UNITI-Stellungnahme zum Entwurf eines Gesetzes des Bundesministeriums des Innern und für Heimat zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz von Betreibern kritischer Anlagen

Sehr geehrte Damen und Herren,

für die Möglichkeit der Abgabe einer Stellungnahme anlässlich der Verbändeanhörung zum Entwurf eines Gesetzes des Bundesministeriums des Innern und für Heimat zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz von Betreibern kritischer Anlagen, nachfolgend E-KRITIS DachG, danken wir.

I. Allgemeines

UNITI und ihre Mitglieder unterstützen grundsätzlich die Stärkung der Resilienz kritischer Anlagen und wichtiger und besonders wichtiger Einrichtungen mit Blick auf physische Maßnahmen und IT-Sicherheitsmaßnahmen. Allerdings kann nach dem neu eingefügten § 4 Absatz 2 des E-KRITIS-DachG das Bundesministerium des Innern und für Heimat im eigenen Betreiben weitere Betreiber kritischer Anlagen festlegen. Damit besteht die Möglichkeit, den Anwendungsbereich des geplanten Gesetzes uferlos und willkürlich auszuweiten.

Die in § 4 Absatz 2 des E-KRITIS-DachG vorgesehen Kriterien sind nicht geeignet und zu unbestimmt, den Anwendungsbereich ausreichend bestimmt einzugrenzen bzw. zu definieren. Nach der vorgesehenen Konzeption soll das KRITIS-Dachgesetz neben das Gesetz über das Bundesamt in der Informationstechnik („BSIG“) treten. Ziel ist es, ein kohärentes System zur Stärkung der Resilienz kritischer Anlagen und weiterer – sog. wichtiger und besonders wichtiger – Einrichtungen zu schaffen, indem die Schnittstellen zwischen beiden Bereichen berücksichtigt und, soweit möglich und sinnvoll, übereinstimmend geregelt werden. Die Überschneidungen sind jedoch nicht übereinstimmend geregelt und es besteht darüber hinaus keine Klarheit, welche Anforderungen wie gelten sollen. Das Ziel eines kohärenten Systems wird mithin verfehlt, da sich der Regelungsgehalt jedenfalls teilweise mit anderen Gesetzen und Verordnungen überschneidet.

Nachfolgend nehmen wir zu den problematischen Teilen des E-KRITIS DachG im Einzelnen Stellung.

II. Bürokratie

Eine bessere Rechtsetzung und Bürokratieabbau sind erklärte Ziele der Bundesregierung. Die Bundesregierung setzt sich für weniger Bürokratie und damit einfachere Regeln, weniger Zeitaufwand und weniger Kosten ein. Auch das Bundesministerium des Innern und für Heimat hat sich zu diesem Ziel bekannt.

Das KRITIS-Dachgesetz führt aber nicht zu weniger, sondern zu mehr Bürokratie. Zwar knüpfen viele vorgesehene Vorgaben an bereits im KRITIS-Bereich bestehende Regelungen an. Gleichzeitig kommen aber auch eine Vielzahl von neuen Vorgaben auf Betreiber kritischer Anlagen zu. Gerade für Einrichtungen und Unternehmen, die bislang nicht in den Anwendungsbereich der aktuell geltenden KRITIS-Regelungen im BSIG und der KRITIS-VO fallen und sich dementsprechend noch nicht mit den bisher geltenden Vorgaben auseinandersetzen mussten, gilt, dass diese sich nunmehr frühzeitig mit den neuen Vorgaben befassen und die weiteren Entwicklungen genau beobachten müssen. Denn erfahrungsgemäß ist die Umsetzung von Maßnahmen im Bereich der Informations-, IT-oder Cyber-Sicherheit regelmäßig mit erheblichen Aufwänden verbunden und bedarf einer langfristigen Planung. Insbesondere macht es der geplante § 4 Absatz 2 E-KRITIS-DachG für die Betroffenen nicht vorhersehbar, ob sie mit den Anlagen in den Anwendungsbereich des Gesetzes fallen.

III. Regelungshierarchie

Das gesetzgeberische Ziel eines „kohärenten Systems“ wird verfehlt, weil Bereiche, für die künftig Resilienzpläne ausgearbeitet und Maßnahmen durchgeführt werden müssen, bereits gesetzlich geregelt sind. Überschneidungen sehen wir insbesondere hinsichtlich

➢ des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG),

➢ der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV),

➢ der Zwölfte Verordnung zur Durchführung des BundesImmissionsschutzgesetzes (Störfall-Verordnung - 12. BImSchV) sowie

➢ dem International Ship and Port Facility Security Code (ISPS-Code).

IV. Betroffenheit und Schwellenwerte

Der Entwurf des KRITIS-Dachgesetzes richtet sich primär an „Betreiber kritischer Anlagen“. Betreiber einer kritischen Anlage ist gemäß dem Entwurf eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage ausübt. Die Sektorzugehörigkeit und das Erreichen bestimmter Schwellenwerte sollen automatisch zu einer Einstufung als kritische Anlage führen.

Welche Anlagen im Einzelnen kritische Anlagen sind, soll sich nach § 4 E-KRITIS-DachG i.V.m. § 16 E-KRITIS-DachG nach einer noch zu erlassenden Rechtsverordnung bestimmen. Nach § 16 E-KRITIS-DachG bestimmt das Bundesministerium des Innern und für Heimat durch Rechtsverordnung - zwar in Abstimmung mit anderen Ministerien aber ohne Zustimmung des Bundesrates - in den jeweiligen Sektoren ( z.B. Energie, Transport und Verkehr) anhand von branchenspezifischen Schwellenwerten, welche Anlagen davon als kritische Anlagen im Sinne dieses Gesetzes gelten.

Den Anwendungsbereich eines Gesetzes dieser Tragweite dem Verordnungsgeber zu überlassen, wird dem Gesetzesvorhaben nicht gerecht. Vielmehr ist es aus unserer Sicht angezeigt, auch die einzelnen Schwellenwerte der Sektoren bereits im KRITIS-Dachgesetz zu regeln.

Nach der derzeitigen Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSIGesetz (BSI-Kritisverordnung - BSI-KritisV) wird für die Berechnungsformel zur Ermittlung der Schwellenwerte von dem Regelschwellenwert von 500.000 zu versorgenden Personen ausgegangen, Anhang 1 Teil 2. Dieser Regelschwellenwert wurde zutreffend in § 4 Absatz 1 EKRITIS-DachG übernommen. Nach Anhang 1 Teil 2 Ziffer 11 ergibt sich gemäß dieser Berechnungsformel für Tankstellen eine (verteilte) Kraftstoffmenge von 420.000 t/Jahr. Aus unserer Sicht ist es zwingend erforderlich, diesen Schwellenwert für die Anlagenkategorien 3.3 auch in das KRITIS-DachG bzw. zumindest aber in die zu erlassende Rechtsverordnung nach § 16 des E-KRITIS-DachG entsprechend aufzunehmen. Eine Verringerung der verteilten Kraftstoffmenge würde zu einer sinnlosen Erweiterung des Anwendungsbereichs des E-KRITISDachG auch auf kleinere und mittlere Unternehmen (KMU) führen.

Aus diesem Grund lehnen wir eine Reduzierung der Schwellenwerte strikt ab.

Auch die Festlegung von kritischen Anlagen unterhalb der genannten Schwellenwerte durch das Bundesministerium des Innern und für Heimat nach § 4 Absatz 2 E-KRITIS-DachG - anhand 5 von unbestimmten und unbestimmbaren Kriterien - führt dazu, dass der Regelungsbereich und damit die Betroffenheit willkürlich ausgeweitet werden kann.

Daher sollte der geplante § 4 Absatz 2 E-KRITIS-DachG ersatzlos gestrichen werden.

Im Übrigen sollten die Schwellenwerte nach dem KRITIS-Dachgesetzes bzw. gemäß der auf Grundlage des § 16 E-KRITIS-DachG erlassenen Rechtverordnung in jedem Fall so ausgestaltet sein, dass kleinere und mittlere Unternehmen (KMU), die in unserem Verband die überwiegende Zahl der Mitglieder bilden, von dem Anwendungsbereich ausgeschlossen bleiben. Würden die künftigen Schwellenwerte KMU`s einbeziehen, kämen eine Vielzahl von neuen Vorgaben auf Betreiber kritischer Anlagen zu. Gerade für Einrichtungen und Unternehmen, die bislang nicht in den Anwendungsbereich der aktuell geltenden KRITISRegelungen im BSIG und der KRITIS-VO fallen und sich dementsprechend noch nicht mit den bisher geltenden Vorgaben auseinandersetzen mussten, ergäbe sich ein erheblicher zusätzlicher finanzieller und administrativer Aufwand.

Die Umsetzung der folgenden Regelungen würden KMU besonders belasten:

➢ § 6 des KRITIS Dach-Gesetzes „Registrierung der kritischen Anlage“,

➢ § 9 des KRITIS Dach-Gesetzes Risikoanalysen und Risikobewertungen der Betreiber kritischer Anlagen“,

➢ § 10 des KRITIS Dach-Gesetzes „Resilienzmaßnahmen der Betreiber kritischer Anlagen; Resilienzplan“. Die Betreiber kritischer Anlagen sind nach Ablauf von 10 Monaten nach Registrierung verpflichtet, Maßnahmen zu treffen , die erforderlich sind, um das Auftreten von Vorfällen zu verhindern, einen physischen Schutz der Liegenschaft und kritischen Anlagen zu gewährleisten, auf Vorfälle zu reagieren, sie abzuwehren und die Folgen zu begrenzen, nach Vorfällen die Wiederherstellung der kritischen Dienstleistung zu gewährleisten, ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten und das Personal für solche Maßnahmen durch Informationsmaterialien, Schulungen und Übungen zu sensibilisieren.

➢ § 12 des KRITIS Dach-Gesetzes „Meldewesen für Vorfälle“

Die Umsetzung der vorgenannten Maßnahmen würde die Kapazitäten unserer mittelständischen Mitglieder deutlich überstrapazieren und den angekündigten Bürokratieabbau konterkarieren. Zudem würde eine (sachfremde und willkürliche) Erweiterung des Anwendungsbereichs auch dem Sinn und Zweck des Gesetzes einer Stärkung der Resilienz kritischer Infrastrukturen zuwiderlaufen.

V. Registrierung, Aufsicht

Betreiber kritischer Anlagen sind verpflichtet die Anlage bei einer gemeinsam vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe („BBK“) und dem Bundesamt für Sicherheit in der Informationstechnik („BSI“) einzurichtenden Registrierungsstelle zu registrieren.

Das BBK ist gemäß dem Entwurf die national zuständige Behörde und zugleich zentrale Anlaufstelle. In dieser Funktion ist das BBK für die Durchsetzung der Regelungen im KRITISDachgesetz sowie den Austausch mit weiteren zentralen Anlaufstellen in anderen Mitgliedstaaten verantwortlich. Unterstützt wird das BBK durch das BSI und die Bundesnetzagentur. Diese sollen dem BBK die relevanten Informationen zu ITSicherheitsrisiken, -bedrohungen, -vorfällen sowie sonstigen Risiken, Bedrohungen und Vorfällen, die für kritische Anlagen bestehen, bereitstellen.

Die Orchestrierung zwischen BBK und den anderen Regulierungsbehörden wie BSI und BNetzA wird im Gesetz angerissen, ist aber noch genauer auszugestalten – vor allem im Hinblick auf gemeinsame Registrierungs- und Meldewege. Die einheitliche Meldestelle soll wohl nur das BSI und das BBK, nicht aber auch andere Behörden erfassen. Hiermit besteht die Gefahr, dass der Grundsatz „Ein Vorfall eine Meldung“ nicht hinreichend umgesetzt wird. Überdies gibt es keine Hinweise, dass das BBK personell aufgestockt werden soll. Es bleibt somit fraglich ist, ob das BBK seine vielen neuen Aufgaben angemessen wahrnehmen können wird.

Für Fragen stehen wir sehr gern zur Verfügung.

II. Bürokratie

Eine bessere Rechtsetzung und Bürokratieabbau sind erklärte Ziele der Bundesregierung. Die Bundesregierung setzt sich für weniger Bürokratie und damit einfachere Regeln, weniger Zeitaufwand und weniger Kosten ein. Auch das Bundesministerium des Innern und für Heimat hat sich zu diesem Ziel bekannt. Das KRITIS-Dachgesetz führt aber nicht zu weniger, sondern zu mehr Bürokratie. Zwar knüpfen viele vorgesehene Vorgaben an bereits im KRITIS-Bereich bestehende Regelungen an. Gleichzeitig kommen aber auch eine Vielzahl von neuen Vorgaben auf Betreiber kritischer Anlagen zu. Gerade für Einrichtungen und Unternehmen, die bislang nicht in den Anwendungsbereich der aktuell geltenden KRITIS-Regelungen im BSIG und der KRITIS-VO fallen und sich dementsprechend noch nicht mit den bisher geltenden Vorgaben auseinandersetzen mussten, gilt, dass diese sich nunmehr frühzeitig mit den neuen Vorgaben befassen und die weiteren Entwicklungen genau beobachten müssen. Denn erfahrungsgemäß ist die Umsetzung von Maßnahmen im Bereich der Informations-, IT-oder Cyber-Sicherheit regelmäßig mit erheblichen Aufwänden verbunden und bedarf einer langfristigen Planung. Insbesondere macht es der geplante § 4 Absatz 2 E-KRITIS-DachG für die Betroffenen nicht vorhersehbar, ob sie mit den Anlagen in den Anwendungsbereich des Gesetzes fallen.