Im Ernstfall muss alles funktionieren: Gas, Strom, Wasser, Verkehr und Gesundheitsversorgung. Die Auswirkungen der Coronapandemie, des Ukrainekrieges, der befürchteten Gasmangellage mit Sorge vor dem Blackout, Sabotageakten auf das Schienennetz der Deutschen Bahn oder auf Gaspipelines sowie Naturkatastrophen haben deutlich gemacht, wie anfällig kritische Infrastrukturen (KRITIS) sind. Die EU-Richtlinie (2022/2557) zur Stärkung der Resilienz kritischer Einrichtungen (CER-Richtlinie) legt als Reaktion darauf Mindeststandards und Pflichten für die staatliche Überwachung und für KRITIS-Betreiber fest, die in nationales Recht umzusetzen sind. Der entsprechende Gesetzentwurf des Dachgesetzes zur Stärkung der physischen Resilienz kritischer Anlagen – der Entwurf zum KRITIS-Dachgesetz – wurde bereits im November 2024 im Kabinett (der Ampel) beschlossen.
Betroffene Unternehmen
Der Entwurf zum KRITIS-Dachgesetz verpflichtet alle Betreiber kritischer Infrastrukturen dazu, deren physische Widerstandsfähigkeit gegen Krisen zu härten, wobei die bisherigen Regelungen zum Cyberschutz nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) und der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) ergänzt werden sollen. Kritische Infrastrukturen sind solche, die eine zentrale Bedeutung für das Funktionieren des Gemeinwesens haben, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen für wirtschaftliche Tätigkeiten sowie für die öffentliche Sicherheit und Ordnung führen würden. In § 4 des Entwurfs zum KRITIS-Dachgesetz werden explizit Anlagen aus den Bereichen Energie, Transport und Verkehr, Finanz- und Sozialversicherungswesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung genannt. Nach der Norm soll eine noch zu erlassende Rechtsverordnung die Schwellenwerte festlegen, die zur Identifikation der kritischen Anlagen dienen.
Pflichten der Betreiber von kritischen Infrastrukturen
Gemäß §§ 8 ff. des Entwurfs zum KRITIS-Dachgesetz reichen die geplanten Betreiberpflichten von der Erfüllung zusätzlicher Formalitäten wie der Registrierung und Meldepflichten bis hin zur Umsetzung von Resilienzmaßnahmen. Betreiber sollen nach § 12 des Entwurfs zum KRITIS-Dachgesetz im Bedarfsfall spätestens alle vier Jahre Risikobewertungen durchführen müssen. Auf dieser Basis sind gem. § 13 des Entwurfs zum KRITIS-Dachgesetz geeignete technische, sicherheitsrelevante und organisatorische Maßnahmen zu ergreifen, um die Resilienz der Anlagen zu gewährleisten. Diese Maßnahmen sollen dokumentiert und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe nachgewiesen werden müssen. Während Unternehmen sich bereits auf die Umsetzung vorbereiten sollen, bleibt offen, wer die Kosten für die neuen Sicherheitsmaßnahmen trägt. Der aktuelle Entwurf verweist auf noch zu erlassende Verordnungen – das sorgt für Verunsicherung bei den betroffenen Betreibern.
Was sollten Unternehmen mit kritischen Infrastrukturen jetzt tun?
Trotz der offenen Fragen sollten Unternehmen nicht auf den Erlass des Gesetzes warten, denn die Härtung des eigenen Betriebs mit seinen Anlagen und Einrichtungen sichert im Ernstfall nicht nur die eigene Überlebensfähigkeit im wahrsten Sinne des Wortes, sondern schützt in der aktuellen Zeit, in der theoretische Bedrohungen zunehmend real werden, auch vor unkalkulierbaren wirtschaftlichen Risiken durch Betriebsausfälle/-stillstände. Härtungsmaßnahmen sollten so ausgestaltet werden, dass sie die sich bereits abzeichnenden gesetzlichen Anforderungen erfüllen. Als erster Schritt sollten daher bestehende Systeme und Anlagen analysiert und Sicherheitsrisiken ermittelt werden. Damit wäre dann die Grundlage vorhanden, um die erforderlichen Härtungsmaßnahmen zu bestimmen, die dann bestenfalls mit Inkrafttreten und in Übereinstimmung mit den gesetzlichen Regelungen schnell umgesetzt werden können.
Fazit: Vorbereiten statt abwarten
Das KRITIS-Dachgesetz ausweislich der Zeilen 2697 f. des Koalitionsvertrags zwischen CDU, CSU und SPD für die 21. Legislaturperiode kommen, auch wenn der Zeitpunkt noch offen ist. Unternehmen sind gut beraten, sich frühzeitig mit spezifischen rechtlichen Anforderungen und tatsächlichen Fragen bestehender Sicherheitsdefizite ihrer Anlagen und Einrichtungen und Abhilfemöglichkeiten auseinanderzusetzen. CBH hat deshalb eine Praxisgruppe aus Expertinnen und Experten der verschiedenen Rechtsgebiete für die Branche zusammengestellt, die nicht nur über die rechtliche Expertise verfügt, sondern zum Teil auch aus ehemaligen Offizieren, Mitgliedern der technischen Einsatzleitung eines Krisenstabes und Beamten der Europäischen Kommission besteht und entsprechend vernetzt ist. Denn wer vorbereitet ist, schützt nicht nur sich selbst, sondern auch die Gesellschaft – für den Fall, dass eines Tages wirklich nichts mehr geht.
