Die Sicherstellung der Stabilität und Sicherheit kritischer Infrastrukturen hat in der heutigen Zeit oberste Priorität. Mit der Critical Entities Resilience (CER)–Richtlinie (EU 2022/2557) und der NIS2-Richtlinie (EU 2022/2555) verfolgt die Europäische Union das Ziel, die Resilienz von Betreibern kritischer Infrastrukturen zu stärken. Während die CER-Richtlinie den Schwerpunkt auf physischen Schutz legt, fokussiert sich die NIS2-Richtlinie auf die Cybersicherheit. Die CER-Richtlinie wird in Deutschland durch das KRITIS-Dachgesetz (siehe Referentenentwurf des Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz von Betreibern kritischer Anlagen (bekannt als KRITIS-DachG) umgesetzt. Im Folgenden werden zentrale Themen wie Anforderungen, Risikobewertungen, Maßnahmen, Resilienzpläne, Meldepflichten und Sicherheitsmanagement behandelt. Der Beitrag endet mit einem Vergleich zur NIS2-Richtlinie, einer Übersicht zum Inkrafttreten der CER-Richtlinie, den gestaffelten Fristen des KRITIS-Dachgesetzes für verschiedene Anforderungen und praktischen Empfehlungen für Unternehmen.
Problem, Ziel und Lösung des Gesetzes
Laut des deutschen Referentenentwurfs (Stand 21.12.2023) des KRITIS-DachG hat die CER-Richtlinie (EU 2022/2557) zum Ziel, einen einheitlichen europäischen Rechtsrahmen zur Stärkung der Resilienz kritischer Einrichtungen zu schaffen, indem sie die physische Sicherheit und die Betreiberpflichten über den Schutz der IT-Sicherheit hinaus stärkt (siehe Referentenentwur KRITIS.DachG S. 1). Der Entwurf erklärt, dass die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss (Art. 24 der CER-Richtlinie und Art. 3 des KRITIS-DachG). Ein zentrales Ziel des KRITIS-DachG ist es, die Betreiber in die Lage zu versetzen, Störungen und Krisen zu überstehen und wesentliche Funktionen rasch wiederherzustellen, indem sie sich gegen Naturkatastrophen, menschlich verursachte Störungen und andere Bedrohungen schützen. Der „All-Gefahren-Ansatz“ ist dabei entscheidend und umfasst Maßnahmen gegen sowohl unbeabsichtigte als auch vorsätzliche Bedrohungen (Vgl. Referentenentwurf KRITIS-DachG S. 29). Um dies zu erreichen, sieht der Entwurf sektorenübergreifende Mindestanforderungen an die Betreiber vor.
Betroffene Sektoren gemäß CER-Richtlinie und KRITIS-Dachgesetz
Die CER-Richtlinie (EU 2022/2557) und das KRITIS-Dachgesetz betreffen Betreiber kritischer Infrastrukturen, die wesentliche Dienstleistungen in bestimmten, für die Gesellschaft besonders wichtigen Sektoren erbringen. Eine Anlage gilt als kritisch, wenn sie wesentliche Dienstleistungen erbringt, deren Ausfall zu erheblichen Störungen führen könnte (§ 2 KRITIS-DachG) Die Schwellenwerte, z. B. bei der Versorgung von 500.000 Menschen, bestimmen die Einstufung als kritische Anlage. Gemäß § 4 des KRITIS-DachG sind folgende Sektoren als kritische Infrastruktur (Vgl. auch Anhang I der CER-Richtlinie „Sektoren, Teilsektoren und Kategorien von Einrichtungen“) eingestuft:
- Energie: Betreiber von Strom-, Gas- und Kraftstoffversorgung sowie Wasserstofferzeugung.
- Transport und Verkehr: Luftverkehr, Eisenbahnverkehr, See- und Binnenschifffahrt, Straßenverkehr, Verkehrssteuerungs- und Leitsysteme.
- Finanz- und Versicherungswesen: Banken, bargeldgestützter und kartengestützter Zahlungsverkehr, Versicherungsdienstleistungen.
- Gesundheitswesen: Einrichtungen des Gesundheitswesens, einschließlich der Versorgung mit medizinischen Gütern.
- Trinkwasserversorgung und Abwasserentsorgung: Anlagen zur Versorgung mit Trinkwasser und zur Abwasserentsorgung.
- Ernährung: Versorgung mit Lebensmitteln und Lebensmittelversorgungsketten.
- Informationstechnik und Telekommunikation: Anbieter von Telekommunikationsdiensten, Internetdienstleistern und IT-Dienstleistungen.
- Weltraum: Betrieb von Bodeninfrastrukturen für Satelliten und Weltraumüberwachung.
- Siedlungsabfallentsorgung: Betreiber von Infrastrukturen zur Abfallentsorgung.
- Öffentliche Verwaltung: Einrichtungen, die wesentliche Verwaltungsaufgaben für das Gemeinwesen erfüllen.
Diese Sektoren sind entscheidend für das Funktionieren und die Sicherheit der Gesellschaft und der Wirtschaft. Betreiber, die in mindestens sechs EU-Mitgliedstaaten wesentliche Dienstleistungen erbringen, werden als kritische Einrichtungen von besonderer Bedeutung für Europa eingestuft und unterliegen zusätzlichen Anforderungen (§ 7 KRITIS-DachG).
Anforderungen und Fristen der CER-Richtlinie
Registrierungspflicht (§ 6 des KRITIS-DachG)
Gemäß § 6 müssen Betreiber kritischer Anlagen sich spätestens drei Monate nach Einstufung als Kritisch Anlage beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Dies schließt die Nennung einer Kontaktstelle für Krisenkommunikation mit ein. Diese Registrierung ist zentral für die Koordination zwischen Betreibern und Behörden.
Risikobewertungen und Risikoanalysen (§ 9 des KRITIS-DachG)
Gemäß § 6 Abs. 6 und § 9 des KRITIS-DachG müssen Betreiber kritischer Anlagen innerhalb von neun Monaten (siehe auch Referentenentwurf KRITIS-DachG S. 60) nach der Einstufung als kritische Einrichtung eine umfassende Risikoanalyse durchführen und diese mindestens alle vier Jahre aktualisieren. Gemäß § 8 des KRITIS-DachG führen die zuständigen Ministerien alle vier Jahre nationale Risikoanalysen durch, um potenzielle Gefahren wie Naturkatastrophen und Terrorgefahren für kritische Infrastrukturen zu identifizieren. Diese staatlichen Analysen dienen den Betreibern als Grundlage für ihre eigenen Risikobewertungen, die sie ebenfalls alle vier Jahre gemäß § 9 durchführen müssen (KRITIS-DachG). Wenn z. B. die nationale Risikoanalyse einen Anstieg von Überschwemmungen zeigt, muss ein Betreiber in seiner eigenen Analyse prüfen, ob seine Anlagen betroffen sind, und geeignete Maßnahmen ergreifen. Die Betreiber nutzen also staatliche Analysen, um ihre spezifischen Risiken besser einzuschätzen und zu bewältigen.
Resilienzpläne und Maßnahmen
In § 10 KRITIS-DachG wird gefordert, dass Betreiber kritischer Anlagen innerhalb von zehn Monaten nach der Registrierung Resilienzpläne entwickeln und umsetzen. Diese Pläne müssen Maßnahmen beinhalten, um Vorfälle zu verhindern, die physischen Anlagen zu schützen und auf Krisen adäquat zu reagieren. Zu den vorgeschlagenen Maßnahmen gehören (§ 10. Abs.3 KRITIS-DachG):
- Notfallvorsorge, z. B. Notstromversorgung und alternative Lieferketten.
- Objektschutz, z. B. Zäune, Überwachungssysteme und Zugangskontrollen.
- Krisenmanagement und definierte Notfallprotokolle.
Meldepflichten und Sanktionen
Gemäß § 12 des KRITIS-DachG müssen Vorfälle, die die kritischen Dienstleistungen erheblich stören oder beeinträchtigen könnten, unverzüglich und spätestens innerhalb von 24 Stunden an die Behörden gemeldet werden. Diese Meldestelle wird vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam betrieben. Der Betreiber muss dabei genaue Informationen zur Art und Ursache des Vorfalls bereitstellen.
Verstöße gegen die Meldepflicht oder die Resilienzanforderungen können von den zuständigen Behörden überwacht und sanktioniert werden. Sanktionen können finanzielle Strafen umfassen und werden auf nationaler Ebene durchgesetzt (§ 19 KRITIS-DachG).
Weitere Anforderungen für KRITIS-Unternehmen
- Nachweispflichten (§ 11): Betreiber müssen Nachweise über die Einhaltung der Resilienzmaßnahmen vorlegen und zusätzliche Informationen bereitstellen, wenn diese von den Behörden angefordert werden.
- Unterstützung durch Behörden (§ 13): Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) stellt Leitlinien, Schulungen und Vorlagen bereit, um die Unternehmen zu unterstützen.
- Management Verantwortung: Billigungs-, Überwachungs- und Schulungspflicht (§ 14): Der Geschäftsführer ist für die Resilienzmaßnahmen verantwortlich und führt – durch Ressourcen, Überwachungs- und Schulungspflicht – das Team in diesem Bereich. Sicherheitsüberprüfungen für Schlüsselpersonal sind ebenfalls vorgeschrieben. Geschäftsleiter sind verpflichtet, diese Maßnahmen zu genehmigen und ihre Umsetzung zu überwachen.
- Berichtspflichten (§ 15): Betreiber müssen signifikante Störungen innerhalb von 24 Stunden melden und einen ausführlichen Bericht innerhalb eines Monats einreichen.
- Ermächtigungen (§ 16): Das Bundesministerium des Innern kann Verordnungen erlassen, um die Anforderungen des KRITIS-DachG weiter zu konkretisieren.
Unterschiede zur NIS2-Richtlinie
Während die CER-Richtlinie die physische Sicherheit von kritischen Infrastrukturen in den Vordergrund stellt, fokussiert sich die NIS2-Richtlinie (EU 2022/2555) auf die Cybersicherheit von Netzwerken und Informationssystemen. Die NIS2-Richtlinie fordert u. a.:
- Technische Maßnahmen, um Netzwerke vor Cyberangriffen zu schützen.
- Organisatorische Maßnahmen zur Erhöhung der Cybersicherheitsstandards.
- Eine zeitnahe Meldung von Cybersicherheitsvorfällen.
Beide Richtlinien verlangen von den Unternehmen eine regelmäßige Berichterstattung und die Umsetzung präventiver Maßnahmen, jedoch liegt bei der CER-Richtlinie der Fokus klar auf physischen Bedrohungen.
Inkrafttreten der CER-Richtlinie und Umsetzung durch das KRITIS-Dachgesetz
Die CER-Richtlinie (EU) 2022/2557 ist am 16. Januar 2023 in Kraft getreten, zwanzig Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union gemäß Art. 28 der Richtlinie. Alle Mitgliedstaaten der EU sind verpflichtet, diese Richtlinie bis spätestens 17. Oktober 2024 in nationales Recht umzusetzen und die entsprechenden Vorschriften ab dem 18. Oktober 2024 anzuwenden (Art. 26 der CER-Richtlinie). In Deutschland wird die CER-Richtlinie durch das geplante KRITIS-Dachgesetz bis zum 17. Oktober 2024 in nationales Recht umgesetzt (Art. 3 der KRITIS-DachG). Unabhängig davon, wann das KRITIS-Dachgesetz offiziell verabschiedet wird (da es noch nicht final abgestimmt ist), sollten sich Unternehmen bereits jetzt auf die Anforderungen der CER-Richtlinie vorbereiten und sicherstellen, dass sie diese erfüllen, da die Richtlinie europaweit bindend ist.
Kleiner Exkurs
Sollte eine EU-Richtlinie nicht innerhalb der vorgeschriebenen Frist in nationales Recht umgesetzt werden, kann sie unter bestimmten Bedingungen automatisch unmittelbar auf nationaler Ebene wirksam werden. Wenn eine Richtlinie – wie die CER-Richtlinie (EU 2022/2557) – nicht innerhalb der Frist in nationales Recht umgesetzt wird (in diesem Fall bis zum 17. Oktober 2024), können Bürger oder Unternehmen in Ausnahmefällen die Bestimmungen der Richtlinie vor nationalen Gerichten geltend machen, sofern die Richtlinie spezifische und klare Rechte definiert, die keine weiteren Umsetzungsmaßnahmen erfordern. In solchen Fällen kann die Richtlinie eine „direkte Wirkung“ auf den Mitgliedstaat haben.
Gestaffelte Fristen des KRITIS-Dachgesetzes für verschiedene Anforderungen
Das Inkrafttreten des KRITIS-Dachgesetzes (nach formaler und finaler Abstimmung) erfolgt mit gestaffelten Fristen für verschiedene Anforderungen. Zentrale Vorschriften wie die Registrierungspflicht, Risikobewertungen, Resilienzpläne, Meldepflichten sowie Anforderungen an das Sicherheitsmanagement werden erst ab dem 17. Juli 2026 wirksam (Art. 3 Abs. 2 KRITIS-DachG). Zusätzlich hängen branchenspezifische Resilienzstandards und Sanktionen gemäß § 19 davon ab, ob das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) diese als geeignet anerkennt (Art. 3 Abs. 2 KRITIS-DachG). Langfristige Anpassungen im Zusammenhang mit weiteren nationalen Regelungen treten erst am 1. Januar 2029 in Kraft. Diese gestaffelte Einführung gibt den Unternehmen Zeit, ihre Resilienzmaßnahmen schrittweise umzusetzen.
Fazit
Die CER-Richtlinie und das geplante KRITIS-Dachgesetz schaffen einen umfassenden Rahmen zur Stärkung der Resilienz kritischer Infrastrukturen. Wir haben jedoch nun Ende Oktober erreicht, und das KRITIS-DachG ist in Deutschland immer noch nicht in Kraft getreten. Im Bundestag wurde bislang kein Termin für die Diskussion und Abstimmung festgelegt (Vgl. https://www.bundestag.de/presse/hib/kurzmeldungen-933482). Diese Verzögerung sorgt weiterhin für Unsicherheit, insbesondere bei den betroffenen Unternehmen. Aber auch wenn der finale Entwurf des KRITIS-Dachgesetzes noch nicht formal verabschiedet ist, sollten die betroffenen Unternehmen sich bereits jetzt auf die kommenden Fristen und Anforderungen vorbereiten, um ihre Anlagen vor physischen und digitalen Bedrohungen zu schützen und Sanktionen zu vermeiden. Die Übergangsfristen bieten die Chance, die Sicherheits- und Resilienzmaßnahmen zu überprüfen und zu verstärken. Sobald das KRITIS-Dachgesetz in Kraft tritt, wird es entscheidend sein, die darin festgelegten Fristen und Anforderungen genau einzuhalten.