Strenge Vorgaben für Energieunternehmen, Flughäfen und andere große Infrastruktur-Einrichtungen sollen Deutschland künftig besser vor Sabotage, Terroranschlägen und den Folgen von Naturkatastrophen schützen. Das Bundeskabinett hat an diesem Mittwoch den Entwurf für ein «Kritis-Dachgesetz» beschlossenen. Dieser sieht einheitliche Regeln zum Schutz der sogenannten kritischen Infrastruktur vor.
Die Betreiber kritischer Anlagen sind demnach unter anderem verpflichtet «einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten». Außerdem müssen sie Vorfälle abwehren und deren negative Auswirkungen begrenzen. Wie diese Auswirkungen im konkreten Fall aussehen können, hat etwa der großflächige Stromausfall in Teilen Berlins nach einem Brandanschlag diese Woche gezeigt.
«Mit dem Kritis-Dachgesetz machen wir Deutschland widerstandsfähiger gegen Krisen und Angriffe», sagt Bundesinnenminister Alexander Dobrindt (CSU). Mit einheitlichen Mindeststandards, Risikoanalysen und einem Störungsmonitoring würden die Abwehrfähigkeit und Resilienz der Einrichtungen der kritischen Infrastruktur erhöht.
Wer Vorgaben ignoriert, muss Bußgeld zahlen
Wenn sich Betreiber nicht an die Vorgaben des neuen Gesetzes halten, sollen sie mit Bußgeldern rechnen müssen. Der Gesetzentwurf schreibt ihnen unter anderem eine Registrierung sowie die Erarbeitung von Plänen zur Erhöhung der Widerstandsfähigkeit vor. Auch sollen die Betreiber verpflichtet werden, Störfälle zu melden.
Zu dem Gesetzesvorhaben gab es schon zu Zeiten der Ampel-Regierung einen Kabinettsbeschluss. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür allerdings keine Mehrheit mehr im Bundestag.
Zur kritischen Infrastruktur (Kritis) im Sinne des Gesetzes zählen zehn Sektoren: Energie, Transport und Verkehr, Finanzwesen, Sozialversicherung, Gesundheit, Ernährung, Wasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation sowie Weltraum. Mit dem neuen Gesetz sollen den Betreibern erstmals sektorenübergreifend Vorgaben im Hinblick auf eine Stärkung der Resilienz dieser Infrastrukturen gemacht werden.
Nur große Einrichtungen betroffen
Zur kritischen Infrastruktur zählen Einrichtungen, die für die Gesamtversorgung in Deutschland wichtig sind und mehr als 500.000 Menschen versorgen. Zudem werden gegenseitige Abhängigkeiten berücksichtigt - beispielsweise sind Transportwege auch für die Versorgung mit Nahrungsmitteln essenziell.
Das Kritis-Dachgesetz und die Umsetzung der europäischen NIS-2-Richtlinie, bei der es um den Schutz wichtiger Einrichtungen vor Cyberangriffen geht, sind aus Sicht von Experten zwei wichtige Komponenten einer Gesamtstrategie, um Deutschland widerstandsfähiger zu machen.
Nachbesserungen bei Vorgaben zu IT-Schutz gefordert
Über den Entwurf für die Umsetzung von NIS-2 in deutsches Recht, der bereits das Kabinett passiert hat, soll an diesem Donnerstag erstmals im Bundestag beraten werden. Der Bundesverband der Energie- und Wasserwirtschaft und der Verband kommunaler Unternehmen sehen in einigen Punkten erheblichen Verbesserungsbedarf.
In einem gemeinsamen Positionspapier fordern sie unter anderem, den Unternehmen «Blacklists» nicht vertrauenswürdiger oder «Whitelists» von Herstellern, die als vertrauenswürdig gelten, an die Hand zu geben - anstatt sie zu Einzelmeldungen zu verpflichten. Der Entwurf sieht aktuell vor, dass Betreiber kritischer Anlagen den geplanten erstmaligen Einsatz einer kritischen Komponente vorab dem Bundesinnenministerium anzeigen müssen, das diesen gegebenenfalls untersagen kann.
