Bundeskabinett beschließt Gesetzentwurf zum KRITIS-Dachgesetz

Erstmals wird der physische Schutz kritischer Infrastrukturen bundeseinheitlich und sektorenübergreifend mit einem umfassenden KRITIS-Dachgesetz in den Blick genommen. Dazu werden die wichtigsten kritischen Infrastrukturen in elf Sektoren definiert, darunter Energie, Ernährung, Wasser, Gesundheit, Transport und Verkehr. Zudem wird die EU-Richtlinie über die Resilienz kritischer Einrichtungen (sog. CER-Richtlinie) mit dem KRITIS-Dachgesetz umgesetzt. Mit europaweit einheitlichen Mindeststandards für den Schutz kritischer Infrastrukturen sowie verstärkte grenzüberschreitende Kooperation wird auch die Versorgungssicherheit in Deutschland und Europa gestärkt.

„Mit dem KRITIS-Dachgesetz machen wir Deutschland widerstandsfähiger gegen Krisen und Angriffe. Wir schaffen dafür einheitliche Mindeststandards, Risikoanalysen und ein Störungsmonitoring. Unser Ziel ist klar: Die Abwehrfähigkeit und Resilienz unserer kritischen Infrastrukturen muss gehärtet werden“, so Bundesinnenminister Alexander Dobrindt.

Der Gesetzentwurf hat folgende Schwerpunkte:

• Wichtigste KRITIS in Deutschland identifizieren
  Zunächst werden nach dem KRITIS-Dachgesetz die wichtigsten KRITIS-Betreiber in Deutschland identifiziert. Hierbei handelt es sich um kritische Infrastrukturen, ohne die das Funktionieren der Wirtschaft insgesamt und folglich die Versorgungssicherheit der Bevölkerung im Bundesgebiet gefährdet ist.
• Risikobewertung
  Es werden für die einzelnen kritischen Dienstleistungen nationale Risikobewertungen durchgeführt, auf deren Grundlage die Betreiber eigene Risikobewertungen durchführen sollen.
• Mindestanforderungen
  Das Gesetz legt weiterhin Mindestanforderungen fest, die für alle Sektoren gelten. Dabei gilt der All-Gefahren-Ansatz: Jedes denkbare Risiko muss berücksichtigt werden, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Die Betreiber müssen außerdem Vorfälle melden.

Wer fällt unter das neue Gesetz?

Welche Anlagen in Deutschland unter die Regelungen des Gesetzes fallen, bemisst sich nach quantitativen und qualitativen Kriterien. Wenn eine Einrichtung zum Beispiel essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Personen versorgt, zählt sie zur kritischen Infrastruktur im Sinne des Gesetzentwurfs. Zudem wird das Ausmaß der wechselseitigen Abhängigkeiten der kritischen Infrastrukturen untereinander berücksichtigt: So hängen vom Energiesektor auch alle anderen Sektoren ab. Genauso sind Wasser und Transportwege für die jeweils anderen Sektoren unverzichtbar.

Risiken und darauf vorbereitet sein

Jeder Betreiber muss in Zukunft auf die spezifischen Risiken für seine Anlage mit passgenauen Maßnahmen reagieren. Diese werden in Resilienzplänen dargestellt. Dabei muss jedes denkbare Risiko berücksichtigt werden (All-Gefahren-Ansatz). Wesentliche Resilienzmaßnahmen können etwa die Bildung von Notfallteams, Schulungen für Beschäftigte, Objektschutz und Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung sein. Eine Grundlage hierfür sind staatliche sowie betreiberseitige Risikoanalysen und Risikobewertungen.

Schwachstellen schneller erkennen

Die Betreiber kritischer Infrastrukturen werden künftig dazu verpflichtet, Vorfälle auf einem Onlineportal des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu melden. Die Erkenntnisse aus diesem Störungsmonitoring helfen dabei, Schwachstellen zu entdecken und Lücken zu schließen und insgesamt die Widerstandskraft kritischer Anlagen weiter zu erhöhen.

Das KRITIS-Dachgesetz wird zudem die Regelungen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ergänzen, welches das bereits existierende Schutzsystem für die Cybersicherheit kritischer Infrastrukturen in Deutschland weiter ausbaut und bereits am 30. Juli 2025 im Kabinett beschlossen wurde.