Gestern hat das Bundeskabinett einem Gesetzentwurf für das KRITIS-Dachgesetz zugestimmt, der bereits im November 2024 durch die Ampel-Koalition vorgelegt wurde. Mit dem neuen Gesetz sollen die Kritische Infrastrukturen (KRITIS) bundeseinheitlich und sektorenübergreifend geschützt werden. Hierfür wurden die wichtigsten KRITIS in elf Sektoren eingeteilt, darunter Energie, Ernährung, Wasser, Gesundheit, Transport und Verkehr. Auch wird die EU-Richtlinie über die Resilienz kritischer Einrichtungen (sog. CER-Richtlinie) mit dem neuen Gesetzt umgesetzt. Mit europaweit einheitlichen Mindeststandards und einer stärkeren Zusammenarbeit über Grenzen hinaus soll auch die Versorgungssicherheit hierzulande und im europäischen Raum gestärkt werden. Zusätzlich soll das KRITIS-Dachgesetz die Regelungen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ergänzen, das bereits am 30. Juli im Kabinett beschlossen wurde.

Der Gesetzentwurf zum KRITIS-Dachgesetz zeichnet sich durch verschiedene Schwerpunkte aus. Zuerst werden die zentralen KRITIS-Betreiber in Deutschland identifiziert, ohne die die Wirtschaft nicht funktionieren würde und die Versorgung der Bevölkerung nicht gewährleistet wäre. Zusätzlich erfolgen nationale Risikobewertungen für die einzelnen kritischen Dienstleistungen, die den Betreibern als Grundlage für eigene Risikoanalysen dienen sollen. Außerdem werden in dem Gesetz verbindliche Mindestanforderungen für alle Sektoren festgelegt, wobei jedes denkbare Risiko (All-Gefahren-Ansatz) berücksichtigt werden muss – von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Vorfälle müssen von den Betreibern direkt auf einem Onlineportal des BBK und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Die Erkenntnisse aus diesem Störungsmonitoring sollen dabei helfen, Schwachstellen zu entdecken und entsprechende Lösungen zu finden.

Für welche Anlagen diese Regelungen gelten, richtet sich nach quantitativen und qualitativen Kriterien. Eine Einrichtung gilt nach dem Gesetzentwurf als Teil der KRITIS, wenn sie etwa für die bundesweite Versorgung von zentraler Bedeutung ist und mehr als 500.000 Menschen versorgt. Auch spielen wechselseitige Abhängigkeiten eine Rolle (z.B. Abhängigkeit aller Sektoren vom Energiesektor).

Jeder Anlagenbetreiber ist dazu verpflichtet, zukünftig auf die jeweiligen Risiken mit passgenauen Maßnahmen zu reagieren, die in Resilienzplänen festgehalten werden. Zentrale Maßnahmen können z.B. die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Notstromversorgung sein.