Neues Gesetz soll Schutz kritischer Infrastrukturen verbessern

Strengere Vorgaben für Energieunternehmen, Flughäfen und andere große Infrastruktur-Einrichtungen sollen Deutschland künftig besser vor Sabotage, Terroranschlägen und den Folgen von Naturkatastrophen schützen. Das Bundeskabinett hat an diesem Mittwoch den Entwurf für das sogenannte Kritis-Dachgesetz beschlossen. Dieser sieht einheitliche Regeln zum Schutz der sogenannten kritischen Infrastruktur vor.

Die Betreiber kritischer Anlagen sind demnach unter anderem verpflichtet, „einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten“. Außerdem müssen sie Vorfälle abwehren und deren negative Auswirkungen begrenzen. Wie diese Auswirkungen im konkreten Fall aussehen können, hat etwa der großflächige Stromausfall in Teilen Berlins nach einem Brandanschlag diese Woche gezeigt.

Meldepflicht und Bußgelder

Ebenfalls sollen die Betreiber künftig verpflichtet werden, Vorfälle auf einem Onlineportal des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie des Bundesamtes für Sicherheit in der Informationstechnik zu melden. Dieses Störungsmonitoring soll helfen, Schwachstellen zu entdecken und Lücken zu schließen.

Wenn sich Betreiber nicht an die Vorgaben des neuen Gesetzes halten, sollen sie mit Bußgeldern rechnen müssen. Der Gesetzentwurf schreibt ihnen unter anderem eine Registrierung sowie die Erarbeitung von Plänen zur Erhöhung der Widerstandsfähigkeit vor.

Nur große Betreiber betroffen

Zur kritischen Infrastruktur im Sinne des Gesetzes zählen zehn Sektoren: Energie, Transport und Verkehr, Finanzwesen, Sozialversicherung, Gesundheit, Ernährung, Wasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation sowie Weltraum. Es zählen Einrichtungen, die für die Gesamtversorgung in Deutschland wichtig sind und mehr als 500.000 Menschen versorgen.

Zudem werden gegenseitige Abhängigkeiten berücksichtigt – beispielsweise sind Transportwege auch für die Versorgung mit Nahrungsmitteln essenziell. Mit dem neuen Gesetz sollen Betreiber erstmals sektorenübergreifend Vorgaben im Hinblick auf eine Stärkung der Resilienz dieser Infrastrukturen erhalten.

Ein „zahnloser Tiger“?

„Mit dem Kritis-Dachgesetz machen wir Deutschland widerstandsfähiger gegen Krisen und Angriffe“, sagt Bundesinnenminister Alexander Dobrindt (CSU). Mit einheitlichen Mindeststandards, Risikoanalysen und dem Störungsmonitoring würden die Abwehrfähigkeit und Resilienz der Einrichtungen der kritischen Infrastruktur erhöht.

Deutlichen Nachbesserungsbedarf sehen hingegen die Experten von der unabhängigen Arbeitsgruppe Kritische Infrastrukturen (AG Kritis). „Mit Bußgeldern von maximal 500.000 Euro ist das Kritis-Dachgesetz ein zahnloser Tiger. Für viele Betreiber ist es deutlich billiger, Bußgelder zu zahlen, als in echte Resilienz zu investieren“, erklärt Manuel „HonkHase“ Atug, Gründer und Sprecher der AG Kritis. Auch die Herausnahme großer Teile der Bundes- und der kompletten Landesverwaltung aus dem Kritis-Dachgesetz sieht die AG Kritis als „unverantwortlich“.

Nachbesserungen bei NIS2 gefordert

Zu dem Gesetzesvorhaben gab es schon zu Zeiten der Ampel-Regierung einen Kabinettsbeschluss. Der scheiterte Anfang des Jahres genauso wie die Umsetzung der NIS2-Richtlinie für Cybersicherheit am Auseinanderbrechen der Koalition von SPD, Grünen und FDP.

Über den neuen Entwurf für die Umsetzung von NIS2 in deutsches Recht, der bereits das Kabinett passiert hat, soll an diesem Donnerstag erstmals im Bundestag beraten werden. Der Bundesverband der Energie- und Wasserwirtschaft und der Verband kommunaler Unternehmen sehen in einigen Punkten erheblichen Verbesserungsbedarf. In einem gemeinsamen Positionspapier fordern sie unter anderem, den Unternehmen „Blacklists“ nicht vertrauenswürdiger oder „Whitelists“ von Herstellern, die als vertrauenswürdig gelten, an die Hand zu geben – anstatt sie zu Einzelmeldungen zu verpflichten.

Der Internetwirtschaftsverband Eco wiederum bemängelt, dass „zentrale Fragen“ offen bleiben, wie die geplanten Ausnahmen für Unternehmen, deren kritische Rolle „vernachlässigbar“ ist. Auch bei der Frage, welche öffentlichen Stellen am Ende tatsächlich unter die NIS2-Umsetzung fallen, werden noch Debatten erwartet.

(axk)