I. Allgemeines
UNITI und ihre Mitglieder unterstützen grundsätzlich die Stärkung der Resilienz kritischer Anlagen und wichtiger und besonders wichtiger Einrichtungen mit Blick auf physische Maßnahmen und IT-Sicherheitsmaßnahmen.
Nach der vorgesehenen Konzeption soll das KRITIS-Dachgesetz neben das Gesetz über das Bundesamt in der Informationstechnik („BSIG“) treten. Ziel ist es, ein kohärentes System zur Stärkung der Resilienz kritischer Anlagen und weiterer – sog. wichtiger und besonders wichtiger – Einrichtungen zu schaffen, indem die Schnittstellen zwischen beiden Bereichen berücksichtigt und, soweit möglich und sinnvoll, übereinstimmend geregelt werden.
Es stellt sich auch die Frage, wer die Durchführung der Maßnahmen finanziert. Denn letztlich erhöhen die Unternehmen damit nicht nur die eigene Resilienz, sondern tragen maßgeblich zur gesamtgesellschaftlichen Resilienz bei.
II. Bürokratie
Eine bessere Rechtsetzung und Bürokratieabbau sind erklärte Ziel der Bundesregierung. Die Bundesregierung setzt sich für weniger Bürokratie und damit einfachere Regeln, weniger Zeitaufwand und weniger Kosten ein. Auch das Bundesministerium des Innern und für Heimat hat sich zu diesem Ziel bekannt.
Das KRITIS-Dachgesetz führt aber nicht zu weniger, sondern zu mehr Bürokratie und organisatorischem Aufwand auch für mittelgroße Unternehmen.
Das gesetzgeberische Ziel wird verfehlt, weil viele Bereiche, für die künftig Resilienzpläne ausgearbeitet und Maßnahmen durchgeführt werden müssen, bereits gesetzlich geregelt sind. Überschneidungen sind insbesondere hinsichtlich
- des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG),
- der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV)
- der Zwölfte Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes (Störfall-Verordnung - 12. BImSchV) sowie
- dem International Ship and Port Facility Security Code (ISPS-Code)
zu konstatieren. Hier würden wir es begrüßen, wenn die vorgenannten spezialgesetzlichen Regelungen zur Anwendung kommen und das KRITIS-Dachgesetz lediglich subsidiär gilt (anders § 15 Absatz 1 des Entwurfs).
III. Betroffenheit und Schwellenwerte
Der Entwurf des KRITIS-Dachgesetzes richtet sich primär an „Betreiber kritischer Anlagen“.
Betreiber einer kritischen Anlage ist gemäß dem Entwurf eine natürliche oder juristische Person, die bestimmenden Einfluss auf die Anlage ausübt. Eine kritische Anlage ist gemäß dem Entwurf eine Anlage, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens hat. Die Sektorzugehörigkeit und das Erreichen bestimmter Schwellenwerte sollen automatisch zu einer Einstufung als kritische Anlage führen.
Welche Anlagen im Einzelnen kritische Anlagen sind, soll laut Gesetzentwurf eine noch zu erlassenden Rechtsverordnung bestimmen. Nach § 15 des Entwurfs des KRITIS-Dachgesetzes bestimmt das Bundesministerium des Innern und für Heimat durch Rechtsverordnung - zwar in Abstimmung mit anderen Ministerien aber ohne Zustimmung des Bundesrates - in den jeweiligen Sektoren (z.B. Energie, Transport und Verkehr) anhand von branchenspezifischen Schwellenwerten, welche Anlagen davon als kritische Anlagen im Sinne dieses Gesetzes gelten.
Den Anwendungsbereich eines Gesetzes dieser Tragweite allein dem Verordnungsgeber zu überlassen, wird dem Gesetzesvorhaben nicht gerecht. Vielmehr ist es aus unserer Sicht angezeigt, die derzeit geltende Schwellenwertregelung, die in der BSI-KRITIS-Verordnung geregelt ist, zu übernehmen. Die dort festgelegten Schwellenwerte sind das Ergebnis intensiver Beratungen der Branchen mit dem Gesetzgeber in 2019. Eine Übernahme garantiert, dass kleinere und die meisten mittleren Unternehmen (KMU), die in unserem Verband die überwiegende Zahl der Mitglieder bilden, von dem Anwendungsbereich ausgeschlossen bleiben. Würden künftige niedrigere Schwellenwerte KMU einbeziehen, kämen eine Vielzahl von neuen Vorgaben auf Betreiber kritischer Anlagen zu. Gerade für Einrichtungen und Unternehmen, die bislang nicht in den Anwendungsbereich der aktuell geltenden KRITIS-Regelungen im BSIG und der KRITIS-VO fallen und sich dementsprechend noch nicht mit den bisher geltenden Vorgaben auseinandersetzen mussten, ergäbe sich ein erheblicher zusätzlicher finanzieller und administrativer Aufwand. Die Umsetzung der folgenden Regelungen würden KMU besonders belasten:
- § 8 des KRITIS Dach-Gesetzes „Registrierung der kritischen Anlage“,
- 9 des KRITIS Dach-Gesetzes Risikoanalysen und Risikobewertungen der Betreiber kritischer Anlagen“,
- § 11 des KRITIS Dach-Gesetzes „Resilienzmaßnahmen der Betreiber kritischer Anlagen“. Zu diesen Maßnahmen zählen solche, die erforderlich sind, um das Auftreten von Vorfällen zu verhindern einen physischen Schutz der Räumlichkeiten der Anlage zu gewährleisten, auf Vorfälle zu reagieren, sie abzuwehren und die Folgen zu begrenzen, nach Vorfällen die Wiederherstellung zu gewährleisten, ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten und das entsprechende Personal für solche Maßnahmen durch Informationsmaterialien, Schulungen und Übungen zu sensibilisieren.
- § 12 des KRITIS Dach-Gesetzes „Meldepflichten“
Die Umsetzung der vorgenannten Maßnahmen würde die Kapazitäten der KMU deutlich überstrapazieren und den angekündigten Bürokratieabbau konterkarieren.
IV. Registrierung, Aufsicht
Betreiber kritischer Anlagen sollen verpflichtet werden, die Anlage bei einer gemeinsam vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe („BBK“) und dem Bundesamt für Sicherheit in der Informationstechnik („BSI“) einzurichtenden Registrierungsstelle zu registrieren.
Das BBK ist gemäß dem Entwurf die national zuständige Behörde und zugleich zentrale Anlaufstelle im Sinne der CER-Richtlinie. In dieser Funktion ist das BBK für die Durchsetzung der Regelungen im KRITIS-Dachgesetz sowie den Austausch mit weiteren zentralen Anlaufstellen in anderen Mitgliedstaaten verantwortlich. Unterstützt wird das BBK durch das BSI und die Bundesnetzagentur. Diese sollen dem BBK die relevanten Informationen zu IT-Sicherheitsrisiken, -bedrohungen, -vorfällen sowie sonstigen Risiken, Bedrohungen und Vorfällen, die für kritische Anlagen bestehen, bereitstellen.
Die Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA wird im Gesetz angerissen, ist aber noch genauer auszugestalten – vor allem im Hinblick auf gemeinsame Registrierungs- und Meldewege. Die einheitliche Meldestelle soll wohl nur das BSI und das BBK, nicht aber auch andere Behörden erfassen. Hiermit besteht die Gefahr, dass der Grundsatz „Ein Vorfall eine Meldung“ nicht hinreichend umgesetzt wird. Überdies gibt es keine Hinweise, dass das BBK personell aufgestockt werden soll. Es bleibt somit fraglich ist, ob das BBK seine vielen neuen Aufgaben angemessen wahrnehmen können wird.