BMI: Eckpunktepapier für KRITIS-Dachgesetz vorgelegt


Vor dem Hintergrund uneinheitlicher Regelungen für den physischen Schutz Kritischer Infrastrukturen (KRITIS) und angesichts sektorübergreifender Abhängigkeiten hat das Bundesministerium des Innern und für Heimat (BMI) ein Eckpunktepapier für ein KRITIS-Dachgesetz vorgelegt. Dabei soll das Gesamtsystem zum physischen Schutz Kritischer Infrastrukturen in den Blick genommen und gesetzlich geregelt werden.

Das KRITIS-Dachgesetz ergänzt damit auch die bestehenden Regelungen zum Cyberschutz von Kritischen Infrastrukturen und wird für ein kohärentes und resilientes System sorgen. Es soll die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience – CER-Richtlinie) umsetzen, die voraussichtlich Ende 2022 verabschiedet wird.

Ziel des KRITIS-Dachgesetzes ist es u.a.:

  • Die Resilienz des Gesamtsystems der Kritischen Infrastrukturen durch einheitliche Mindestvorgaben für Resilienzmaßnahmen in allen Sektoren zu stärken.
  • Verpflichtende Schutzstandards für die physische Sicherheit Kritischer Infrastrukturen zu erweitern und die Schaffung eines staatlichen Rahmens mit dem einzuführenden Meldewesen für Sicherheitsvorfälle und Kontrollen.

Dabei geht es um folgende Regelungsinhalte:

  • Die in der BSI-Kritisverordnung bestehende Bestimmung Kritischer Infrastrukturen iSd BSI-Gesetzes mit dem Fokus auf mögliche Beeinträchtigungen der Versorgungssicherheit durch Bedrohungen aus dem Cyberraum soll durch eine systematische und umfassende Identifizierung aller besonders schützenswerten Kritischen Infrastrukturen ergänzt werden (durch Festlegung von Definitionen, Sektoren, kritischen Dienstleistungen sowie Schwellenwerten).
  • Regelmäßige staatliche Risikobewertungen für die kritischen Dienstleistungen (mindestens alle vier Jahre).
  • Betreibern der Kritischen Infrastrukturen in allen Sektoren werden die gleichen Mindestvorgaben im Bereich der physischen Sicherheit auferlegt, u.a. die Einrichtung eines betrieblichen Risiko- und Krisenmanagements; die Durchführung von Risikoanalysen und -bewertungen; die Erstellung von Resilienzplänen und die Umsetzung geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen sowie von Sicherheitsmaßnahmen für die jeweilige Einrichtung.
  • Einführung eines zentralen Störungs-Monitorings als Ergänzung zum bestehenden Meldewesen im Bereich der Cybersicherheit. Die Meldung muss der zuständigen Behörde „zeitnah“ erstattet werden und es der Behörde ermöglichen, Art und mutmaßliche Ursache sowie mögliche Folgen des Sicherheitsvorfalls nachvollziehen und ermitteln zu können.
  • Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wird zu der übergreifenden zuständigen Behörde für den physischen Schutz Kritischer Infrastrukturen ausgebaut. Es wird ggf. gemeinsam mit weiteren fachlichen Aufsichtsbehörden, die Einhaltung der nach dem KRITIS-Dachgesetz vorgesehenen Mindestvorgaben für Resilienzmaßnahmen beaufsichtigen und durchsetzen und dabei mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eng zusammenarbeiten. Das Bundesministerium des Innern und für Heimat (BMI) wird seine Koordinierungsrolle in Deutschland und im europäischen System verstärken und als Verbindungsstelle zu anderen Mitgliedstaaten, Drittstaaten und der Europäischen Kommission fungieren.