Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
jaheader_neu

Das neue KritisDachG

Von Rechtsanwalt Dr. Tilmann Dittrich | Apr 08, 2026
Kürzlich wurde das KritisDachG im Bundesgesetzblatt veröffentlicht. Mit dem Vorhaben werden bundeseinheitlich und sektorenübergreifend Mindeststandards für kritische Infrastrukturen von Energie bis Weltraum festgelegt. Fragen zu dem Gesetz an den Cybersecurity-Experten Dr. Tilmann Dittrich.

RDi: Wie will das KritisDachG Kritische Infrastrukturen schützen?

Dittrich: Das KritisDachG setzt die Resilienz-Richtlinie um und ergänzt die NIS-2-Richtlinie zur IT-Sicherheit, umgesetzt im BSI-Gesetz, um physische Gefahren. Die Unternehmen und öffentlichen Einrichtungen, die für die Gesellschaft und den Binnenmarkt essenziell sind, sollen einen All-Gefahren-Ansatz verfolgen. Ob eine Gefahr also aus dem cyberbezogenen oder physischen Risikobereich oder einer Gemengelage („Hybride Bedrohungslage“) stammt, soll für die Einrichtung letztlich irrelevant sein. Der Begriff „Dachgesetz“ klingt etwas hochtrabend und meint vor allem, dass das Dachgesetz die BSI-Kritisverordnung künftig formt und damit auch Auswirkungen auf das BSI-Gesetz hat, das ebenfalls auf die Verordnung zurückgreift. Insgesamt stehen die beiden Gesetze aber auf einer Stufe und adressieren die unterschiedlichen Risikobereiche.

RDi: Das KritisDachG macht keine konkreten Vorgaben, sondern verpflichtet Betreiber von Kritis geeignete und verhältnismäßige Maßnahmen zu ergreifen. Ist das aus Ihrer Sicht sinnvoll?

Dittrich: Grundsätzlich ist der risikobasierte Ansatz nichts Neues und auch sinnvoll. Die betroffenen Einrichtungen und die deshalb angemessenen Schutzmaßnahmen unterscheiden sich je nach Sektor doch erheblich. Eine Besonderheit ist jedoch die nationale Risikoanalyse vor der üblichen unternehmensbezogenen Analyse, die federführend von den für einen Sektor zuständigen Bundes- und Landesministerien erstellt wird. Sie muss jedenfalls alle vier Jahre erfolgen und gesetzliche Mindestvorgaben etwa zu den zu erwartenden Risiken erfüllen. Für die konkrete Umsetzung gibt der Gesetzgeber dann gewisse „Leitplanken“ vor. Bemerkenswert ist, dass der Gesetzgeber das Phänomen der Drohnensichtungen in den letzten Monaten nicht aufgegriffen hat, das geht er nur punktuell über die Novelle des Luftsicherheitsgesetzes an. Insgesamt hatte man als Beobachter das Gefühl, dass der Gesetzgeber, gerade auch durch den Stromausfall Anfang des Jahres in Berlin, hektisch seinen Fokus auf das Aufspüren von möglichen Tätergruppierungen hinter „Kritis-Ereignissen“ gelenkt hat, statt beim eigentlichen Thema zu bleiben, wie die Einrichtungen auf Ereignisse aller Art bestmöglich aufgestellt sind.

RDi: Der Bundesrat hat dem Gesetzentwurf zugestimmt, bleibt aber in einer begleitenden Entschließung bei seiner Kritik an dem Vorhaben. Ist diese nach ihrer Ansicht berechtigt?

Dittrich: Ich halte vor allem die Kritik zu den Schwellenwerten in der BSI-Kritisverordnung für richtig. Zur Einordnung: über diese Schwellenwerte werden die betroffenen kritischen Anlagen für das BSI-Gesetz und das KritisDachG festgelegt. Ohne eine tiefgreifend wissenschaftliche Begründung hat der Gesetzgeber sich vor einiger Zeit auf einen Schwellenwert von 500.000 versorgten Personen als Orientierungspunkt festgelegt. Das bedeutet, dass natürlich nur sehr große Einrichtungen diese Werte erreichen. Die Länder wollten die Schwelle auf 150.000 versorgte Personen senken, um auch die ländlichen Bereiche abzudecken. Im BSI-Gesetz ist das nicht so tragisch, weil aufgrund der EU-Vorgaben alle mittleren und Großunternehmen der Sektoren erfasst sind. Im KritisDachG gibt es diese Pflicht aber nicht und damit sind viele Einrichtungen eben nicht erfasst, auf die die Gesellschaft sehr wohl angewiesen ist. Leider scheint der Gesetzgeber aber nur so hoch springen zu wollen, wie er muss.

RDi: Das Bundesinnenministerium soll nun noch eine Rechtsverordnung erlassen. Was soll darin festgelegt werden und wann ist damit zu rechnen?

Dittrich: Mit der Novelle des BSI-Gesetzes Ende 2025 wurde die BSI-Kritisverordnung leicht angepasst, im Übrigen aber „bestätigt“. Da ich zumindest hoffe, dass der Gesetzgeber hierbei schon das nahende KritisDachG im Hinterkopf hatte, gehe ich nicht davon aus, dass die BSIKritisverordnung, die dann aufgrund des KritisDachG erneuert werden soll, gänzlich neu aufgestellt wird. Möglicherweise fließen irgendwann die Ergebnisse aus der nationalen Risikoanalyse ein. Leider hat sich hier der Gesetzgeber nicht für einen raschen Durchführungszeitpunkt, wie ursprünglich im Entwurf vorgesehen, entschieden, weshalb ich erst 2030 nach Ablauf des Vier-Jahres-Turnus für die Analysen mit einer ersten nationalen Risikoanalyse rechne. Bis dahin wird sich die Sicherheitslage im physischen Bereich weiter verschärft haben, das hat man nun leider in Kauf genommen.

Interview: Susanne Reinemann

Leseproben

RDi_Cover

RDi_2022_176-Aufsatz

BECK Stellenmarkt

Teilen:

Menü