NJW: Zu Beginn des Jahres waren tausende Menschen in Berlin nach einem Brandanschlag ohne Strom. Ist ein solcher Anschlag zukünftig ausgeschlossen?

Dittrich: Auf keinen Fall, das wird kein Gesetz schaffen können. Wichtig wäre vor allem ein politisches Umdenken, dass keine Sätze mehr im Sinne von „Auf so eine Krise kann keiner vorbereitet sein“ fallen. Das ist nicht zeitgemäß und realitätsfern.

NJW: Welche Anlagen fallen überhaupt unter die neuen Regelungen? Und wie viele sind das schätzungsweise?

Dittrich: Die Entwurfsbegründung geht von etwa 1.700 kritischen Anlagen aus. Im Vergleich hierzu sind vom BSIG schätzungsweise knapp 30.000 Einrichtungen betroffen. Interessant ist auch, dass der Gesetzgeber direkt im Entwurf klarstellt, dass er keine belastbare Schätzung des Erfüllungsaufwands für die Wirtschaft geben kann. Erfasst sind die Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung.

NJW: Wie will das KRITIS-Dachgesetz in Zukunft kritische Anlagen schützen?

Dittrich: Das Gesetz setzt die Resilienz-Richtlinie um und ergänzt die NIS-2-Richtlinie zur IT-Sicherheit, umgesetzt im BSIG, um physische Gefahren. Der Begriff „Dachgesetz“ klingt etwas hochtrabend und meint vor allem, dass das Dachgesetz die BSI-Kritisverordnung künftig formt und damit auch Auswirkungen auf das BSIG hat, das ebenfalls auf die Verordnung zurückgreift. Insgesamt stehen die beiden Gesetze aber auf einer Stufe und adressieren die unterschiedlichen Risikobereiche. Die Unternehmen und öffentlichen Einrichtungen, die für die Gesellschaft und den Binnenmarkt essenziell sind, sollen einen All-Gefahren-Ansatz verfolgen.

NJW: Was ist das für ein Ansatz? Was bedeutet er für die betroffenen Unternehmen?

Dittrich: Nach diesem Ansatz soll es für die Einrichtung letztlich irrelevant sein, ob eine Gefahr aus dem cyberbezogenen oder physischen Risikobereich oder einer Gemengelage („hybride Bedrohungslage“) stammt.

NJW: Das KRITIS-Dachgesetz sieht Risikoanalysen der staatlichen Stellen vor. Wie sehen sie aus?

Dittrich: Die Risikoanalyse hängt mit einer anschließenden Risikobewertung zusammen. Sie wird federführend von den für einen Sektor zuständigen Bundes- und Landesministerien erstellt. Sie muss jedenfalls alle vier Jahre erfolgen und gesetzliche Mindestvorgaben unter anderem zu den zu erwartenden Risiken durch Extremereignisse und hybride Bedrohungen erfüllen. Letztlich werden die Behörden vor allem Informationen über Vorfälle und geopolitische Entwicklungen berücksichtigen können.

NJW: Was sehen die Mindestanforderungen vor, die für alle Sektoren festgeschrieben werden?

Dittrich: Die betroffenen Einrichtungen müssen gewisse Grundprinzipien beachten. Vorfälle müssen durch einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen verhindert werden. Zur Prävention kommt die Planung der Reaktion durch ein Krisen- und „Wiederherstellungs“-Management.

NJW: Darüber hinaus macht das Gesetz keine konkreten Vorgaben, sondern verpflichtet Betreiber von KRITIS geeignete und verhältnismäßige Maßnahmen zu ergreifen. Ist das aus Ihrer Sicht sinnvoll?

Dittrich: Grundsätzlich ist der risikobasierte Ansatz nichts Neues und auch sinnvoll. Die betroffenen Einrichtungen und die deshalb angemessenen Schutzmaßnahmen unterscheiden sich je nach Sektor doch erheblich. Die nationale Risikoanalyse vor der üblichen unternehmensbezogenen Analyse ist eine Besonderheit. Für die konkrete Umsetzung gibt der Gesetzgeber gewisse „Leitplanken“ vor. Bemerkenswert ist, dass der Gesetzgeber das Phänomen der Drohnensichtungen in den letzten Monaten nicht aufgegriffen hat, das geht er nur punktuell über die zeitgleich im Bundesgesetzblatt veröffentlichte Novelle des Luftsicherheitsgesetzes an. Insgesamt hatte man als Beobachter das Gefühl, dass der Gesetzgeber, gerade auch durch den Stromausfall in Berlin, hektisch seinen Fokus auf das Aufspüren von möglichen Tätergruppierungen hinter „KRITIS-Ereignissen“ gelenkt hat, statt beim eigentlichen Thema zu bleiben, wie die Einrichtungen auf Ereignisse aller Art bestmöglich aufgestellt sind.

NJW: Der Bundesrat hat dem Gesetzentwurf zugestimmt, bleibt aber in einer begleitenden Entschließung bei seiner Kritik an dem Vorhaben. Sind die Beanstandungen der Länderkammer Ihrer Ansicht nach berechtigt?

Dittrich: Ich halte vor allem die Kritik zu den Schwellenwerten in der BSI-Kritisverordnung für richtig. Zur Einordnung: über diese Schwellenwerte werden die betroffenen kritischen Anlagen für das BSIG und das KRITIS-Dachgesetz festgelegt. Ohne eine tiefgreifend wissenschaftliche Begründung hat der Gesetzgeber sich vor einiger Zeit auf einen Schwellenwert von 500.000 versorgten Personen als Orientierungspunkt festgelegt. Das bedeutet, dass natürlich nur sehr große Einrichtungen diese Werte erreichen. Die Länder wollten die Schwelle auf 150.000 versorgte Personen senken, um auch die ländlichen Bereiche abzudecken. Im BSIG ist das nicht so tragisch, weil aufgrund der EU-Vorgaben alle mittleren und Großunternehmen der Sektoren erfasst sind. Im KRITIS-Dachgesetz gibt es diese Pflicht aber nicht und damit sind viele Einrichtungen eben nicht erfasst, auf die die Gesellschaft sehr wohl angewiesen ist. Leider scheint der Gesetzgeber aber nur so hoch springen zu wollen, wie er muss.

NJW: Fließt die Kritik des Bundesrats in weitere Überlegungen ein oder steht zu befürchten, dass sie ungehört verhallt?

Dittrich: Was verabschiedet ist, wird bestimmt erst einmal nicht angerührt. Vielleicht müssen wir auf eine zweite Resilienz-Richtlinie warten, bis handwerkliche Mängel, die es beispielsweise auch bei den Meldepflichten zwischen BSIG und KRITIS-Dachgesetz gibt, beseitigt werden. Oder ein großer weiterer Störvorfall löst noch einmal Veränderungen aus, wobei hier meist die beschriebene Hektik zu keinen sinnvollen Lösungen beiträgt. Ich bin also insgesamt nicht besonders optimistisch, dass die Kritikpunkte der Länderkammer aufgegriffen werden.

NJW: Das Bundesinnenministerium soll nun noch eine Rechtsverordnung erlassen. Wie geht es insgesamt weiter?

Dittrich: Mit der Novelle des BSIG Ende 2025 wurde die BSI-Kritisverordnung leicht angepasst, im Übrigen aber „bestätigt“. Da ich zumindest hoffe, dass der Gesetzgeber hierbei schon das nahende KRITIS-Dachgesetz im Hinterkopf hatte, gehe ich nicht davon aus, dass die BSI-Kritisverordnung, die dann aufgrund des KRITIS-Dachgesetzes erneuert werden soll, gänzlich neu aufgestellt wird. Möglicherweise fließen irgendwann die Ergebnisse aus der nationalen Risikoanalyse ein. Leider hat sich hier der Gesetzgeber nicht für einen raschen Durchführungszeitpunkt, wie ursprünglich im Entwurf vorgesehen, entschieden, weshalb ich erst 2030 nach Ablauf des Vier-Jahres-Turnus für die Analysen mit einer ersten nationalen Risikoanalyse rechne. Bis dahin wird sich die Sicherheitslage im physischen Bereich weiter verschärft haben, das hat man nun leider in Kauf genommen. 

Dr. Tilmann Dittrich, LL.M., studierte Jura an den Universitäten Tübingen und Freiburg im Breisgau und absolvierte ergänzend einen LL.M.-Studiengang im Medizinrecht an der Heinrich-Heine-Universität Düsseldorf. In seiner Promotion beschäftigte er sich mit den Compliance-Herausforderungen von Hilfsorganisationen im Rettungsdienst. Seine anwaltliche Karriere begann er bei einer auf Wirtschaftsstrafrecht spezialisierten Einheit. Mittlerweile ist er Rechtsanwalt bei der Frankfurter Kanzlei Schulte Rechtsanwälte und dort in der Praxisgruppe Data, Digital & Governance tätig. Daneben ist Dittrich Lehrbeauftragter für Medizinrecht an der Hochschule Anhalt sowie Mitglied des Scientific Advisory Board des cyberintelligence.institute.

Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.