KRITIS-Dachgesetz
Das KRITIS-Dachgesetz reguliert ab 2024 die Resilienz und physische Sicherheit Kritischer Infrastrukturen. Das Gesetz setzt die EU-Direktive EU RCE in Deutschland durch zusätzliche Pflichten für Betreiber kritischer Anlagen um: Meldepflichten, BCM, physische Sicherheit, Personal und Krisenmanagement.
Parallel zum KRITIS-DachG setzt das NIS2-Umsetzungsgesetz die neue EU NIS 2 Direktive für Cybersecurity in Deutschland um. Die neuen Gesetze lösen die bestehende KRITIS-Regulierung in Deutschland mit mehr Betreibern und mehr Pflichten ab. Beide Gesetze sollten eigentlich im Oktober 2024 in Kraft treten – verzögern sich wohl bis 2025.
Die Ausführungen beruhen auf einem Referentenentwurf von November 2024. Dieser wirkt noch nicht ganz abschließend.
Dachgesetz Kritische Infrastrukturen
Mehr Resilienz in KRITIS
Das KRITIS-Dachgesetz wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken. Das Gesetz setzt die EU CER-Richtlinie (EU 2022/2557) um. Es reguliert als neues Gesetz Betreiber kritischer Anlagen mit zusätzlichen KRITIS-Pflichten.
Der aktuelle Referentenentwurf vom KRITIS-DachG enthält folgende Vorgaben:
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) in KRITIS-Sektoren
- Ausschlüsse: Einige Sektoren werden nicht reguliert, u.a. IT, TK, Finanzen und Versicherungen
- Resilienz: Konkrete Vorgaben für Betreiber wie Meldepflichten, Risikomanagement, Krisenmanagement und BCM, Personalsicherheit, physische Sicherheit
- Aufsicht: Die KRITIS-Aufsicht wird um das BBK erweitert, gemeinsam mit dem BSI und teilweiser Einbindung von Landesbehörden
- Sanktionen: Bei Verstößen gibt es Bußgelder, zusätzlich Pflichten der Geschäftsleitung.
- Risiken: Nationale und Betreiber-Risiken der
Wirtschaftsstabilität
spielen eine große Rolle.
Stand der Dinge
Vom KRITIS-Dachgesetz liegt seit November 2024 ein verabschiedeter Regierungsentwurf des Bundeskabinetts vor mit einigen Änderungen.
- Eckpunkte-Papier von Dezember 2022
- Referentenentwurf von Juli 2023
- Referentenentwurf von Dezember 2023
- Referentenentwurf von April 2024
- Referentenentwurf von November 2024
- Regierungsentwurf von November 2024
Das Gesetz sollte im Frühling 2024 verkündet werden, nun wird das Dachgesetz eher nicht vor 2025 in Kraft treten. Weitere Konkretisierungen und Änderungen sind zu erwarten.
Unternehmen
Betreiber kritischer Anlagen
Die betroffenen Unternehmen in Deutschland umfassen Betreiber kritischer Anlagen in KRITIS-Sektoren, die durch NIS2 und KRITIS-Dachgesetz reguliert werden.
| Betreiber | Größe | Sektoren |
|---|---|---|
| Kritische Anlage §2 Nr. 1 |
Anlagen mit Schwellenwerten |
Energie, Transport und Verkehr, Finanzwesen^, Sozialversicherung, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation^, Weltraum, Siedlungsabfallentsorgung §4 (1) |
| Bund §2 Nr. 10 |
Einrichtungen | Bundesverwaltung: Bundesministerien, Bundeskanzleramt §7 |
Betroffen vom Gesetz sind Betreiber kritischer Anlagen, wenn diese (in der Regel) über 500 Tsd. Personen mit ihren Anlagen versorgen.
Das KRITIS-Dachgesetz weist darauf hin, dass auch Einrichtungen, die keine kritischen Anlagen betreiben, von erheblicher Bedeutung
sein können, wie z.B. Betreuuungsangebote.
Bund und Länder können hier weitere Vorgaben machen.
Ebenso erfüllen Sicherheitsbehörden des Bundes ihre Aufgaben im Rahmen der gesetzlichen Vorschriften.
§6
Sektoren
Das KRITIS-Dachgesetz definiert die regulierten Sektoren von kritischen Anlagen, kritische Dienstleistungen und betroffene Bundesverwaltung.
| Sektor §4 (1) |
Kritische Dienstleistung §3 (3) |
Zuständig §3 (2) |
Kritische Anlagen §16 (1) |
|---|---|---|---|
| Energie | Stromversorgung Erdgasversorgung Wasserstoffversorgung Mineralölversorgung |
BNetzA BNetzA BNetzA BMWK |
tbd |
| Transport Verkehr |
Eisenbahnverkehr See- und Binnenschifffahrt Wasserstand/Gezeiten Straßenverkehr Wettervorhersage Luftverkehr |
EBA GDWS BSH FBA DWD unklar† |
tbd |
| Finanzwesen^ | DORA-regulierte Dienstleistungen | BaFin | tbd |
| Sozialversicherung Grundsicherung |
Leistungen Sozialversicherung Arbeitsförderung Grundsicherung |
nach SGB oder BA |
tbd |
| Gesundheitswesen | fehlt noch | Länder | tbd |
| Wasser | fehlt noch | Länder | tbd |
| Ernährung | fehlt noch | Länder | tbd |
| IT und TK^ | Sprach- und Datenübertragung Datenspeicherung/verarbeitung öffentliche TK-Netze/Dienste |
BSI BSI BNetzA |
tbd |
| Weltraum | Betrieb Bodeninfrastrukturen | BAFA | tbd |
| Entsorgung | fehlt noch | Länder | tbd |
| Alle Sektoren | Restliche Dienstleistungen | durch BMI Landesbehörden |
tbd |
| Bundesverwaltung §7 | Einrichtungen Bund | BMI | tbd |
Im Übrigen, wenn nicht genauer spezifiziert, sind Bundesbehörden zuständig, die das BMI festlegt, oder Landesbehörden sind zuständig. §3 (2) Nr. 13
Für kritische Dienstleistungen, für die keine Bundesbehörde (in §3 (2) Nr. 1-12) genannt ist, werden Länder mit bestimmten Landesbehörden zuständig. §3 (2) Nr. 6
Anlagen
Die kritischen Anlagen müssen per Verordnung vom Bund festgelegt werden, inklusive Kategorien, Schwellenwerten, versorgten Einwohner und Stichtagen/Fristen. §5 (1)(2)
Das Innenministerium und BBK dürfen Anlagen und Betreiber im Einzelfall auch von sich aus bestimmen, wenn diese erheblich sind, aber nicht unter die KRITIS-Verordnung fallen. §5 (3)(4)
Dienstleistungen
Das Gesetz unterscheidet zwischen den o.g. kritischen Dienstleistungen, die für Deutschland definiert sind, und den wesentlichen Diensten, die in EU RCE für EU-Betreiber definiert sind, die Dienste in EU-Mitgliedsstaaten erbringen. in §9
Ausschlüsse
Es gibt diverse Ausnahmen und Sonderregeln für Unternehmen im KRITIS-Dachgesetz.
| Betreiber kritischer Anlagen | Fundort | Ausschluss von |
|---|---|---|
| Finanzunternehmen (DORA und KrWG) Informationstechnik und Kommunikation Entsorgung Sozialversicherung |
§4 (2) | Austausch EU §9, §10 Risikoanalyse §12 Resilienzpflichten §13 Nachweise §16 Meldewesen §18 Beratung §19 (2) Geschäftsleitung §20 Unterlagen BBK §21 (6) Bußgelder §24 |
| Einrichtungen Bundesverwaltung ohne Auswärtiges ohne Verteidigung |
§7 (1) | alles ausgeschlossen, bis auf: Registrierung §8 (1) und §8 (6-7) Risikoanalyse §12 Resilienzpflichten §13 (1-4) Meldewesen §18 (ohne 8) |
| Energie Strom, Erdgas, Wasserstoff |
§16 (7) | §16 (1)-(6) Nachweispflichten* |
| Bundesverwaltung tätig in: nationale Sicherheit, öffentliche Sicherheit, Verteidigung, Strafverfolgung |
§22 (2) | Per Ausnahmebescheid Risikoanalyse §12 Resilienzpflichten §13 Meldewesen §18 |
| Bundesverwaltung, ausschließlich tätig in: nationale Sicherheit, öffentliche Sicherheit, Verteidigung, Strafverfolgung |
§22 (3) | Per Ausnahmebescheid alles |
Resilienz
Pflichten von Betreibern
| Pflicht | Betreiber kritischer Anlagen |
|---|---|
| Geltungsbereich | Anlage/Einrichtung* |
| Registrierung §8 | ✓ |
| Risikoanalysen §12 | ✓ |
| Resilienz-Maßnahmen §13 | ✓ |
| Resilienzplan §13 (4) | ✓ |
| Nachweise §16 | ✓ |
| Meldepflicht §18 | ✓ |
| Geschäftsleitung §20 | ✓ |
Risikoanalyse
Betreiber müssen mindestens alle vier Jahre eine Risikoanalyse und Bewertung durchführen, die auf nationalen Risikoanalysen oder anderen vertrauenswürdigen Quellen basieren. §12 (1). Dabei müssen berücksichtigt werden:
- Risiken der Nationalen Risikoanalysen §11
- Risiken der Verfügbarkeit der kritischen Dienstleistung durch Abhängigkeit von anderen Betreibern und anderen Sektoren
- Risiken durch Abhängigkeit anderer Betreibern und anderen Sektoren
- Besonderheiten maritimer Infrastruktur
Resilienzplan
Betreiber müssen ihre §13 Resilienz-Maßnahmen in einem Resilienzplan dokumentieren, in dem die Erwägungen der Maßnahmen dargelegt und Bezug zur Risikoanalyse und Bewertung genommen wird. Der Plan ist bei Bedarf und nach Risikoanalysen zu aktualisieren. §13 (4)
Maßnahmen
Betreiber müssen Maßnahmen für ihre Resilienz treffen, um Vorfälle zu verhinden, einen angemessenen physischen Schutz der Anlagen und zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten, auf Vorfälle reagieren und diese abzuwehren. §13 (1)
Dazu müssen Betreiber verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen treffen, basierend auf nationalen Risikobewertungen und Analysen, und den Stand der Technik einhalten. §13 (2)
Liste an Maßnahmen
Zu den geforderten Maßnahmen nach KRITIS-Dachgesetz können folgende zählen: §13 (3)
- Auftreten von Vorfällen verhindern
- Notfallvorsorge
- Angemessener physischer Schutz der Liegenschaften und kritischen Anlagen
- Bauliche und technischer Sicherung, Objektschutz, Abgrenzung
- Überwachung der Umgebung
- Detektionsgeräte
- Zugangskontrollen
- Reaktion und Abwehr von Vorfällen sowie Folgenbegrenzung
- Risiko-Management
- Krisen-Management und Protokolle
- Abläufe im Alarmfall (Krisenreaktionspläne)
- Wiederherstellung der kritischen Dienstleistung nach Vorfällen
- Aufrechterhaltung des Betriebs (Notstrom etc.)
- Ermittlung alternativer Lieferketten
- Sicherheitsmanagement für eigenes und externes Personal
- Schulungen, Übungen, Sensibilisierung für Personal
- zu Resilienzthemen in Nr. 1 bis 5
Geltungsbereich
Der Geltungsbereich vom KRITIS-Dachgesetz bei Betreibern ist etwas unklar. Die Identifikation als kritischer Betreiber und damit Betroffenheit im KRITIS-Dachgesetz leitet sich aus kritischen Anlagen (KRITIS) und Dienstleistungen zur Versorgung (kDL) ab. Der Geltungsbereich für Analysen und Maßnahmen wird aber bisher nicht explizit definiert.
- Denkbar ist, analog zu NIS2, ein umfassender Geltungsbereich mit
sämtlichen IT-Systemen, Komponenten und Prozessen, die für die Erbringung der Dienste genutzt werden.
- Alternativ ist denkbar, dass sich Maßnahmen auf
IT-Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind
, beschränken, d.h. auf die KRITIS-Anlage und ihre Infrastruktur und Prozesse. - Hier ist noch Klärungsbedarf in den Gesetzesentwürfen und vor allem der Begründung.
Weitere Vorgaben
Das BMI kann inhaltliche und methodische Vorgaben für die nationalen Risikoanalysen festlegen. §11 (8) Das BBK stellt bis 2026 Vorlagen für Resilienzpläne zur Verfügung. §13 (5)
Das BMI wird zur Konkretisierung der §13 (1) Maßnahmen sektorenübergreifende Mindestanforderungen per Rechtsverordnung veröffentlichen. §14 (1)
Bundesministerien können Rechtsverordnungen zur Konkretisierung der Maßnahmen erlassen,
Landesministerien ebenfalls, solange es keine Vorgaben vom BBK gibt.
§14 (3)(4)
Betreiber und Branchenverbände können branchenspezifische Resilienzstandards
zur Umsetzung vorschlagen.
Das BBK stellt im Einvernehmen mit dem BSI dann die Eignung fest.
§14 (2)
Die Europäische Kommission kann ebenfalls mit Durchführungsrechtakten die Maßnahmen konkretisieren. Diese würden den deutschen §13 und 14 vorgehen. §15
Informationen von Betreibern
Identifikation und Registrierung
Unternehmen müssen sich selbst als Betreiber kritischer Anlagen identifizieren und innerhalb von drei Monaten beim Bund registrieren. Betreiber kritischer Anlagen müssen nach eigener Identifikation mit der kritischen Anlage registrieren. §8 (1)
- Name, Rechtsform, Handelsregister
- Kontaktdaten, Mail, IP-Adressbereiche, Telefonnummern
- Sektor, Branche und kritische Dienstleistung
- Kritische Anlage, Versorgungsgrad, Standort, Versorgungsgebiet
- EU-Staaten, in denen wesentliche Dienste erbracht werden
- Kontaktstelle für Behörden
Betreibern wird zwei Wochen nach Registrierung die federführende Aufsichtsbehörde mitgeteilt. §8 (5) Änderungen an der Anlage und Registrierung sind unverzüglich (innerhalb von zwei Wochen) an das BBK zu melden, Änderungen am Versorgungsgrad (Schwellenwerte) einmal jährlich. §8 (6)
Pflichten nach Registrierung
Die Pflichten nach dem Dachgesetz für Betreiber beginnen nach der Registrierung: §8 (7)
| Pflicht | Ort | Frist |
|---|---|---|
| Risikoanalyse | §12 | 9 Monate |
| Resilienzmaßnahmen | §13 | 10 Monate |
| Meldewesen | §18 | 10 Monate |
| Pflichten Geschäftsleitung | §20 | 10 Monate |
Registrierung von Amts wegen
Das BBK kann Betreiber kritischer Anlagen von sich aus registrieren, falls Betreiber ihrer Pflicht nicht nachkommen, und dazu auch Aufzeichnungen oder Unterlagen einfordern.
§8 (2)(3)
Ebenso kann das BSI und zuständige Behörden dem BBK Vorschläge
zur Registrierung von Anlagen machen.
§8 (4)
Das Innenministerium wiederum kann Betreiber von sich aus identifizieren, wenn kritische Betreiber durch die Logik der Anlagen/Schwellenwerte nicht erfasst werden, und dabei die nationalen Risikoanalysen und Kriterien wie Nutzerzahlen, Abhängigkeiten, Auswirkungen, Geographie, Marktanteil berücksichtigen. §5 (3)(4)
Besondere Bedeutung für Europa
Bestimmte Betreiber sind kritische Einrichtungen von besonderer Bedeutung für Europa, wenn sie in mindestens sechs EU-Staaten den gleichen wesentlichen Dienst erbringen oder der Betreiber eine Meldung von der europäischen Kommission durch das BBK erhalten hat. §9
Die Europäische Kommission informiert das Innenministerium über diese Entscheidungen, das BBK leitet dies an betroffene Betreiber weiter. Das BBK ist dazu in regelmäßigem Austausch mit anderen Behörden in der EU für übergreifende kritische Anlagen und Betreiber. §9 (2)(3)(4)
Das Innenministerium kann bei der Europäischen Kommission eine Beratungsmission für diese Anlagen beantragen und übermittelt Risikobewertungen und Resilienzmaßnahmen der Betreiber sowie Aufsichts- und Durchsetzungsmaßnahmen. §10 (4)(5)
Nachweise und Prüfungen
Betreiber müssen keine regelmäßigen Nachweisprüfungen für das KRITIS-Dachgesetz durchführen. Das BBK oder die zuständige Behörde können beim BSI Einsicht in die relevanten Teile des §39 KRITIS-Nachweises nach NIS2 verlangen. §16 (1)
Reichen dem BBK die angefragten Informationen als Teil des §39 NIS2-Nachweises nicht aus, können BBK oder andere zuständige Behörden weitere Nachweise von den Betreibern zur Umsetzung von §10 (1) Dachgesetz verlangen, ausgesucht nach einem risikobasierten Ansatz. §16 (2) Der Nachweis kann durch Betreiber durch Audits und Prüfungen erbracht werden. §16 (3)
Die zuständige Behörde kann von sich aus die Umsetzung der Anforderungen bei Betreibern überprüfen. §16 (4) Die Behörde kann weiterhin Dokumentationen der Überprüfung, Plan zur Beseitigung, Behebung der Mängel und Nachweise dafür verlangen. §16 (5)
Ausnahmen
Die Nachweispflichten §16 (1)-(6) gelten nicht für Betreiber aus dem Energiesektor im Bereich Strom, Gas und Wasserstoff – die Pflichten werden stattdessen im EnWG geregelt. §16 (7)
Vorgaben
Das BBK wird Vorgaben zur Art und Durchführung der Audits, Nachweisen und fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle festlegen. §16 (8)
Gleichwertige Nachweise
Für den Nachweis der Einhaltung der Resilienzpflichten können Betreiber Risikoanalysen, Bewertungen, Dokumente und Maßnahmen einreichen, die sie aufgrund anderer rechtlicher Verpflichtungen oder freiwillig umgesetzt haben.
Die Feststellungen anderer Behörden dazu sind zugunsten des Betreibers bindend.
§17 (1)(2)
Das BMI kann per Rechtsverordnung Feststellungen zur Gleichwertigkeit öffentlich-rechtlicher Vorschriften treffen und BSI und BBK dafür ermächtigen. Die Verpflichtungen gelten dann als Eingehalten. §17 (3)(4)
Meldewesen
Betreiber kritischer Anlagen müssen Vorfälle, unverzüglich, innerhalb von 24h, an die gemeinsame Meldestelle nach §32 BSIG (NIS-2) von BSI und BBK melden. Spätestens einen Monat muss ein ausführlicher Bericht übermittelt werden. §18 (1)
Das BBK kann Betreibern sachdienliche Folgeinformationen liefern §18 (6)
Inhalte
Die Meldungen müssen Informationen zur Art, Ursache, Folgen des Vorfalls, Anzahl und Anteil betroffener Nutzer, Dauer der Störung, betroffenem geographischen Gebiet und grenzüberschreitende Auswirkungen enthalten. §18 (2)
Das BBK legt Einzelheiten vom Meldeverfahren und den Inhalten im Einvernehmen mit dem BSI fest, und veröffentlicht dies auf der BBK-Webseite. §18 (3)
Staat
Das BBK meldet Vorfälle, die Auswirkungen auf kritische Einrichtungen und wesentliche Dienste nach EU RCE in EU-Staaten haben, an die dortigen Aufsichtsbehörden. Sind sechs oder mehr Mitgliedsstaaten betroffen, unterrichtet das BBK die Europäische Kommmission. §18 (4)(5)
Auswertungen zu Meldungen teils das BBK mit zuständigen Behörden, bei öffentlichem Interesse kann das BBK auch die Öffentlichkeit informieren. §18 (8)(9)
Staat und Aufsicht
Aufsicht
Die Zuständigkeiten für das KRITIS-Dachgesetz und regulierte Betreiber hat sich weiter aufgeteilt: Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist im Bund die nationale zuständige Behörde Art. 9 RCE/CER und unterstützt Betreiber kritischer Anlagen. §3 (1)
Für bestimmte Sektoren und Dienstleistungen gibt es zuständige Behörden: §3 (2)(3)(6)
| Behörde | Sektor |
|---|---|
| BNetzA | Energie: Strom, Erdgas, Wasserstoff |
| BMWK | Energie: Mineralöl |
| EBA, BSH, FBA, DWD, GDWS | Transport und Verkehr* |
| BaFin | Finanz (DORA)* |
| BA/SGB | Sozialversicherung |
| BSI | IT und TK (Digitale Infrastruktur) |
| BMI | Bundesverwaltung |
| BBK o.a. | Restliche Sektoren/Dienstleistungen |
| BAFA | Weltraum |
| Länder | Gesundheit |
| Länder | Wasser |
| Länder | Ernährung |
| Länder | Entsorgung |
Überwachung
Das BBK hat bei Betreibern Aufsichts- und Durchsetzungsrechte für Resilienz. §16
- Überprüfung der Einhaltung von Anforderungen, ggf. durch Dritte, auch durch Betreten der Räumlichkeiten und Einsichtnahme von Unterlagen §16 (4)
- Mängelbeseitigung nach Audits §16 (5)
- Einsichtnahme in Nachweise §16 (1-3)
EU
Im Dachgesetz wird die Regulierung von Resilienz neben der nationalen Behörde BBK in einen europäischen Rahmen der EU eingebettet, zum Austausch von Informationen und Vorfällen, zur Vernetzung zwischen Aufsichtsbehörden und für transnationale Vorfälle und Auswirkungen.
Das BMI übermittelt an die Europäische Kommission regelmäßig nationale Informationen: §21
- Ergebnisse und Risiken der nationalen Risikoanalysen drei Monate nach Durchführung
- Kritische Anlagen und Dienstleistungen nach Ermittlung unverzüglich, dann alle vier Jahre
- Schwellenwerte zur Spezifizierung der Kriterien zur Ermittlung
- Bericht über Meldungen und Maßnahmen zum Juli 2028 und dann alle zwei Jahre
Staatliche Aufgaben
Resilienzstrategie
Die Bundesregierung soll bis zum 17. Januar 2026 eine nationale Resilienzstrategie (Strategie zur Verbesserung der Resilienz kritischer Infrastrukturen) verabschieden. §1
Nationale Risikoanalysen
Die Bundesministerien und zuständigen Landesministerien führen für die kritischen Dienstleistungen alle vier Jahre und erstmalig bis Januar 2026 nationale Risikoanalysen durch, die verschiedene Risiken betrachten: §11
- Naturbedingte, technische oder menschliche Risiken
- Wesentliche Risiken der Wirtschaft im Binnenmarkt und der Bevölkerung durch Abhängigkeiten, welche die Handlungsfähigkeit der Wirtschaft bedrohen
- Wesentliche Risiken für die
personelle Arbeitsfähigkeit
mit Einfluss auf Bevölkerung und Binnenmarkt - Allgemeine Risikobewertungen der EU
- Sonstige Risikobewertungen durch EU-Rechtsakte
- Gemeldete Vorfälle
Das BMI macht dafür Vorgaben, koordiniert die Durchführung, wertet die Analysen aus und übermittelt durch das BBK Betreibern wesentliche Auswertungen §11 (2)-(5)
Unterstützung und Beratung
Das BBK wird Betreibern Vorlagen, Muster und Leitlinien zur Verfügung stellen und Beratung, Schulungen und Übungen anbieten. §19 (1)
Das BMI kann im Einvernehmen mit dem jeweiligen Ministerium eine Beratungsmission bei der Europäischen Kommission beantragen, die mit Zustimmung des betroffenen Betreibers die Maßnahmen nach §12, 13 und 18 bewertet. §19 (2)
Informationen an die EU
Das BMI übermittelt Informationen an die Europäische Kommission: §21 (1)
- Nationale Risikoanalysen füur Sektoren und Teilsektoren – nach drei Monaten
- Liste an wesentlichen Diensten, Anzahl an Betreibern und Schwellenwerte – nach Ermittlung der Betreiber und alle vier Jahre
Das BMI übermittelt einen Bericht an die Europäische Kommission zu Meldungen und Maßnahmen. Der Bericht wird zeitgleich an Bundestag und Bundesregierung übermittelt. §21 (2)(4) Die zuständigen Behörden übermitteln dem BBK die dazu notwendigen Informationen. §21 (5)(6)
Sanktionen und Bußgelder
Im KRITIS-Dachgesetz gibt es eigene Bußgeldvorschriften, diese sind begrenzter als NIS2. §24
Tatbestände
Folgende Tatbestände bei Betreibern sind bei Vorsatz Ordnungswidrigkeiten: §24 (1)
| Bußgeld | Ort | Verstoß |
|---|---|---|
| bis 50 Tsd. EUR |
§24 (1) Nr. 1 §24 (1) Nr. 4 |
Angaben bei Registrierung nicht, nicht richtig, nicht vollständig, nicht korrekt, nicht rechtzeitig übermittelt:
|
| bis 100 Tsd. EUR | §24 (1) Nr. 2 b) | Anordnung zuwiderhandeln:
|
| bis 200 Tsd. EUR | §24 (1) Nr. 3 | Ergebnisse nicht übermitteln
|
| bis 500 Tsd. EUR | §24 (1) Nr. 2 a) | Anordnung zuwiderhandeln:
|
Geschäftsleitung
Geschäftsleiter von Betreibern müssen die Resilienzmaßnahmen nach §13 (1) umsetzen und die Umsetzung durch geeignete Organisationsmaßnahmen sicherstellen. §20 (1)
Geschäftsleitungen haften ihrer Einrichtung bei Pflichtverletzungen nach dem Gesellschaftsrecht oder nach dem KRITIS-Dachgesetz, wenn die gesellschaftsrechtlichen Bestimmungen keine entsprechenden Haftungsregeln enthalten. §20 (2)
Roadmap
Gesetzgebung
Das KRITIS-Dachgesetz sollte 2024 Kraft treten – wurde am 6. November 2024 vom Bundeskabinett verabschiedet.
| Version | Status | Datum | Akteur |
|---|---|---|---|
| RCE | EU 2022/2557 Final | Dez 2022 | Amtsblatt |
| KRITIS-Dachgesetz | Eckpunkte-Papier | Dez 2022 | Innenministerium |
| KRITIS-Dachgesetz | Referentenentwurf | Jul 2023 | Innenministerium |
| KRITIS-Dachgesetz | 2. Referentenentwurf | Dez 2023 | Innenministerium |
| KRITIS-Dachgesetz | Referentenentwurf | Apr 2024 | Innenministerium |
| Rechtsverordnung(en) | fehlt noch | bis Okt 24 | Innenministerium |
| KRITIS-Dachgesetz | Inkrafttreten EU plan | Okt 2024 | Bundestag |
| KRITIS-Dachgesetz | Referentenentwurf | Nov 2024 | Innenministerium |
| KRITIS-Dachgesetz | Regierungsentwurf | Nov 2024 | Innenministerium |
Das KRITIS-Dachgesetz basiert auf der EU RCE-Direktive, die seit 2020 bekannt und 2022 verabschiedet wurde. Das Dachgesetz soll bis spätestens 2029 vom BMI wissenschaftlich evaluiert werden. §25
Auswirkungen
Aus der Umsetzung des KRITIS-Dachgesetzes ergeben sich Aufwände für die Wirtschaft. Der Gesetzgeber geht von 1.300 Betreibern kritischer Anlagen aus, die Nachholbedarf in physischer Resilienz haben. Begründung A. VI. 3
Die Aufwände für die Wirtschaft hängen laut Gesetzgeber noch von den konkreten Rechtsverordnungen ab, die Dienstleistungen und Anlagen definieren.
Im Entwurf von November 2024 wird ein einmaliger Belastungsrichtwert
von 1,7 Mrd. EUR und ein jährlicher Belastungsrichtwert
von 500 Mio. EUR für die Wirtschaft geschätzt, ohne weitere Details.
Bundesverwaltung
Für die öffentliche Verwaltung und Bund und Ländern kalkulierten frühere Entwürfe die Aufwände noch unvollständig und seit November 2024 gar nicht mehr.
Fristen
Das KRITIS-Dachgesetz tritt am Tag nach der Verkündung in Kraft (ursprünglich geplant und von der EU gefordert: Oktober 2024). Einige der (möglichen) verbindlichen Maßnahmen treten noch später in Kraft: Artikel 4
| KRITIS-DachG | Pflicht | In Kraft |
|---|---|---|
| §14 (3-5) | sektorspezifische Mindestvorgaben durch Rechtsverordnung |
1. Januar 2030 (?) |
Umsetzung bei Betreibern
Im Gesetz sind nach der eigenen Registrierung frühestens im Juli 2026 Fristen von neun bis zehn Monaten für Betreiber zur Umsetzung der Resilienz-Anforderungen vorgesehen. §8 (7)
Ergänzende Rechtsverordnung
Verschiedene Definitionen aus dem KRITIS-Dachgesetz müssen noch durch eine oder mehrere Verordnungen §4 (3) und §5 (1) durch das Innenministerium konkretisiert werden:
- Kritische Dienstleistungen der Sektoren §4 (3)
- Kategorien von Anlagen in diesen Sektoren
- Versorgungsgrad und Schwellenwerte für kritische Dienstleistung der Sektoren
- Stichtage zur Bestimmung
- Kategorien von Anlagen, die unabhängig von Schwellenwerten kritisch werden
Ein Entwurf der Rechtsverordnung ist noch nicht verfügbar.
Auswirkung auf weitere Gesetze
Energiewirtschaftsgesetz
Das EnWG wird durch das KRITIS-Dachgesetz angepasst, der Entwurf enthält die Änderungen in Artikel 2. Dort ist ein neuer §5d EnWG-E vorgesehen, der den Nachweis der Resilienz-Pflichten für Betreiber Kritischer Anlagen im Energiesektor definiert. Art. 2
Der Energiesektor fällt zwar unter das KRITIS-Dachgesetz, einige Branchen sind jedoch von einigen Pflichten ausgenommen (Strom, Gas, Wasserstoff). Für diese setzt das angepasste EnWG die Nachweispflichten in §5d um:
- Betreiber kritischer Anlagen müssen die Pflichten nach §13 dokumentieren und der BNetzA nachweisen, möglicherweise durch ein Zertifikat auf Grundlage eines Audits, was die BNetzA verlangen kann
- BNetzA IT-Sicherheitskatalog(e) für die Bestimmung von Resilienznachweisen, Zertifizierungsverfahren und -stellen, Mängeln und Einhaltung von §13 Pflichten, im Einvernehmen mit BBK und BSI
- Die BNetzA kann bei einzelnen Betreiber nach Nachweisen, Risikoanalysen, etc. fragen, mit einem risikoorientierten Ansatz
- Die BNetzA kann die Einhaltung bei Betreibern von sich aus überprüfen, die dazu Zugang zu Rämen, Systemen etc. gestatten müssen
- Die BNetzA kann einen Plan zur Mängelbeseitigung verlangen
Änderungen der Referentenentwürfe
Es gab mehrere publik gewordene öffentliche Referentenentwürfe . Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand:
Änderungen im November 2024 zu April 2024
- KRITIS-Sektoren mal wieder umbenannt
- KRITIS-Sektor Versicherungen entfernt, nur Sozialversicherungen bleiben übrig
- Zuständigkeit von Bundesbehörden angepasst
- Kürzung der Maßnahmen, teilweise zu Personalsicherheit
- Änderungen der Nachweise: BBK prüft nicht nur bei erheblichen Zweifeln, sondern risikobasiert
- Anpassung der Haftungsregeln für Geschäftsleitungen
- Anpassung der Bußgelder (Reduktion auf 500 Tsd.) und weniger Tatbestände
- Viele Formalien und Textanpassungen
Änderungen im April 2024 zu Dezember 2023
- Einige Pflichten sind (noch) unverbindlicher
- Deutliche Aufteilung der zuständigen Behörden
- Viele textuelle Änderungen und Präzisierungen
- Diverse Fehler
- Änderungen am EnWG sind enthalten
- Zuständigkeiten bei anderen Ressorts (Aufsichtsbehörden) und den Ländern
Änderungen im Dezember 2023 zu Juli 2023
- Betreiber: Die parallele Definition der Einrichtungen (NIS2) wurde entfernt
- Sektoren: Sektoren wurden mit der NIS2-Umsetzung harmonisiert
- Nachweise: Keine reguläre Nachweispflicht mehr für Betreiber.
- Registrierung: Frist zur eigenen Registrierung beim BBK erst nach drei Monaten
- BBK und BSI: Mehr Harmonisierung gemeinsamer Abläufe mit dem BSI
- Staat: Deutliche Einbindung von Landesbehörden
- Kritische Komponenten wurden gestrichen
- Verantwortung für Geschäftsleiter wurde aufgenommen (à la NIS2)
Neuerungen in Juli 2023
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS)
- Sektoren: Die bisherigen KRITIS-Sektoren mit Änderungen, u.a. IT, TK, Finanz, Versicherungen
- Resilienz: Vorgaben zu Krisen/Risiken, BCM, Personalsicherheit, physische Sicherheit
- Aufsicht: Deutsche Aufsicht beim BBK, gemeinsame Lösungen mit dem BSI sind geplant
- Sanktionen: Liste mit Verstößen durch Betreiber, Bußgelder sind noch nicht definiert
- Risiken:
Wirtschaftsstabilität
spielt eine große Rolle für Betreiber, das BBK (und die EU).
Weitere Informationen
Literatur
- Umsetzungsplan der Deutschen Strategie zur Stärkung der Resilienz gegenüber Katastrophen, Bundesministerium des Inneren, 15.07.2024
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Kritische Infrastruktur Gesetzentwurf vor der Sommerpause?, Tagesschau Online, ARD, 25.01.2023
- KRITIS-Dachgesetz: Innenministerin Faeser will kritische Infrastruktur physisch besser schützen, netzpolitik.org, 28.11.2022
- Bundesregierung beschließt Eckpunkte für Gesetz zum Schutz Kritischer Infrastrukturen, Pressemitteilung, Bundesministerium des Innern, 07.12.2022
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Quellen
- Kabinett beschließt Entwurf zum KRITIS-Dachgesetz, 6.11.2024, BMI
- Referentenentwurf KRITIS-Dachgesetz – KRITIS-DachG, o.D., November 2024, BMI
- Referentenentwurf KRITIS-Dachgesetz – KRITIS-DachG November 2024, AG KRITIS
- Referentenentwurf KRITIS-Dachgesetz KRITIS-DachG April 2024, intrapol
- Referentenentwurf des BMI: KRITIS-Dachgesetz – KRITIS-DachG, Innenministerium, letzte Version vom 21.12.2023
- DELEGIERTE VERORDNUNG (EU) 2023/2450 DER KOMMISSION, zur Ergänzung der Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates durch eine Liste wesentlicher Dienste, 25. Juli 2023
- Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz), Bundesministerium des Innern, 17.07.2023
- Eckpunkte für das KRITIS-Dachgesetz, Bundesministerium des Innern, 06.12.2022
- Innenministerin Faeser will Schutzvorschriften für kritische Infrastruktur verschärfen, Handelsblatt 23.11.2022
- Aufnahme Siedlungsabfallentsorgung in BSI-KritisV, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, 12.12.2022
- Schutz kritischer Infrastrukturen: Regierung bringt "Dachgesetz" auf den Weg, Heise Online 24.11.2022