Kritische Infrastrukturen
Stellungnahme zum zweiten Referentenentwurf des Kritis-Dachgesetzes eingereicht

Das BMI hat seinen zweiten offiziellen Referentenentwurf zum Kritis-Dachgesetz im Dezember 2023 veröffentlicht. Der VKU hat seine Stellungnahme erarbeitet und fristgerecht eingereicht.

30.01.24

©

Alexey Brin-stock.adobe.com.

 

Das Bundesministerium des Innern und für Heimat (BMI) am 22.12.2023 den zweiten offiziellen Referentenentwurf zum Kritis-Dachgesetz (Kritis-DachG) veröffentlicht und eine Frist zur Stellungnahme bis zum 24.01.2024 eingeräumt. Der VKU hat zu diesem Entwurf fristgerecht seine ausführliche Stellungnahme eingereicht.

Positive Aspekte des Gesetzentwurfs

Im Grundsatz geht der Gesetzentwurf in die richtige Richtung. Weiterhin werden nur die Betreiber der kritischen Anlagen adressiert und nicht wie durch das NIS 2-Umsetzungsgesetz zusätzlich die Betreiber der (besonders) kritischen Einrichtungen. Ferner ist weiterhin erfreulich, dass Regelungen getroffen werden, damit bestehende Dokumente und Maßnahmen z.B. aus dem Cybersicherheitsbereich auch im Rahmen des Kritis-DachG anerkannt werden können. Die Meldungen sollen weiterhin vereinheitlicht werden, was einer ausdrücklichen Forderung des VKU entspricht („Ein Vorfall – eine Meldung!“). 

Anpassungsbedarf am Gesetz

Trotz dieser positiven Aspekte ist weiterhin noch deutlicher Verbesserungs- und Klarstellungsbedarf zu erkennen:

  • Die Betreiber können ihre Pflichten in zeitlicher Hinsicht nicht erfüllen. Insbesondere haben die Betreiber im Moment nur einen Monat Zeit, um nach ihrer Risikoanalyse und Risikobewertung die entsprechenden Resilienzmaßnahmen zu treffen.
  • Die neu eingeführte geteilte Zuständigkeit beim Vollzug zwischen Bund und Ländern wird abgelehnt. Die Unternehmen würden mit einer unübersehbaren Anzahl von Aufsichtsbehörden und Anforderungen konfrontiert und müssten einen enormen bürokratischen Aufwand leisten, um dem gerecht zu werden.
  • Es muss ein Vorrang der branchenspezifischen Sicherheitsstandards festgelegt werden. Nur wenn solche nicht zeitnah von den Branchen entwickelt werden, sollte der Bund die Möglichkeit haben, Resilienzvorgaben vorzuschreiben.
  • Der Betreiber einer kritischen Anlage muss im Grundsatz einheitlich im NIS-2-Umsetzungsgesetz und im KRITIS-DachG definiert werden. Soweit Betreiber von kritischen Anlagen im Einzelfall festgelegt werden, müssen diesen längere Umsetzungsfristen eingeräumt werden.
  • Die Wirtschaft muss bei der Erstellung der nationalen Risikoanalyse und Risikobewertung eng eingebunden werden. Die Ergebnisse müssen den Betreibern zeitnah mitteilt werden.
  • Weiterhin stellt sich grundsätzlich die Frage nach der Verantwortungsteilung zwischen Staat und Gesellschaft. Aus dem Gesetzesentwurf ergibt sich nicht, wo die Verantwortung des Staates für die Sicherheit der Bevölkerung endet und wo die Verantwortung der Betreiber der kritischen Anlagen beginnt. Eng hiermit verbunden ist die Frage, wie die Betreiber die ihnen verbleibenden Pflichten refinanzieren können.
  • Da den Betreibern eine Vielzahl von Pflichten auferlegt werden, die der gesamtgesellschaftlichen Stabilität Deutschlands dienen, müssen die Betreiber im Gegenzug auch besondere Rechte erlangen. Dies muss sich manifestieren, indem der Schutz der kritischen Anlagen als überragendes öffentliches Interesse anerkannt wird. Es ist folglich bei jeder Verwaltungs-entscheidung eine Art „Kritis-Kontrolle“ durchzuführen.

Das Kritis-DachG und NIS 2-Umsetzungsgesetz müssen zukünftig zusammen behandelt werden und insbesondere gemeinsam in das Parlament eingebracht werden. Beide Gesetze sind untrennbar miteinander verwoben, sodass das eine Gesetz ohne das andere Gesetz nicht abschließend bewertet werden kann.