KRITIS-Dachgesetz

Im Dezember 2022 wurde das Eckpunktepapier zum KRITIS-Dachgesetz beschlossen. Hiermit soll der Schutz Kritischer Infrastrukturen (KRITIS) in Deutschland per Bundesgesetz geregelt werden. Als wesentliche Änderungen durch das KRITIS-Dachgesetz benennt das BMI:

  • Kritische Infrastrukturen sollen klar und systematisch identifiziert werden.
  • Staat und KRITIS-Betreiber sollen regelmäßige Risikobewertungen durchführen und dadurch Gefahren besser erkennen.
  • Es werden Mindeststandards für Betreiber Kritischer Infrastrukturen festgelegt. Für die Betreiber bedeutet das mehr Handlungssicherheit, um sich gegen Gefahren zu schützen.
  • Ein zentrales Meldesystem für Störungen soll das bestehende Meldewesen im Cybersicherheitsbereich ergänzen. Mögliche Schwachstellen beim Schutz Kritischer Infrastrukturen können so besser erkannt und behoben werden.
  • Die Zusammenarbeit der beteiligten Akteure im Bereich der Kritischen Infrastrukturen soll besser organisiert und klare Verantwortlichkeiten und Ansprechpartner benannt werden.

Kern des ganzen ist dabei der physische Schutz: Die Auswirkungen auf das Gesamtsystem aller Kritischen Infrastrukturen muss beim physischen Schutz Kritischer Infrastrukturen im Vordergrund stehen. Sektoren- und grenzübergreifende Verflechtungen und die Abhängigkeiten der Sektoren untereinander werden stärker berücksichtigt. Der Schutz von Kritischen Infrastrukturen ist neben der fachspezifischen auch eine Querschnittsaufgabe, die alle Ressorts in die Verantwortung nimmt und deren zielgerichtetes Mit- und Zusammenwirken erfordert. Gibt es Ausfälle in einem Sektor, etwa Energie, Informationstechnik/Telekommunikation oder Transport/Verkehr, kann dies schwere Auswirkungen auch auf andere Sektoren haben.

Auch durch die Schaffung eines staatlichen Rahmens mit dem einzuführenden Meldewesen für Sicherheitsvorfälle und Kontrollen übernimmt der Staat eine größere Verantwortung beim Schutz kritischer Infrastrukturen. Das neu einzuführende Meldewesen im Bereich der physischen Sicherheit ergänzt hierbei das bereits bestehende Meldewesen im Bereich der Cybersicherheit kritischer Infrastrukturen. Der Staat wird die Betreiber zudem weiterhin durch Analysen sowie Leitfäden, Beratung, Übungen und Schulungen unterstützen (so dass Eckpunktepapier).

Fachanwalt für IT-Recht Jens Ferner