vorlegen. Das BBK ist befugt, die Einhaltung der Resilienzmaßnahmen zu überprüfen und gegebenenfalls zusätzliche Maßnahmen anzuordnen.
Der Entwurf sieht auch Meldepflichten für Betreiber kritischer Anlagen vor (§ 12 KRITIS-DachG-E). Sie müssen Vorfälle an eine vom BBK und BSI eingerichtete Stelle melden, die ihre kritischen Dienstleistungen erheblich beeinträchtigen können. Bei einem Vorfall muss innerhalb von 24 Stunden eine Erstmeldung und innerhalb eines Monats ein detaillierter Bericht erfolgen.
Es gibt einen Katalog von bußgeldbewehrten Verstößen gegen das Gesetz, wobei die genauen Bußgelder noch nicht festgelegt sind (§ 19 KRITIS-DachG-E).
Der Entwurf des KRITIS-DachG-E legt großen Wert auf das Risikomanagement und die Meldepflicht von erheblichen Sicherheitsvorfällen. Eine gesetzliche Auflistung der erforderlichen Maßnahmen enthält der Entwurf jedoch (noch) nicht. Insofern dürfte den Betreibern ein großer Gestaltungsspielraum verbleiben.
Zu den Maßnahmen, die bei der Abwägung durch den Betreiber kritischer Anlagen nach § 11 Abs. 1 zu berücksichtigen sind, können insbesondere gehören:
von mehreren Autoren
von Dr. Jakob Horn, LL.M. (Harvard) und Alexander Schmalenberger, LL.B.
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Richard Gläser