Spätestens seit der Sabotage von Bahnanlagen sprechen wir in Sachen kritischer Infrastrukturschutz vielfach über die „hybride Bedrohungslage“. Damit gemeint ist das komplexe Zusammenspiel von digitalen und physischen Bedrohungen für die kritische Infrastruktur. Seit Beginn des Russland-Ukraine-Kriegs im Februar 2022 hat sich diese hybride Bedrohungslage weiter verschärft, gefährdet sind beispielsweise auch die Seekabel-Anlandestationen als zentrale Knotenpunkte zur Gewährleistung des transatlantischen Datenverkehrs.
Nicht zuletzt deshalb sehen sich Politik und Gesetzgeber in der Pflicht, zusätzliche Regelungen auch für den „analogen“ Infrastrukturschutz in der Form eines sogenannten „KRITIS-Dachgesetzes“ – kurz: KRITIS-DachG zu erarbeiten.
Lesetipp: Energiewende in Deutschland - Hacker zielen auf Solar- und Windkraftanlagen
KRITIS-DachG setzt EU-Recht um
Der Vorschlag für ein KRITIS-DachG ist keine allein deutsche Initiative, sondern vorrangig auf den europäischen Gesetzgeber zurückzuführen. Das federführende Bundesministerium des Innern und für Heimat (BMI) setzt mit dem KRITIS-DachG die EU-Richtlinie 2022/2557 zur Stärkung der Resilienz von Betreibern kritischer Anlagen um, die auch als „CER-Richtlinie“ bezeichnet wird.
Damit tritt das KRITIS-DachG systematisch neben die Pflichten, die voraussichtlich ab Herbst 2024 mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für den digitalen Schutz von wesentlichen und wichtigen Diensten gelten werden. Das NIS2UmsuCG seinerseits setzt die EU NIS-2-Richtlinie um. Bislang wurde das KRITIS-DachG nicht verabschiedet, sondern befindet sich noch im laufenden Gesetzgebungsverfahren.
Nachdem im November 2022 ein Papier mit den zentralen strategischen Eckpunkten für den analogen KRITIS-Schutz veröffentlicht wurde, hat das BMI im Juli 2023 einen ersten Referentenentwurf publiziert. Dieser wurde umfassend überarbeitet und in einer neuen Fassung am 21. Dezember 2023 veröffentlicht – derjenigen Fassung, auf der auch dieser Beitrag basiert. Im Laufe des weiteren Gesetzgebungsverfahrens sind somit durchaus noch Änderungen am KRITIS-DachG zu erwarten. Die zentralen Pflichten aus dem kommenden KRITIS-DachG sollen zum 17. Juli 2026 in Kraft treten.
„All-Gefahrenansatz“ zum Schutz der nationalen kritischen Infrastruktur
Auch wenn das KRITIS-DachG zunächst den Eindruck erweckt, dass es nur wenig mit Cybersicherheit zu tun hat, so täuscht dies: Der Gesetzgeber verfolgt nämlich den sogenannten „All-Gefahrenansatz“ zum Schutz der nationalen kritischen Infrastruktur. Das bedeutet, dass die analoge und die digitale Bedrohungslage zusammen und ihre Abwehrmaßnahmen innerhalb eines ganzheitlichen Konzepts vereinigt werden sollen.
Das hat zwangsläufig zur Folge, dass das Gesetz keine abschließenden Bestimmungen darüber vorhält, welche Maßnahmen im Einzelnen geeignet sind, um kritische Anlagen in Deutschland zu schützen, sondern es vielmehr auf den konkreten Kontext ankommt. Dazu zählen beispielsweise auch die wirtschaftlichen Erfüllungsaufwände, die von den Betreibern der kritischen Anlagen in Umsetzung des Gesetzes geleistet werden müssen. Eingebettet wird das KRITIS-DachG deshalb auch in eine künftige neue „Nationale KRITIS-Resilienzstrategie“.
Komplexe Strukturen erfordern Zusammenwirken mit Cybersicherheit
Dass der mit dem KRITIS-DachG verfolgte All-Gefahrenansatz zwangsläufig auch die Cybersicherheit einbeziehen muss, wird mit Blick auf die Behördenzuständigkeiten zur Umsetzung des Gesetzes besonders deutlich. Zwar wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zukünftig die zentrale Anlaufstelle sein, jedoch ist es nicht die einzig zuständige Behörde.
Für die öffentlichen Telekommunikationsnetze und für öffentlich zugängliche Telekommunikationsdienste wird weiterhin die Bundesnetzagentur (BNetzA) zuständig sein, für den Betrieb von kritischen Anlagen im Sektor Informationstechnik und Telekommunikation das Bundesamt für Sicherheit in der Informationstechnik (BSI) und für den Sektor Finanz- und Versicherungswesen die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Darüber hinaus sind bei der Aufgabe der Gefahrenabwehr die zusätzlichen und ebenso komplexen Zuständigkeitsabgrenzungen im Bund-Länder-Gefüge zu beachten.
Wer ist nun Betreiber einer „kritischen Anlage“?
Das KRITIS-DachG wird die Betroffenheit von den neuen Regelungen an den Betrieb einer „kritischen Anlage“ anknüpfen. Dabei geht es um Anlagen, die eine kritische Dienstleistung erbringen. Darunter will der Gesetzgeber solche Dienstleistungen verstehen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben.
Das ist dann der Fall, wenn durch den Ausfall ebenjener Dienstleistung langfristige Versorgungsengpässe oder Gefährdungen für wirtschaftliche Tätigkeiten, die öffentliche Sicherheit oder Ordnung, die öffentliche Gesundheit, wichtige gesellschaftliche Funktionen oder die Erhaltung der Umwelt eintreten würden.
Bereits aus dem Cyberschutz bekannte Bemessungsgrenzen
Wie bereits aus dem Cyberschutz bekannt, wird das BMI zur Konkretisierung des Anwendungsbereichs der Regelungen ermächtigt, Rechtsverordnungen zu erlassen. Dabei gelten wie gehabt nach dem Entwurf zwei Bemessungskriterien:
qualitativ, was als kritische Dienstleistung gilt, und
quantitativ, was als bedeutend anzusehender Versorgungsgrad gilt.
Zur Bemessung dieser zahlenmäßigen Grenzwerte sollen Stichtage zu Grunde gelegt werden und es wird der ebenfalls schon aus der BSI-KritisV und damit dem Cyberschutz bekannte Regelschwellenwert von 500.000 zu versorgenden Einwohnern verwendet. Im Ergebnis gilt eine Anlage dann als kritisch im Sinne des KRITIS-DachG, wenn sie zum Stichtag einer durch die Rechtsverordnung bestimmten Anlagenarten in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung qualitativ zuzuordnen ist und quantitativ die in der Rechtsverordnung festgelegten Schwellenwerte erreicht oder überschreitet.
Zahlreiche Pflichten für betroffene Betreiber geplant
Wer als Betreiber nach KRITIS-DachG identifiziert wurde, soll künftig mit zusätzlichen rechtlichen Compliance-Pflichten zum hybriden Infrastrukturschutz konfrontiert sein. Hierzu gehört zuvorderst, drei Monate nach Erfüllung der Betroffenheitskriterien eine Registrierung bei einer gemeinsam vom BBK und BSI geschaffenen Registrierungsmöglichkeit durchzuführen.
Zusätzlich werden betroffene Betreiber von kritischen Anlagen Resilienzmaßnahmen umzusetzen haben. Hierzu ist es notwendig, mindestens alle vier Jahre vorgelagerte Risikoanalysen und Risikobewertungen durchzuführen. Zu berücksichtigen ist dabei nicht nur die versorgungsspezifische Kritikalität der angebotenen Dienstleistung, sondern auch, ob durch das Nichtfunktionieren die wirtschaftliche Handlungsfähigkeit beeinträchtigt werden kann.
Ähnlich wie bereits für den Cyberschutz müssen basierend auf den Risikobewertungen nach Ablauf von zehn Monaten nach der Registrierung Resilienzmaßnahmen durch die Betreiber getroffen werden. Hierbei soll es sich um geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen handeln, um Vorfälle nach Möglichkeit zu verhindern, die Auswirkungen zu begrenzen und Dienste möglichst schnell wiederherzustellen.
Dabei aber benennt das KRITIS-DachG keinen abschließenden Katalog von Maßnahmen. Ebenso können auch hier jedoch wieder Parallelen zum IT-Sicherheitsrecht gezogen werden, soweit es die Verhältnismäßigkeit der Maßnahmen oder den zu erfüllenden „Stand der Technik“ anbelangt. Beispielhaft genannt werden im Gesetzentwurf die Notfallvorsorge, der Objektschutz, Einsatz von Detektionsgeräten, Zugangskontrolle, definierte Abläufe für den Alarmfall, alternative Lieferketten, Notstromversorgung und personelle Maßnahmen.
Zusätzlich wird das KRITIS-DachG anordnen, dass die Anlagenbetreiber die ergriffenen Maßnahmen nachweisen müssen. Überdies gelten wie auch im IT-Sicherheitsrecht Meldepflichten gegenüber der von BBK und BSI eingerichteten gemeinsamen Meldestelle. Auf diese Weise wird den Betreibern in Teilen auch die Entscheidung aus der Hand genommen, ob ein IT-Ausfall beispielsweise primär auf digitale oder analoge Bedrohungen zurückzuführen ist.
Betreiber sollten sich jetzt vorbereiten
Mit dem neuesten Entwurf für ein KRITIS-DachG aus Dezember 2023 wird eines deutlich: Die hybride Bedrohungslage für kritische Infrastrukturen ist nicht nur in der EU, sondern auch in Deutschland angekommen. Damit einher gehen erheblich gesteigerte Verantwortlichkeiten für die Geschäftsleitung der Betreiber kritischer Anlagen. Sie wird in Zukunft gesetzlich zusätzlich verpflichtet, auch den physischen Infrastrukturschutz angemessen umzusetzen und zu überwachen.
Digitaler und analoger Infrastrukturschutz gehen dabei durch das Zusammenwirken von BBK und BSI Hand in Hand, sodass ganzheitliche Konzepte „by design“ gefragt sind, die angemessene Vorbereitungsaufwände erfordern. (jm)
Lesetipp: IT-Sicherheit in KRITIS-Unternehmen - Unsichtbar ist unschützbar