Die EU-Richtlinie zur Sicherung Kritischer Infrastrukturen stellt einen bedeutenden Schritt dar, um die Resilienz und Sicherheit wichtiger Dienstleistungen und Infrastrukturen in Europa zu gewährleisten. In Deutschland erfolgt die Umsetzung dieser Richtlinie durch das KRITIS-Dachgesetz, welches umfassende Maßnahmen und Vorgaben für die Identifizierung und den Schutz Kritischer Infrastrukturen enthält. Mit der BSI-Kritisverordnung existiert bereits eine Regelung, die Kritische Infrastrukturen im Sinne des BSI-Gesetzes definiert. Das KRITIS-Dachgesetz erweitert diese Regelung systematisch, um alle besonders schützenswerten Kritischen Infrastrukturen zu identifizieren und deren Schutz zu verbessern. Ziel ist es, die Versorgungssicherheit durch präventive und reaktive Maßnahmen gegen Bedrohungen aus dem Cyberraum und anderen Gefahren zu sichern.
Das KRITIS-Dachgesetz setzt auf eine umfassende Identifizierung und Kategorisierung Kritischer Infrastrukturen. Diese werden in elf Sektoren erfasst, darunter Energie, Verkehr, Bankwesen, Gesundheit und digitale Infrastruktur. Bei der Ermittlung der Kritischen Infrastrukturen werden sowohl quantitative als auch qualitative Kriterien berücksichtigt, um die Bedeutung einer Infrastruktur für die Aufrechterhaltung der Dienstleistungen zu bewerten. Dies schließt auch Infrastrukturen ein, die von besonderer Bedeutung für Europa sind, indem sie in mehreren Mitgliedstaaten dieselben oder ähnliche kritische Dienstleistungen erbringen und daher einer verstärkten Aufsicht auf europäischer Ebene unterliegen.
Ein zentraler Bestandteil des KRITIS-Dachgesetzes ist die Durchführung regelmäßiger staatlicher und betrieblicher Risikobewertungen. Diese Bewertungen sollen die Gefahren systematisch bewusst machen und geeignete Maßnahmen ableiten. Dabei werden alle relevanten natürlichen und vom Menschen verursachten Risiken sowie sektorübergreifende und grenzüberschreitende Risiken einbezogen. Die Risikobewertungen werden mindestens alle vier Jahre durchgeführt und ermöglichen einen dynamischen Lernprozess, der zu angepassten Maßnahmen und einer stetigen Erhöhung der Resilienz führt.
Um das Schutzniveau verbindlich zu erhöhen, müssen Betreiber Kritischer Infrastrukturen betriebliche Risiko- und Krisenmanagementsysteme einführen, Risikoanalysen durchführen und Resilienzpläne erstellen. Diese Maßnahmen sollen dazu beitragen, sich umfassend gegen Gefahren zu schützen und als Teil des Gesamtsystems resilienter zu werden. Dazu zählen technische und organisatorische Maßnahmen wie die Errichtung von Zäunen und Sperren, der Einsatz von Detektionsgeräten, Zugangskontrollen, Sicherheitsüberprüfungen sowie die Diversifizierung von Lieferketten.
Ein weiteres zentrales Element des KRITIS-Dachgesetzes ist die Einführung eines zentralen Störungs-Monitorings. Dieses ergänzt das bestehende Meldewesen im Bereich der Cybersicherheit und ermöglicht einen Gesamtüberblick über mögliche Schwachstellen beim physischen Schutz Kritischer Infrastrukturen. Durch die zeitnahe Meldung von Sicherheitsvorfällen können andere betroffene Kritische Infrastrukturen, auch in anderen Mitgliedstaaten, gewarnt werden. Die zuständige Behörde soll Art und mutmaßliche Ursache sowie mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln können, um sektorübergreifende Auswertungen vornehmen zu können. Dies ermöglicht Anpassungen für den Schutz Kritischer Infrastrukturen auf Basis der gewonnenen Erfahrungen.
Die Schaffung eines institutionellen Rahmens ist ebenfalls ein wichtiger Bestandteil des KRITIS-Dachgesetzes. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wird zur zentralen Behörde für den physischen Schutz Kritischer Infrastrukturen ausgebaut. Es verfügt bereits über umfangreiche methodische und sektorübergreifende Expertise und wird die zuständigen Ansprechpartner sowie die Sicherheitsvorfälle gemeldet bekommen. Das BBK wird, gemeinsam mit weiteren fachlichen Aufsichtsbehörden, die Einhaltung der Mindestvorgaben für Resilienzmaßnahmen beaufsichtigen und durchsetzen. Eine enge Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist vorgesehen, um Kohärenz beim Cyberschutz und beim physischen Schutz von Kritischen Infrastrukturen zu erreichen. Das Bundesministerium des Innern und für Heimat (BMI) wird seine Koordinierungsrolle in Deutschland und im europäischen System verstärken und als Verbindungsstelle zu anderen Mitgliedstaaten, Drittstaaten und der Europäischen Kommission fungieren.
Ein zentrales Thema in der Diskussion um das KRITIS-Dachgesetz ist die Balance zwischen Wirtschaftlichkeit und Risikoeintrittswahrscheinlichkeit. Betreiber Kritischer Infrastrukturen stehen vor der Herausforderung, die Vorgaben kosteneffizient umzusetzen, ohne dabei die Sicherheit zu gefährden. Zudem muss die Kompetenzverteilung zwischen Bund und Ländern klar definiert werden, um eine effektive Gefahrenabwehr und Versorgungssicherheit zu gewährleisten.
Das KRITIS-Dachgesetz soll im Jahr 2024 in Kraft treten, mit ersten verpflichtenden Maßnahmen für Betreiber ab 2026. Die strategische Einbettung in eine Nationale KRITIS-Resilienzstrategie bis 2026 zielt darauf ab, die bestehende nationale KRITIS-Strategie zu ersetzen und den neuen Bedrohungslagen gerecht zu werden. Die erfolgreiche Umsetzung dieser Richtlinie ist essenziell, um die Resilienz und Sicherheit Kritischer Infrastrukturen in Deutschland und Europa langfristig zu gewährleisten.
Insgesamt stellt die EU-Richtlinie und das darauf basierende KRITIS-Dachgesetz einen wegweisenden Schritt für den Schutz Kritischer Infrastrukturen in Deutschland dar. Die umfassenden Maßnahmen und die klare institutionelle Rahmengebung bilden die Grundlage für eine resiliente und sichere Zukunft. Es bleibt abzuwarten, wie die praktische Umsetzung dieser Vorgaben gelingt und welche Herausforderungen sich in der Praxis ergeben werden.
30.05.2024