Haufe Online Redaktion
Haufe Online Redaktion
KRITIS-Dachgesetz: Sicherheit für kritische Infrastrukturen
Bild: Corbis

Mit dem KRITIS-Dachgesetz soll ein Schutzschirm für die kritischen Infrastrukturen in Deutschland gegen Bedrohungen aller Art aufgebaut und die Resilienz der kritischen Infrastruktureinrichtungen verbessert werden.

Strom- und Wasserversorgung, die Rettungsdienste, der Zahlungsverkehr - das alles gehört zur kritischen Infrastruktur (KRITIS) eines Landes. Gefahren drohen von diversen Seiten: Naturkatastrophen, hybride Bedrohungen, menschliches Versagen, Terrorismus, Sabotage, der Zusammenbruch von Lieferketten im Zusammenhang mit Pandemie oder Krieg können zu einer erheblichen Störung der öffentlichen Sicherheit und Ordnung führen. Die Herstellung und Verbesserung der Resilienz der KRITIS gegen solche Bedrohungslagen bezweckt der Gesetzentwurf des BMI.

KRITIS-DachG zur Umsetzung der CER-Richtlinie der EU

Der jetzt bekannt gewordene Gesetzentwurf des BMI enthält bundeseinheitliche und sektorübergreifende Vorgaben zur Identifizierung und zum Schutz von KRITIS. Er dient der Umsetzung der „EU-Critical-Entities-Resilience-Richtlinie“ (CER-Richtlinie) und soll die Regelungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) ergänzen.

Adressaten des Gesetzes

Der Gesetzentwurf richtet sich gemäß §§ 2, 4 KRITIS-DachG-E an die Betreiber kritischer Anlagen in den Sektoren Energie, Transport und Verkehr, Finanz und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik, Telekommunikation, Weltraum, öffentliche Verwaltung und Siedlungsabfallentsorgung. Betroffen sind Unternehmen oberhalb eines Schwellenwertes von 500.000 versorgten Einwohnern.

Neue Registrierungspflicht

Auf die Betreiber von kritischen Infrastrukturanlagen kommen künftig verschiedene Pflichten zu. Nach § 8 KRITIS-DachG-E sind Betreiber künftig verpflichtet, die von ihnen betriebene Anlage bei der vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam betriebenen Registerstelle zu registrieren. Gemäß § 8 Abs. 3 KRITIS-DachG-E hat jeder Betreiber von KRITIS dem BBK eine Kontaktstelle als Ansprechpartner zu benennen.

Risikoanalyse und Bewertung

Auf Grundlage der gemäß § 9 KRITIS-DachG-E durchgeführten nationalen Risikoanalysen und Risikobewertungen hat jeder Betreiber einer kritischen Anlage gemäß § 10 KRITIS-DachG-E die Pflicht, erstmals 9 Monate nach der Registrierung und dann periodisch alle 4 Jahre eigene Risikoanalysen und Bewertungen durchzuführen. Dabei sind zu berücksichtigen:

  • Die Wirtschaftsstabilität beeinträchtigende, naturbedingte, klimatische und vom Menschen verursachte Risiken,
  • Risiken sektorübergreifender und grenzüberschreitender Art,
  • hybride und andere feindliche Bedrohungen sowie
  • die Möglichkeit terroristischer Straftaten.

Einzelne Betreiberpflichten

Gemäß § 11 KRITIS-DachG-E werden Betreiber kritischer Anlagen verpflichtet, geeignete und verhältnismäßige technische, sicherheitsrelevante und organisatorische Maßnahmen zur Gewährleistung der erforderlichen Resilienz zu treffen. Die Maßnahmen sollen dem Stand der Technik entsprechen.

  • Gemäß § 11 Abs. 2 KRITIS-DachG-E sind Maßnahmen verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer Beeinträchtigung der kritischen Dienstleistung im Verhältnis zu den Folgen ihres Ausfalls oder ihrer Beeinträchtigung als angemessen erscheint.
  • Hierzu zählen sowohl Maßnahmen zur Verhinderung kritischer Vorfälle als auch Maßnahmen zu einer angemessenen Reaktion auf kritische Vorfälle.
  • Gemäß § 11 Abs. 6 KRITIS-DachG-E sind die Maßnahmen in einem Resilienzplan zu erfassen
  • die Erfüllung der Anforderungen an die Resilienz sind dem BBK im 2-Jahres-Rhythmus nachzuweisen.

Meldepflicht bei kritischen Vorfällen

Gemäß § 12 KRITIS-DachG-E sind die Betreiber verpflichtet, kritische Vorfälle an die zuständigen Behörden zu melden. Dabei sind Angaben über die Anzahl der durch die Störung betroffenen Nutzer, die voraussichtliche Dauer der Störung sowie das betroffene geographische Gebiet zu machen, § 12 Abs. 1 KRITIS-DachG-E.

BBK kann Bußgelder verhängen

Bei Verstößen kann das BBK gemäß § 19 KRITIS-DachG-E als zuständige Aufsichtsbehörde Bußgelder verhängen. Voraussetzung ist allerdings, dass der Betreiber der kritischen Anlage zuvor aufgefordert wurde, innerhalb einer angemessenen Frist seinen Verpflichtungen nachzukommen.

Noch keine Regelung für Umgang mit kritischen Komponenten

Das BMI hat sich die Regelung zum Einsatz kritischer Komponenten (darunter fallen beispielsweise bestimmte Komponenten chinesischer Hersteller) in § 13 KRITIS-DachG-E noch offengehalten. Die Vorschrift ist noch nicht ausformuliert.

Umfangreiche Verordnungsbefugnisse des BMI

Darüber enthält § 15 KRITIS-DachG-E umfangreiche Ermächtigungen des BMI zum Erlass von Rechtsverordnungen in den unterschiedlichen Sektoren jeweils im Einvernehmen mit weiteren Bundesministerien. Gemäß § 16 KRITIS-DachG-E kann das BMI unter bestimmten Voraussetzungen Betreiber durch Ausnahmebescheide von bestimmten Verpflichtungen nach dem KRITIS-DachG-E befreien.

Recht des BBK zur Verarbeitung personenbezogener Daten

Gemäß § 17 KRITIS-DachG-E erhält das BBK das Recht zur Verarbeitung personenbezogener Daten, soweit dies zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben erforderlich ist und eine Verarbeitung anonymisierter Daten für die Aufgabenerfüllung nicht ausreicht.

Der KRITIS-DachG-E sieht lange Vorlaufzeiten vor

Der Gesetzentwurf befindet sich zurzeit in der Ressortabstimmung. Hier sind noch einige Änderungswünsche der Ministerien zu erwarten. In Kraft treten soll das Gesetz am Tag nach seiner Verkündung. Die Regelungen zu den wesentlichen Pflichten der Betreiber kritischer Anlagen sollen erst zum 01.01.2026 in Kraft treten, die Bußgeldvorschriften erst zum 01.01.2027, § 20 KRITIS-DachG-E.


Das könnte Sie auch interessieren:

Digital Services Act: Was kommt auf Betreiber von Webshops zu?

Endgerätewahlfreiheit bei Internetzugang

Schlagworte zum Thema:  IT-Infrastruktur
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema Strafrecht & öffentl. Recht
Neue Entwicklungen und rechtliche Herausforderung: KI und Arbeitsrecht: Chancen und Risiken
AKA -Empfehlung Recht- 35055

Die rasante Entwicklung der Künstlichen Intelligenz sowie die Tatsache, dass KI immer weiter Einzug in verschiedenste Arbeitsbereiche hält, bringen eine Vielzahl rechtlicher Fragen mit sich. Dieses Webinar gibt Ihnen wertvolle Impulse sowie konkrete Anregungen, worauf Sie hierbei achten müssen.  
IT-Sicherheitsgesetz 2.0: Frist für Selbsterklärung endet für UBI 1-Unternehmen am 1. Mai
Frau und Daten

Unternehmen im besonderen öffentlichen Interesse (UBI) müssen Selbsterklärung zur IT-Sicherheit abgeben
NIS 2: Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS 2)
Cyber City PropTech

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.
Rechte und Pflichten: Praxishandbuch KI und Recht
Praxishandbuch KI und Recht

Das Buch führt in die rechtlichen Grundlagen im Zusammenhang mit dem Einsatz von KI ein. Insbesondere werden die neue europäische KI-Verordnung (AI Act) und die sich daraus ergebenden Rechte und Pflichten behandelt. Auch Haftungsfragen und für die datenschutzkonforme KI-Nutzung werden dargestellt. 
Sommer, SGB V § 392 IT-Sich... / 2.1 IT-Sicherheit (Abs. 1)
Sommer, SGB V § 392 IT-Sich... / 2.1 IT-Sicherheit (Abs. 1)

  Rz. 5 Alle Krankenkassen (§ 4) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, ...

4 Wochen testen