Der von Bundesinnenministerin Nancy Faeser (SPD) an die anderen Ressorts der Regierung verschickte Entwurf für das sogenannte KRITIS-Dachgesetz sieht außerdem Bußgelder für Betreiber kritischer Infrastruktur vor, die ihren Verpflichtungen zur Absicherung von Anlagen und Geschäftsbetrieb nicht rechtzeitig nachkommen. Dabei wird ein sehr breiter Sicherheitsbegriff zugrunde gelegt, der von Alarmketten über den Schutz von Anlagen gegen Starkregen oder Waldbrände bis hin zur Anschaffung von Notstromaggregaten reicht.
Zur kritischen Infrastruktur im Sinne des Gesetzes zählen elf Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, öffentliche Verwaltung, Gesundheit, Ernährung, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik, Telekommunikation und Weltraum. Die Anforderungen aus dem geplanten neuen Gesetz gelten für alle großen Betreiber kritischer Infrastruktur. Konkret sind das Einrichtungen, die für die Versorgung von mindestens 500.000 Menschen gebraucht werden, etwa große Krankenhäuser oder Betreiber von Mobilfunknetzen.
Eine zentrale Rolle bei der Registrierung und Beratung ist für das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn vorgesehen. Hier soll auch ein Lagebild erstellt werden.
KRITIS-Dachgesetz ergänzt vorhandene Normen
Das neue Gesetz ergänzt bereits vorhandene Vorschriften wie beispielsweise die Trinkwasserverordnung oder gewisse DIN-Normen. Es gilt für einen etwas größeren Kreis von Unternehmen als das IT-Sicherheitsgesetz, das Unternehmen der kritischen Infrastruktur bereits verpflichtet, Angriffe auf ihre IT-Systeme beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Teil der im Entwurf für das Gesetz vorgesehenen Vorgaben sind auch Maßnahmen zur Anpassung an den Klimawandel.
Um Vorfälle abzuwehren und die Folgen solcher Vorfälle zu begrenzen, sind die KRITIS-Unternehmen zudem aufgefordert, feste Abläufe für den Alarmfall zu etablieren.
Enger Zeitplan
Das Gesetz, mit dem gleichzeitig eine EU-Richtlinie zum Schutz kritischer Infrastruktur umgesetzt würde, soll noch in diesem Jahr im Kabinett beschlossen werden. Bis dahin müssen allerdings noch einige Lücken im Entwurf geschlossen werden. Beispielsweise ist der Erfüllungsaufwand für die Wirtschaft noch nicht beziffert. Auch die Höhe der Bußgelder ist noch offen.
Um die EU-Vorgaben (CER-Richtlinie) zu erfüllen, müsste das KRITIS-Dachgesetz spätestens im Oktober 2024 in Kraft treten. Die im Entwurf genannten Maßnahmen sollten demnach bis Januar 2026 umgesetzt sein. Die Bußgeldvorschriften würden gemäß dem Entwurf dann ein Jahr später in Kraft treten.