KRITIS-Gesetz: Kötter Security fordert stärkere Berücksichtigung privater Sicherheitsdienstleister
Sabotageakte gegen Bahnstrecken und Cyberangriffe auf öffentliche Einrichtungen haben die Sicherheit für Kritische Infrastrukturen (KRITIS) zuletzt wieder verstärkt in den öffentlichen Fokus gerückt. Kötter Security begrüßt vor diesem Hintergrund das jüngst von der Bundesregierung beschlossene Eckpunktepapier für ein Gesetz zum Schutz Kritischer Infrastrukturen. Gleichzeitig mahnt das Familienunternehmen aber eine deutlich stärkere Einbeziehung der privaten Sicherheitswirtschaft bei der Neuausrichtung der KRITIS-Sicherheit an.
Die private Sicherheitswirtschaft ist seit Langem wichtiger Eckpfeiler beim Schutz der Kritischen Infrastruktur, betont Kötter. Die Dienstleister unterstützten seit Jahren Unternehmen der betroffenen Sektoren mit ganzheitlichen Risiko- und Business Continuity Management-Konzepten und übernehmen u. a. durch Sicherheitsdienste und -technik den Schutz von Kraftwerken, Rechenzentren und Internetknoten, (Flug-)Häfen, den Öffentlichen Personenverkehr (ÖPV), Behörden etc.
Die Branche nehme also „eine Schlüsselfunktion“ ein, „die im Eckpunktepapier der Bundesregierung für die geplante Rahmengesetzgebung aber noch nicht ausreichend Berücksichtigung findet“, sagt Dr. Harald Olschok, Mitglied des Kötter-Sicherheitsbeirates. „So werden dort als Ziel zwar u. a. Vorgaben für die physische Sicherheit angeführt; ansonsten bleibt das Papier aber allein auf die staatlichen Behörden und die KRITIS-Betreiber ausgerichtet. Konkrete Ausführungen zu den Dienstleistern, welche die personellen und technischen Schutzmaßnahmen bereits heute umfassend erbringen, fehlen leider gänzlich. Diese Inhalte sollten daher im Rahmen der Gesetzgebung genauso Einzug finden wie die Anerkennung der Sicherheitswirtschaft als eigener KRITIS-Sektor. Denn die Einstufung als systemrelevanter Sektor ist ein weiterer zentraler Faktor, um ihre Rolle als wichtigen Eckpfeiler der inneren Sicherheit zusätzlich zu stärken.“
Solide Sicherheitsarchitektur
Dies unterstreicht auch Wolfgang Bosbach, ebenfalls Mitglied des Kötter-Sicherheitsbeirates: „Ein Eckpunktepapier ist zwar noch kein Gesetzentwurf und ein Gesetzentwurf noch kein Gesetz – dennoch sollte man die Bedeutung solcher Papiere nicht unterschätzen. Die private Sicherheitswirtschaft tritt nicht in Konkurrenz zu den staatlichen Sicherheitsorganen auf, sie will nicht deren Aufgaben in privater Verantwortung übernehmen. Sie ist aber unbestritten ein wichtiger, unverzichtbarer Bestandteil einer soliden Sicherheitsarchitektur. Dies gilt insbesondere für den Bereich der Prävention, denn je wirksamer Gefahrenabwehr funktioniert, desto mehr werden die staatlichen Stellen entlastet. Es wäre nicht nur wünschenswert, sondern unabdingbar notwendig, dass dies auch vom Gesetzgeber erkannt und im Rahmen des anstehenden Gesetzgebungsverfahrens berücksichtigt wird. Sollte das federführende Bundesministerium des Innern und für Heimat dies nicht in eigener Verantwortung berücksichtigen, wäre es Aufgabe des Gesetzgebers hier für eine Korrektur, genauer gesagt: Ergänzung, zu sorgen.“
Feste Standards
Kötter-Sicherheitsbeirats-Mitglied Fritz Rudolf Körper hebt die besondere Möglichkeit hervor, die sich aus der von der Bundesregierung geplanten Übernahme der „EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience/CER-Richtlinie)“ ergibt, die Ende 2022 auf europäischer Ebene verabschiedet wurde und nunmehr innerhalb von 21 Monaten in nationales Recht zu überführen ist. „Diese Regelung ist ein Meilenstein, da erstmals in einer EU-Richtlinie KRITIS-Betreibern verbindlich empfohlen wird, ausschließlich auf Basis fester Standards mit privaten Dienstleistern zusammenzuarbeiten.“
Eine Verankerung in der in Folge anzupassenden deutschen Gesetzgebung biete somit die „riesige Chance“, das vom Europäischen Dachverband der privaten Sicherheitsdienste (CoESS) seit Langem für Vergaben empfohlene „Bestbieter-Prinzip“ sowie dessen hohe Qualitätsstandards für alle Anbieter Kritischer Infrastrukturen in Verbindung mit den hierbei nach Vorgabe der CER-Richtlinie (Art. 16) anzuwendenden Normen verbindlich zu implementieren.
Eine wichtige Orientierung biete hierbei im Sinne der CER-Richtlinie die europäische Normenreihe EN 17483 „Private Sicherheitsdienstleistungen – Schutz kritischer Infrastrukturen“, welche mit den grundlegenden Anforderungen im Teil 1 bereits veröffentlicht ist und sukzessive ergänzend sektorspezifische Anforderungen an Sicherheitsdienstleister im KRITIS-Umfeld in den dazu bereits in Erarbeitung befindlichen Normteilen definieren wird. Die Teile 2 und 3 für die Bereiche „Flughafen- und Luftsicherheitsdienstleistungen (Airport and aviation security services)“ bzw. „Sicherheitsdienstleistungen für Seeschifffahrt und Seehäfen (Maritime and port security services)“ folgen noch in diesem Jahr.