Das Gesetz, mit dem gleichzeitig eine EU-Richtlinie zum Schutz kritischer Infrastruktur umgesetzt würde, soll noch in diesem Jahr im Kabinett beschlossen werden.
(Foto: IMAGO/Bernd Elmenthaler)
Berlin Um die Versorgung der Bevölkerung mit Strom, Trinkwasser und anderen essenziellen Gütern jederzeit sicherzustellen, sollen künftig strengere gesetzliche Schutzvorschriften für Einrichtungen der sogenannten kritischen Infrastruktur gelten.
Das betrifft sowohl staatliche Einrichtungen als auch private Unternehmen einer gewissen Größenordnung, etwa Energieversorger oder Flughafenbetreiber.
Der am Montag vom Bundesinnenministerium an die anderen Ressorts der Regierung verschickte Entwurf für das sogenannte KRITIS-Dachgesetz sieht außerdem Bußgelder für Betreiber kritischer Infrastruktur vor, die ihren Verpflichtungen zur Absicherung von Anlagen und Geschäftsbetrieb nicht rechtzeitig nachkommen.
Dabei wird ein sehr breiter Sicherheitsbegriff zugrunde gelegt, der von Alarmketten über den Schutz von Anlagen gegen Starkregen oder Waldbrände bis hin zur Anschaffung von Notstromaggregaten reicht.
Zur kritischen Infrastruktur im Sinne des Gesetzes zählen elf Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, öffentliche Verwaltung, Gesundheit, Ernährung, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik, Telekommunikation und Weltraum.
Große Betreiber kritischer Infrastruktur müssen Anforderungen erfüllen
Die Anforderungen aus dem geplanten neuen Gesetz müssen, wenn das KRITIS-Dachgesetz verabschiedet ist, alle großen Betreiber kritischer Infrastruktur erfüllen. Konkret sind das Einrichtungen, die für die Versorgung von mindestens 500 000 Menschen gebraucht werden, etwa große Krankenhäuser oder Betreiber von Mobilfunknetzen.
Eine zentrale Rolle bei der Registrierung und Beratung ist für das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn vorgesehen. Hier soll auch ein Lagebild erstellt werden. Damit würde dann beispielsweise auffallen, wenn es in einem bestimmten Sektor oder in mehreren Regionen Ausfälle oder Sabotageakte geben sollte.
Das neue Gesetz ergänzt bereits vorhandene Vorschriften wie beispielsweise die Trinkwasserverordnung oder gewisse DIN-Normen. Es gilt für einen etwas größeren Kreis von Unternehmen als das IT-Sicherheitsgesetz, das Unternehmen der kritischen Infrastruktur bereits verpflichtet, Angriffe auf ihre IT-Systeme beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Der Gesetzentwurf enthält zu konkreten Sicherheitsfragen, beispielsweise der Verhinderung des Zutritts von Unbekannten zu KRITIS-Anlagen wie Flughäfen oder Wasserwerken nur allgemeine, aber keine genauen Vorgaben. Die Betreiber können also beispielsweise selbst entscheiden, wie hoch sie ihre Zäune und Mauern ziehen, oder ob sie eher auf Videokameras und Wachschutz setzen.
Bundesinnenministerin Nancy Faeser (SPD) hatte nach den Flughafen-Blockaden durch Aktivisten der Gruppe Letzte Generation in der vergangenen Woche gesagt, es werde demnächst Standards für die Betreiber kritischer Infrastruktur geben. „Dazu gehören auch die Flughäfen, und das wird auch zu einer besonderen Sicherheit der Flughäfen weiterhin führen.“
>> Lesen Sie auch: „Das ist ein gewaltiger Kraftakt“ – Faeser drängt auf Einigung bei EU-Asylreform
Teil der im Entwurf für das Gesetz vorgesehenen Vorgaben sind auch Maßnahmen zur Anpassung an den Klimawandel. Um Vorfälle abzuwehren und die Folgen solcher Vorfälle zu begrenzen, sind die KRITIS-Unternehmen zudem aufgefordert, feste Abläufe für den Alarmfall zu etablieren.
Das Gesetz, mit dem gleichzeitig eine EU-Richtlinie zum Schutz kritischer Infrastruktur umgesetzt würde, soll noch in diesem Jahr im Kabinett beschlossen werden. Bis dahin müssen allerdings noch einige Lücken im Entwurf geschlossen werden.
Beispielsweise ist darin der Erfüllungsaufwand für die Wirtschaft, also eine qualifizierte Schätzung, welche zusätzlichen Kosten dadurch auf die betroffenen Unternehmen zukommen, noch nicht beziffert. Auch die Höhe der Bußgelder ist noch offen.
Noch nicht ausbuchstabiert sind auch die Vorgaben zum „Einsatz kritischer Komponenten“. Dabei geht es um Bauteile und Produkte, bei denen Störungen oder mangelnde Verfügbarkeit zu erheblichen Beeinträchtigungen der Funktionsfähigkeit der kritischen Infrastruktur oder gar zu Gefährdungen für die öffentliche Sicherheit führen können.
EU-Kommission schon früher empfohlen risikobehaftete Anbieter aus Kernbereichen rauszuhalten
Wie aus einem im März bekannt gewordenen Schreiben des Bundesinnenministeriums an die Netzbetreiber hervorgeht, hält das Ministerium eine Beeinträchtigung der öffentlichen Ordnung und der Sicherheit in Deutschland durch Komponenten von Huawei und ZTE für möglich.
Daher sollen alle kritischen – also sicherheitsrelevanten – Teile, die schon im Mobilfunknetz verbaut sind, einer Prüfung unterzogen werden. Bisher bezog sich diese Prüfpflicht nur auf kritische Teile, die neu eingebaut werden.
Um die EU-Vorgaben (CER-Richtlinie) zu erfüllen, müsste das KRITIS-Dachgesetz spätestens im Oktober 2024 in Kraft treten. Die im Entwurf genannten Maßnahmen, die Einrichtungen der kritischen Infrastruktur widerstandsfähiger machen sollen, sollten demnach bis zum 1. Januar 2026 umgesetzt sein. Die Bußgeldvorschriften würden gemäß dem Entwurf dann ein Jahr später in Kraft treten.
Mehr: Wie Nancy Faeser BSI-Präsident Arne Schönbohm schasste
