Das KRITIS-Dachgesetz hat den Bundesrat passiert. Damit werden bundeseinheitliche und sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen festgelegt. Das Wichtigste im Überblick:
Zur Umsetzung einer EU-Richtlinie zur Stärkung der Resilienz kritischer Anlagen hat der Bundesrat dem Entwurf eines KRITIS-Dachgesetzes zugestimmt. Damit werden erstmalig folgende Sektoren zusammengefasst: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung.
Identifizierung kritischer Anlagen
Mit dem Gesetzentwurf werden die bestehenden Regelungen im Bereich der IT-Sicherheit kritischer Infrastrukturen ergänzt. Zudem wird bundesweit festgelegt, welche Unternehmen und Einrichtungen Teil der kritischen Infrastruktur sind. Die Einrichtung muss hierzu essenziell für die Gesamtversorgung in Deutschland sein und mehr als 500.000 Personen versorgen.
Mindestanforderungen für den Schutz kritischer Infrastrukturen
Darüber hinaus legt der Gesetzentwurf bundeseinheitliche und sektorübergreifende Mindeststandards für den physischen Schutz der kritischen Infrastrukturen durch die Betreiber fest. Das können zum Beispiel Notfallteams, ein stärkerer Objektschutz und Maßnahmen zur Ausfallsicherheit sein. Eine Grundlage hierfür sind Risikoanalysen und Risikobewertungen, die von den zuständigen staatlichen Stellen erarbeitet und den Betreibern zur Verfügung gestellt werden. Zudem ist eine Meldepflicht für Vorfälle vorgesehen.
Änderungen im parlamentarischen Verfahren
Im parlamentarischen Verfahren wurden durch den Deutschen Bundestag Änderungen am Regierungsentwurf vorgenommen. So wird insbesondere den Ländern die Möglichkeit gegeben, weitere kritische Anlagen für kritische Dienstleistungen, die allein in ihrer Zuständigkeit liegen, zu identifizieren. Das Bundesinnenministerium (BMI) erhält die Ermächtigung, die entsprechenden Kriterien und Verfahren per Rechtsverordnung festzulegen, die der Zustimmung des Bundesrates bedarf.
In der KRITIS-Resilienzstrategie sollen Erwägungen zu Transparenzpflichten für kritische Infrastrukturen berücksichtigt werden. Zudem soll es eine Evaluierung des KRITIS-Dachgesetztes bereits in zwei Jahren und nicht erst in fünf Jahren erfolgen.
Dies alles kann man als „stärkeren Schutz kritischer Infrastrukturen“ feiern, da nunmehr „bundeseinheitliche und sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen festlegt wurden.“
Man kann aber auch nachzählen, wie viele kritische Einrichtungen zum Registrierungsfristende des BSI lediglich den Anmeldungsprozess abgeschlossen haben (durch diesen wichtigen ersten Schritt ist aber noch genau gar nichts besser geschützt), wie heise online das getan hat. Und konstatieren: „… knapp 20.000 fehlen wohl noch.“