Um die Versorgung der Bevölkerung mit Strom, Trinkwasser und anderen essenziellen Gütern jederzeit sicherzustellen, sollen künftig strengere gesetzliche Schutzvorschriften für Einrichtungen der sogenannten kritischen Infrastruktur gelten. Das betrifft sowohl staatliche Einrichtungen als auch private Unternehmen einer gewissen Größenordnung, etwa Energieversorger oder Flughafenbetreiber.
Der am Montag vom Bundesinnenministerium an die anderen Ressorts der Regierung verschickte Entwurf für das sogenannte KRITIS-Dachgesetz sieht außerdem Bußgelder für Betreiber kritischer Infrastruktur vor, die ihren Verpflichtungen zur Absicherung von Anlagen und Geschäftsbetrieb nicht rechtzeitig nachkommen. Dabei wird ein sehr breiter Sicherheitsbegriff zugrunde gelegt, der von Alarmketten über den Schutz von Anlagen gegen Starkregen oder Waldbrände bis hin zur Anschaffung von Notstromaggregaten reicht.
Was zur kritischen Infrastruktur zählt
Zur kritischen Infrastruktur im Sinne des Gesetzes zählen elf Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, öffentliche Verwaltung, Gesundheit, Ernährung, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik, Telekommunikation und Weltraum. Die Anforderungen aus dem geplanten neuen Gesetz müssen, wenn das KRITIS-Dachgesetz verabschiedet ist, alle großen Betreiber kritischer Infrastruktur erfüllen. Konkret sind das Einrichtungen, die für die Versorgung von mindestens 500.000 Menschen gebraucht werden, etwa große Krankenhäuser oder Betreiber von Mobilfunknetzen.
Eine zentrale Rolle bei der Registrierung und Beratung ist für das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn vorgesehen. Hier soll auch ein Lagebild erstellt werden. Damit würde dann beispielsweise auffallen, wenn es in einem bestimmten Sektor oder in mehreren Regionen Ausfälle oder Sabotageakte geben sollte.
Das neue Gesetz ergänzt bereits vorhandene Vorschriften wie beispielsweise die Trinkwasserverordnung oder gewisse DIN-Normen. Es gilt für einen etwas größeren Kreis von Unternehmen als das IT-Sicherheitsgesetz, das Unternehmen der kritischen Infrastruktur bereits verpflichtet, Angriffe auf ihre IT-Systeme beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Der Gesetzentwurf enthält zu konkreten Sicherheitsfragen, beispielsweise der Verhinderung des Zutritts von Unbekannten zu KRITIS-Anlagen wie Flughäfen oder Wasserwerken nur allgemeine, aber keine genauen Vorgaben. Die Betreiber können also beispielsweise selbst entscheiden, wie hoch sie ihre Zäune und Mauern ziehen, oder ob sie eher auf Videokameras und Wachschutz setzen.
Bundesinnenministerin Nancy Faeser (SPD) hatte nach den Flughafen-Blockaden durch Aktivisten der Gruppe Letzte Generation in der vergangenen Woche gesagt, es werde demnächst Standards für die Betreiber kritischer Infrastruktur geben. "Dazu gehören auch die Flughäfen, und das wird auch zu einer besonderen Sicherheit der Flughäfen weiterhin führen."
Teil der im Entwurf für das Gesetz vorgesehenen Vorgaben sind auch Maßnahmen zur Anpassung an den Klimawandel. Um Vorfälle abzuwehren und die Folgen solcher Vorfälle zu begrenzen, sind die KRITIS-Unternehmen zudem aufgefordert, feste Abläufe für den Alarmfall zu etablieren.
Das Gesetz, mit dem gleichzeitig eine EU-Richtlinie zum Schutz kritischer Infrastruktur umgesetzt würde, soll noch in diesem Jahr im Kabinett beschlossen werden. Bis dahin müssen allerdings noch einige Lücken im Entwurf geschlossen werden. Beispielsweise ist darin der Erfüllungsaufwand für die Wirtschaft, also eine qualifizierte Schätzung, welche zusätzlichen Kosten dadurch auf die betroffenen Unternehmen zukommen, noch nicht beziffert. Auch die Höhe der Bußgelder ist noch offen.
Einsatz kritischer Komponenten
Noch nicht ausbuchstabiert sind auch die Vorgaben zum "Einsatz kritischer Komponenten". Dabei geht es um Bauteile und Produkte, bei denen Störungen oder mangelnde Verfügbarkeit zu erheblichen Beeinträchtigungen der Funktionsfähigkeit der kritischen Infrastruktur oder gar zu Gefährdungen für die öffentliche Sicherheit führen können. Die EU-Kommission hatte 2020 empfohlen, aus ihrer Sicht risikobehaftete Anbieter wie das chinesische Unternehmen Huawei aus Kernbereichen der Telekommunikationsnetze herauszuhalten.
Wie aus einem im März bekannt gewordenen Schreiben des Bundesinnenministeriums an die Netzbetreiber hervorgeht, hält das Ministerium eine Beeinträchtigung der öffentlichen Ordnung und der Sicherheit in Deutschland durch Komponenten von Huawei und ZTE für möglich. Daher sollen alle kritischen - also sicherheitsrelevanten - Teile, die schon im Mobilfunknetz verbaut sind, einer Prüfung unterzogen werden. Bisher bezog sich diese Prüfpflicht nur auf kritische Teile, die neu eingebaut werden.
Um die EU-Vorgaben (CER-Richtlinie) zu erfüllen, müsste das KRITIS-Dachgesetz spätestens im Oktober 2024 in Kraft treten. Die im Entwurf genannten Maßnahmen, die Einrichtungen der kritischen Infrastruktur widerstandsfähiger machen sollen, sollten demnach bis zum 1. Januar 2026 umgesetzt sein. Die Bußgeldvorschriften würden gemäß dem Entwurf dann ein Jahr später in Kraft treten.
Der stellvertretende Vorsitzende der Grünen-Bundestagsfraktion, Konstantin von Notz, kritisierte, dass der Entwurf für das Gesetz jetzt schon kursiere, den Fraktionen aber noch nicht vorliege. Er erklärte: "Für uns ist es unter anderem zwingend, das bestehende Zuständigkeitswirrwarr beim Schutz unserer kritischen Infrastrukturen endlich aufzulösen, klare Verantwortlichkeiten zu schaffen und zu vermeiden, dass es durch noch mehr Akteure noch mehr Unklarheit gibt." Außerdem brauche es zwingend eine Abstimmung mit den parallel vorgelegten EU-Richtlinien. (dpa/rs/rw)