Am Mittwoch hat die Bundesregierung den von der Bundesministerin des Innern und für Heimat Nancy Faeser vorgelegten Entwurf für das KRITIS-Dachgesetz (Gesetz zur Umsetzung der Richtlinie [EU] 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen) beschlossen. Dieses Gesetz soll erstmals den physischen Schutz Kritischer Infrastrukturen bundeseinheitlich und sektorenübergreifend regeln.
In dem Gesetzentwurf ist festgelegt, welche Infrastruktureinrichtungen unentbehrlich für die Versorgungssicherheit der Bevölkerung und die Aufrechterhaltung der Wirtschaft sind. Für die Betreiber dieser Einrichtungen wurden Mindestanforderungen festgelegt. Hier gilt der All-Gefahren-Ansatz, nach dem jedes denkbare Risiko berücksichtigt werden muss, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Für Vorfälle besteht künftig eine Meldepflicht.
Der Entwurf für das KRITIS-Dachgesetz enthält erstmals einheitliche Regeln für folgende elf Sektoren: Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung, Öffentliche Verwaltung sowie Leistungen der Sozialversicherung. Welche Anlagen unter die Regelungen fallen, bemisst sich nach quantitativen und qualitativen Kriterien. Außerdem wird das Ausmaß der wechselseitigen Abhängigkeiten der KRITIS untereinander berücksichtigt.
Jeder Betreiber muss in Zukunft auf die spezifischen Risiken für seine Anlage mit passgenauen Maßnahmen reagieren, die Resilienzplänen zu entnehmen sind. Hierzu zählen z.B. die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung.
Das BBK registriert die Einrichtungen, erfasst die anfallenden Störungen und arbeitet dabei mit den je nach Sektor zuständigen Aufsichtsbehörden des Bundes oder der Länder zusammen. Die Zuständigkeiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die IT-Sicherheit Kritischer Infrastrukturen bleiben bestehen. Die Betreiber von KRITIS werden außerdem künftig dazu verpflichtet, Vorfälle auf einem Onlineportal von BBK und BSI zu melden.