Grundwissen

Dieses Grundwissen gibt einen Überblick über die Kritis-Regulierung aus Sicht der Betreiber von kritischen Infrastrukturen in den Sektoren Energie, Informationstechnologie und Telekommunikation, Wasser und Abwasser sowie Siedlungsabfallentsorgung. Hiervon ausgehend greifen die Blogposts einzelne Themen genauer auf. Ziel ist, dass insbesondere kleine und mittlere Unternehmen ein Grundwissen der Kritis-Regulierung erwerben können.

Nach der offiziellen Definition der deutschen Kritis-Strategie (nachfolgend: allgemeine Kritis-Definition) werden kritische Infrastrukturen wie folgt definiert:

"Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden."

Der Begriff der kritischen Infrastruktur wird allerdings nicht einheitlich verwendet, sondern wird kontextabhängig unterschiedlich verstanden. Meistens wird der Begriff der kritischen Infrastruktur verwendet, um Anlagen zu beschreiben, die kritische Infrastrukturen im Sinne des IT-Sicherheitsrechts sind.

Die entsprechende Definition findet sich in § 2 Abs. 10 BSIG in Verbindung mit der BSI-KritisV. Zur Bestimmung der kritischen Infrastrukturen wird ein qualitatives Kriterium mit einem quantitativen Kriterium kombiniert:

• Als qualitatives Kriterium werden bestimmte Sektoren beschrieben (Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung), die eine Teilmenge der allgemeinen Kritis-Definition darstellen.
• Als quantatives Kriterium wurde im Grundsatz ein Regelschwellenwert von 500.000 versorgten Personen zugrunde gelegt.

Zukünftig wird der so verstandene Begriff der kritischen Infrastruktur durch den Begriff der kritischen Anlage ersetzt.

Weiterführende Links:

• Webseite des BSI zum Kritis-Begriff
• Deutsche Kritis-Strategie
• Kritis-Vokabular

"Der Schutz der Kritischen Infrastrukturen einschließlich systemrelevanter Unternehmen ist von entscheidender Bedeutung für die Sicherheit unseres Lebens und unserer Freiheit."

Dieses Zitat aus der nationalen Sicherheitsstrategie macht deutlich, was auf dem Spiel steht und warum die kritischen Infrastrukturen besonders geschützt werden müssen. Denn wie lange würde es dauern bis unsere Gesellschaft zusammenbricht, wenn kein Strom fließt, die Wasserversorgung und Internetverbindung unterbrochen ist und der Abfall sich auf den Straßen stapelt?

Eine Besonderheit ist, dass diese Basisdienstleistungen meist von privaten Unternehmen bzw. Unternehmen privatrechtlicher Form erbracht werden. Dies macht eine besondere Zusammenarbeit zwischen staatlichen Stellen und Unternehmen notwendig, denn keine Seite kann den Schutz dieser Basisdienstleistungen alleine sicherstellen.

Die Anforderungen an den Schutz der kritischen Infrastrukturen sind bisher über eine Vielzahl von Gesetzen verteilt. Dabei konnte man zwischen dem IT-Sicherheitsrecht und den sonstigen Gesetzen unterscheiden.

Das IT-Sicherheitsrecht umfasst insbesondere das BSIG (inklusive der BSI-KritisV) und Teile des TKG und des EnWG. Das sogenannte „IT-Sicherheitsgesetz“ ist dagegen kein einzelnes Gesetz, sondern ein Artikelgesetz für die verschiedenen gesetzlichen Regelungen zum Schutz der IT-Sicherheit.

Sonstige Regelungen zum Schutz der kritischen Infrastrukturen finden sich bisher insbesondere im ROG und im ZSKG. Auch in der AWV finden sich entsprechende Regelungen.

Bisher existiert kein übergreifendes Gesetz, das den Schutz von kritischen Infrastrukturen einheitlich regelt. Eine Übersicht über die wichtigsten bisher geltenden und zukünftigen Normen wird in den Rechtsgrundlagen gegeben.

Die EU hat im Jahr 2022 zwei Richtlinien verabschiedet, die den Schutz der kritischen Infrastrukturen umfassend regeln: Die NIS 2-Richtlinie und die CER-Richtlinie. Diese europäischen Richtlinien müssen bis Oktober 2024 in das jeweils nationale Recht der einzelnen Mitgliedsstaaten der EU umgesetzt werden.

Die Umsetzung dieser beiden Richtlinien erfolgt in Deutschland zum einen durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ („NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“, NIS2UmsuCG).

Zum anderen erfolgt die Umsetzung durch das "Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz von Betreibern kritischer Anlagen". Das einzige Einzelgesetz innerhalb dieses Artikelgesetzes ist das "Kritis-Dachgesetz" (Kritis-DachG), weshalb im Folgenden nur der Begriff des Kritis-DachG verwendet wird.

Inhaltlich regelt das NIS2UmsuCG den Schutz der IT-Sicherheit (bzw. Informationssicherheit), während das Kritis-DachG den Schutz vor physischen Angriffen erfasst.

Es existieren eine Vielzahl von offiziellen und inoffiziellen Entwürfen des NIS2UmsuCG und des Kritis-DachG (eine Übersicht findet sich in den Rechtsgrundlagen). Soweit nicht anders bezeichnet ist Grundlage der Ausführungen die folgenden Fassung der Gesetze:

• NIS2UmsuCG: Regierungsentwurf zum „NIS2UmsuCG“ (Stand: 22.07.2024)
• Kritis-DachG: Referentenentwurf des BMI „Kritis-DachG“ (Stand: 21.12.2023)*

* Zum Kritis-DachG existiert eine weitere Fassung vom 10.04.2024, die allerdings erst im August 2024 bekannt geworden ist. Es ist somit davon auszugehen, dass auch diese Fassung bereits wieder überholt ist. Vor diesem Hintergrund wird die Fassung vom 10.04.2024 im folgenden nicht weiter betrachtet. Grundlegende Änderungen am Gesetz haben sich aber nicht ergeben, sodass die folgenden Aussagen inhaltlich weiter ganz überwiegend zutreffend sind.

• AWV - Außenwirtschaftsverordnung
• BSI - Bundesamt für Sicherheit in der Informationstechnik
• BSI-KritisV - BSI-Kritisverordnung
• BSIG - BSI-Gesetz
• EnWG - Energiewirtschaftsgesetz
• Kritis-DachG - Kritis-Dachgesetz
• NIS2UmsuCG - NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
• ROG - Raumordnungsgesetz
• TKG - Telekommunikationsgesetz
• ZSKG - Zivilschutz- und Katastrophenhilfegesetz

In den Rechtsgrundlagen finden sich die Links zu den Gesetzen.

Nach dem IT-Grundschutz des BSI (BSI-Standard 200-1) gilt folgende Bedeutung:

• Informationssicherheit hat das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein.
• IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.
• Das Aktionsfeld der klassischen IT-Sicherheit wird unter dem Begriff „Cyber-Sicherheit“ auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.

In Deutschland existiert kein einzelnes Gesetz, dass die IT-Sicherheit umfassend und abschließend regelt. Aus diesem Grund ist das in Deutschland geltende IT-Sicherheitsrecht äußerst komplex, da es über verschiedene Gesetze und sonstige Normen verteilt ist und in einer Art Mehrebenenmodell aufgebaut ist. Eine Zusammenstellung der wichtigsten Normen findet sich in den Rechtsgrundlagen. Genauer wird das IT-Sicherheitsrecht in diesem Blog-Beitrag beschrieben.

Das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UMsuCG) ist das deutsche Umsetzungsgesetz für die europäische NIS-2-Richtlinie. Es ist ein sogenanntes Artikelgesetz, also kein einheitliches Gesetz (wie z.B. das GmbhG) sondern ein Überbegriff für verschiedene gesetzliche Regelungen. Das wichtigste dort geregelte Gesetz ist das BSIG, denn hierbei handelt es sich um das allgemeine IT-Sicherheitsgesetz in Deutschland. Weiterhin werden hierdurch allerdings auch Regelungen im EnWG, TKG und einer Vielzahl von weiteren Gesetzen angepasst.

Faktisch ist das NIS2UMsuCG der Nachfolger des bisherigen IT-Sicherheitsgesetz 2.0, denn auch hierbei handelt es sich um ein Artikelgesetz, das Änderungen an mehreren Gesetzen zusammenfasst. Inoffiziell wird das NIS2UMsuCG deshalb teilweise auch IT-Sicherheitsgesetz 3.0 genannt.

Wenn in den Medien von neuen Gesetzen zur Cybersicherheit geschrieben wird (z.B. im Handelsblatt) so handelt es sich um das NIS2UMsuCG, da die europäische NIS-2-Richtlinie nicht direkt anwendbar ist, sondern in deutsches Recht umgesetzt werden muss.

Eine Schaubild mit einer grafischen Einordnung findet sich in diesem Blog-Beitrag.

Bisher galt (etwas verkürzt), dass sich nur Betreiber von kritischen Infrastrukturen an die speziellen Regeln des IT-Sicherheitsrechts halten mussten. Wichtige Ausnahmen gab es dabei im Sektor Energie und im Sektor Informationstechnik und Telekommunikation. Auf Grund der bisher relativ hohen Schwellenwerte, waren bislang ca. 1800 Unternehmen betroffen.

Diese Logik wird sich in Zukunft mit dem NIS2UmsuCG grundlegend ändern. Zukünftig wird es drei Kategorien von betroffenen Unternehmen geben:

• Betreiber kritischer Anlagen (= bisher Betreiber einer kritischen Infrastruktur)
• besonders wichtige Einrichtungen
• wichtige Einrichtungen

Auf Grund der neuen Logik lässt sich stark verkürzt feststellen, dass man als Unternehmen in einem der einschlägigen Sektoren ab 50 Mitarbeitern oder 10 Millionen Jahresumsatz / Jahresbilanzsumme in den Anwendungsbereich der neuen IT-Sicherheitspflichten fällt. Aus diesem Grund geht das BMI davon aus, dass zukünftig ca. 30.000 Unternehmen von den neuen IT-Sicherheitsregeln betroffen sein werden.

Im Folgenden nicht weiter betrachtet wird die ebenfalls in Teilen erfasste Bundesverwaltung. Besonderheiten gelten zudem insbesondere weiterhin im Sektor Energie und im Sektor Informationstechnik und Telekommunikation.

Die nun als Betreiber einer kritischen Anlage bezeichneten Unternehmen waren bisher die Betreiber von kritischen Infrastrukturen. War man also bereits bisher Betreiber einer kritischen Infrastruktur, wird man zukünftig mit hoher Wahrscheinlichkeit ein Betreiber einer kritischen Anlage sein.

Betreiber einer kritischen Anlage ist, wer bestimmenden Einfluss auf eine kritische Anlage hat.

Eine kritische Anlage setzt wiederum weiterhin voraus (siehe §§ 2 Nr. 21; 28 Abs. 5 BSIG), dass

• die Tätigkeit in einem bestimmten Sektor erbracht wird (qualitative Komponente) und
• ein gewisser Schwellenwert hierbei überschritten wird (quantitative Komponente) .

Die Logik der qualitativen und der quantitativen Komponenten ist die gleiche, wie sie bisher bei den kritischen Infrastrukturen im Sinne des BSIG genutzt wird.

Die zu erreichenden Schwellenwerte werden sich weiterhin aus der BSI-KritisV ergeben. Da allerdings noch kein Entwurf einer neuen BSI-KritisV bekannt ist, sind die Einzelheiten noch unklar. Es ist jedoch davon auszugehen, dass sich nichts grundlegendes im Vergleich zur jetzigen BSI-KritisV ändert und insbesondere die gleichen Sektoren betroffen sein werden, sowie weiterhin im Grundsatz der Regelschwellenwert von 500.000 versorgten Personen zugrunde gelegt wird.

Ist man Betreiber einer kritischen Anlage, so ist man zudem gleichzeitig immer (unabhängig von den Mitarbeiter- und Umsatzschwellen) ebenfalls eine besonders wichtige Einrichtung.

Unklar ist noch, wie sich die Erweiterung des Begriffs der kritischen Anlage im Kritis-DachG auf den Begriff der kritischen Anlagen im NIS2UMsuCG auswirkt.

Eine besonders wichtige Einrichtung ist insbesondere eine natürliche oder juristische Person (§ 28 Abs. 1 Nr. 4 BSIG), die

• einer der in der Anlag 1 des BSIG genannten Einrichtungsarten zuzurechnen ist und
• mindestens 250 Mitarbeiter beschäftigt, oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanz-summe von über 43 Millionen Euro aufweist

Anwendbar sind diese Regel ebenfalls für die rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft

Im Sektor Informationstechnik und Telekommunikation gelten hierbei Sonderregeln (§ 28 Abs. 1 Nr. 2, 3 BSIG) . Zudem ist der Betreiber einer kritischen Anlage immer auch eine besonders wichtige Einrichtung § 28 Abs. 1 Nr. 1 BSIG).

Eine wichtige Einrichtung ist insbesondere eine natürliche oder juristische Person (§ 28 Abs. 2 Nr. 3 BSIG) , die

• einer der in den Anlagen 1 und 2 des BSIG genannten Einrichtungsarten zuzurechnen ist und
• die mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

Anwendbar sind diese Regel ebenfalls für die rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft.

Im Sektor Informationstechnik und Telekommunikation gelten hierbei Sonderregeln (§ 28 Abs. 2 Nr. 1, 2 BSIG) .

Damit ein Unternehmen eine besonders wichtige Einrichtung sein kann, muss sie in einem Sektor nach Anlage 1 tätig sein.

Folgende Sektoren finden sich in Anlage 1 des BSIG:

• Energie
• Transport und Verkehr
• Finanz- und Versicherungswesen
• Gesundheit
• Wasser und Abwasser
• Informationstechnik und Telekommunikation
• Weltraum

Damit ein Unternehmen eine wichtige Einrichtung sein kann, muss sie entweder in einem Sektor nach Anlage 1 des BSIG oder in einem Sektor tätig nach Anlage 2 des BSIG tätig sein.

Folgende Sektoren finden sich in Anlage 2 des BSIG:

• Transport und Verkehr
• Abfallbewirtschaftung
• Produktion, Herstellung und Handel mit chemischen Stoffen
• Produktion, Verarbeitung und Vertrieb von Lebensmitteln
• Verarbeitendes Gewerbe/Herstellung von Waren
• Anbieter digitaler Dienste
• Forschung

In den Anlagen werden die einzelnen Sektoren in Branchen und Einrichtungsarten unterteilt.

Die Pflichten dieser drei Adressaten sind im Grundsatz sehr ähnlich, weichen jedoch im Detail ab. Dabei gilt vereinfacht, dass die Betreiber der kritischen Anlagen den strengsten Pflichten genügen müssen, die besonders wichtigen Einrichtungen etwas weniger strengen Pflichten unterliegen und schließlich die wichtigen Einrichtungen die am wenigsten strengen Pflichten einhalten müssen.

Die folgenden Pflichten müssen die Adressaten einhalten:

1. Ergreifen und dokumentieren von geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen zum Schutz der IT-Systeme, Komponenten und Prozesse nach dem „Stand der Technik“ (§§ 30, 31 BSIG)

- Abstufung der Pflichtentiefe zwischen Kritischen Anlagen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen
- Maßnahmen müssen auf gefahrenübergreifenden Ansatz beruhen und bestimmte Mindestanforderungen erfüllen (z.B. Krisenmanagement, Sicherheit der Lieferkette, Schulungen, Multi-Faktor-Authentifizierung)
- Teilweise Erfüllung über branchenspezifische Sicherheitsstandards (B3S) möglich

2. Einsatz von Systemen zur Angriffserkennung ist verpflichtend für Betreiber von kritischen Anlagen aber nicht für (besonders) wichtige Einrichtungen (§ 31 Abs. 2 BSIG)
3. Nachweispflichten für die Erfüllung von 1. und 2. gegenüber dem BSI

- Betreiber von kritischen Anlagen: Regelmäßige Nachweise alle 3 Jahre in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen; jeweils ex ante (§ 39 Abs. 1 BSIG); frühestens 3 Jahre nach Erbringung von letzten Nachweis
- Besonders wichtige Einrichtungen: Aufsichtsbehörde kann nach einer risikobasierten Auswahl Nachweise von einzelnen Unternehmen verlangen oder unabhängige Audits, Prüfungen und Zertifizierungen anweisen; teilweise ex ante / ex post-Aufsicht (§ 61 BSIG)
- Wichtige Einrichtungen: Ex-post Aufsicht durch Aufsichtsbehörde wenn Hinweise vorliegen, dass Maßnahmen nicht umgesetzt wurden (§ 62 BSIG)

4. Unverzügliche Meldepflichten bei erheblichen Sicherheitsvorfällen (§ 32 BSIG)

- Erstmeldung (spätestens innerhalb 24h)
- weitergehende Meldung (spätestens innerhalb 72h)
- Abschlussmeldung (spätestens innerhalb von einem Monat)

5. Registrierungspflicht (§§ 33, 34 BSIG)
6. Pflicht zur Benennung einer Kontaktstelle (§ 33 Abs. 2 BSIG)
7. Unterrichtungspflichten bei einem erheblichen Sicherheitsvorfall von Unternehmen gegenüber Empfängern der Dienste (§ 35 BSIG)
8. Spezialregeln zum Einsatz kritischer Komponenten (§ 41 BSIG) und Einsatz von zertifzierungspflichtiger IKT-Komponenten; - Dienste; - Prozesse (§ 30 Abs. 6 BSIG)

Sonderregeln gelten insbesondere im Sektor Energie und im Sektor Telekommunikation. Diese sind zwar im Grundsatz vergleichbar mit den zuvor genannten Regeln, weichen jedoch im Einzelfall teilweise deutlich hiervon ab.

Im Grundsatz gilt, dass die bisherigen Betreiber von kritischen Infrastrukturen zukünftig Betreiber von kritischen Anlagen sind. Da diese Betreiber bereits jetzt den IT-Sicherheitsgesetzen unterworfen waren, ändert sich (bis auf die Bezeichnung) auf den ersten Blick für diese Betreiber nicht viel.

Allerdings gibt es zwei wesentliche Änderungen, die auch für die bisherigen Betreiber von kritischen Infrastrukturen zu großen Aufwänden führen können:

• Zum einen waren die Betreiber bisher relativ frei darin, die angemessenen technischen und organisatorischen Maßnahmen umzusetzen. Diese Freiheit wird teilweise beschnitten, da zukünftig zehn Maßnahmen zwingend umgesetzt werden müssen.
• Zum anderen kommt es zu einer Ausweitung des Scopes der Risikobetrachtung. Hintergrund ist, dass alle Betreiber von kritischen Anlagen gleichzeitig eine besonders wichtige Einrichtung sind. Aus diesem Grund kommt es teilweise zu einem Wechsel von der anlagenbezogenen Betrachtung zur einrichtungsbezogenen Betrachtung.

Wie zuvor ausgeführt, waren die Betreiber bisher relativ frei darin, die angemessenen technischen und organisatorischen Maßnahmen für die IT-Sicherheit umzusetzen. Diese Freiheit wird teilweise beschnitten, da zukünftig zehn Maßnahmen zwingend umgesetzt werden müssen. Hierbei handelt es sich um folgende Maßnahmen (§ 30 Abs. 2 BSIG):

1. Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
2. Bewältigung von Sicherheitsvorfällen,
3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik,
8. Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen,
10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Ein Kernunterschiede zwischen dem bisherigen IT-Sicherheitsrecht und dem neuen IT-Sicherheitsrecht ist ein veränderter Blickwinckel im Rahmen der Risikoanalyse und Risikobewertung. Während bisher eine anlagenbezogene Betrachtung vorgenommen werden musste, wird zukünftig immer auch eine einrichtungsbezogene Betrachtung vorgenommen werden müssen. Die näheren Einzelheiten werden in diesem Blogbeitrag beschrieben.

Das neue BSIG schreibt erstmals konkrete Pflichten der Geschäftsleiterinnen und Geschäftsleiter in Bezug auf die Einhaltung der IT-Sicherheitspflichten fest. Zuvor musste man hierfür auf allgemeine Regeln (insbesondere auf das GmbHG und das AktG) Rückgriff nehmen. Nach dem neuen BSIG haben die Geschäftsleiterinnen und Geschäftsleiter die folgenden Pflichten (§ 38 BSIG):

• Verpflichtung die von den Unternehmen zu ergreifenden technischen und organisatorischen Maßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
• Regelmäßige Teilnahme an IT-Sicherheitsschulungen.

Siehe hierzu meinen entsprechenden Blog-Beitrag.

Im Grundsatz ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig für den Vollzug der Normen des IT-Sicherheitsrechts. Besonderheiten gelten insbesondere im Sektor Energie und Telekommunikation. Dort ist überwiegend die Bundesnetzagentur (BNetzA) die zuständige Aufsichtsbehörde (§ 28 Abs. 4 BSIG; §5 c EnWG; § 168 TKG).

Das deutsche NIS2UmsuCG wird ganz überwiegend zum 1. Oktober 2024* in Kraft gesetzt (vgl. Art. 29 NIS2UmsuCG). Der deutsche Gesetzgeber hat hierbei auch keine Möglichkeit weitere Übergangsfristen zu gewähren, denn die europäische NIS-2-Richtlinie gibt hierzu keinen Spielraum. Dies ist insofern problematisch, als dass das finale NIS2UmsuCG voraussichtlich erst kurz vor dem Zeitpunkt seines in Kraft tretens durch den deutschen Gesetzgeber verabschiedet wird. Die Unternehmen sollten also bereits auf Grundlage der bisher bekannten Entwürfe des NIS2UmsuCG mit der Umsetzung der IT-Sicherheitspflichten anfangen.

Ein wenig Erleichterung besteht auf Grund der Ausgestaltung der Nachweispflichten für die technischen und organisatorischen Maßnahmen. Betreiber von kritischen Anlagen haben für den Nachweis der neuen technischen und organisatorischen Maßnahmen mindestens drei Jahre Zeit seit dem letzten Nachweis, sodass hiermit eine inoffizielle Umsetzungsfrist implementiert wurde (bisher betrug die Nachweispflicht zwei Jahre). (Besonders) wichtige Einrichtungen sind im Regelfall sogar von den Nachweispflichten befreit.

Die Erleichterung der Nachweispflichten hat allerdings keine Auswirkungen auf die Pflicht zur Umsetzung der technischen und organisatorischen Maßnahmen. Diese müssen weiterhin bereits zum 1. Oktober 2024 umgesetzt sein. Wird diese Pflicht nicht erfüllt, so gehen die Unternehmen ins Risiko. Denn bei einem bekannt gewordenen Cybersicherheitsvorfall ist es für die Aufsichtsbehörden nur entscheidend, dass die technischen und organisatorischen Maßnahmen nicht umgesetzt worden. Eine (temporär) fehlende Nachweispflicht werden die Unternehmen nicht einwenden können, um Aufsichtsmaßnahmen abwenden zu können.

Hinzuweisen bleibt, dass die Aufsichtsbehörden bereits angekündigt haben mit Augenmaß vorzugehen um das neue IT-Sicherheitsrecht umzusetzen. Der Fokus soll auf der Unterstützung der Unternehmen bei der Umsetzung liegen und nicht auf den Erlass von Bußgeldern oder sonstigen Zwangsmaßnahmen. Es ist deshalb wohl eher nicht damit zu rechnen, dass unmittelbar nach in Kraft treten des neuen IT-Sicherheitsrechts im Oktober 2024 Bußgelder verhängt werden. Eine Garantie dafür gibt es aber selbstverständlich nicht.

* Das Bundesinnenministerium hat bereits angekündigt, dass die Frist zum 1. Oktober 2024 wahrscheinlich nicht gehalten werden kann. Das Gesetz wird wahrscheinlich erst ein paar Monate später verabschiedet werden.

Durch das Kritis-Dachgesetz wird die europäische CER-Richtlinie in deutsches Recht umgesetzt. Inhaltlich komplementiert das Kritis-Dachgesetz das NIS2UmsuCG, dann während letzteres die IT-Sicherheit schützen soll, regelt das Kritis-Dachgesetz den physischen Schutz von Anlagen. Auch wenn die Abgrenzung nicht ganz eindeutig ist (handelt es sich z.B. bei der Überflutung eines Serverraums auf Grund eines Hochwassers um den Schutz von IT-Sicherheit oder um physischen Schutz?), so hilft es doch grob diese inhaltliche Grenze zu ziehen. Durch das Kritis-Dachgesetz sollen beispielsweise physischen Gefährdungen wie die Anschläge auf die Nordstream-Pipelines, die LNG-Pipelines oder die Deutsche Bahn adressiert werden.

Als weiteres Ziel soll das Kritis-DachG einen einheitlichen Rahmen bzw. ein allgemeines Gesetz (also ein „Dach“) für den Schutz von kritischen Infrastrukturen bzw. kritischen Anlagen bieten. Dieses Ziel wird jedoch erst zu einem späteren Zeitpunkt erfüllt werden können, denn zu einer solchen „großen Lösung“ konnte man sich im Gesetzgebungsprozess nicht durchringen. Aus diesem Grund wird der Schutz der kritischen Infrastrukturen zumindest kurz- und mittelfristig weiterhin auf verschiedene Gesetze verteilt sein. Dies zeigt sich insbesondere daran, das der Schutz der IT-Sicherheit weiterhin in speziellen Gesetzen reguliert wird.

Zumindest in Bezug zum physischen Schutz werden jedoch erstmals eigenständige und sektorenübergreifende Regelungen getroffen. Das Kritis-DachG selbst wird keine sektoren- oder gar branchenspezifischen Regelungen treffen, sondern abstrakt in allen Kritis-Sektoren verhältnismäßige Schutzmaßnahmen einfordern. Soweit speziellere (gesetzliche) Vorschriften in Beug auf die physische Resilienz bestehen, wird das Kritis-DachG nicht anwendbar sein (vgl. § 4 Abs. 7 Kritis-DachG).

Wichtig für das Verständnis des Kritis-DachG ist, dass sich im Gesetzgebungsprozess inhaltlich stark an den bestehenden Gesetzen zum Schutz der IT-Sicherheit orientiert wurde. So sind die grundsätzlichen Pflichten sehr ähnlich aufgebaut und auch die daraus folgenden Maßnahmen überschneiden sich häufig. Im Unterschied zu den IT-Sicherheitsgesetzen reguliert das Kritis-DachG die Adressaten allerdings nicht so detailliert, wie dies inzwischen die IT-Sicherheitsgesetze tun. Zudem ist der Anwendungsbereich des Kritis-DachG deutlich kleiner, als der des NIS2UmsCG. Hintergrund ist, dass bisher wenig Erfahrung mit den Vorgaben für physischen Schutz bestehten und der Gesetzgeber zunächst Erfahrung in der Praxis sammeln möchte. Auf Grund der geänderten weltpolitischen Lage ist jedoch zu vermuten, dass in Zukunft die Regulierung weiter verfeinert wird und sich weiter an die IT-Sicherheitsgesetzgebung angleichen wird. 

Adressat des Kritis-Dachgesetz sind nur Betreiber von kritischen Anlagen. Dies ist ein deutlicher Unterschied zum NIS2UmsuCG, dann dort werden zukünftig auch (besonders) wichtige Einrichtungen erfasst.

Der Begriff des Betreibers einer kritischen Anlage im Kritis-DachG ist im Grundsatz deckungsgleich mit dem Begriff des Betreibers einer kritischen Anlage im NIS2UmsuCG. Es kommt darauf an, ob man in einem Kritis-Sektor tätig ist und die entsprechende Anlage die Kritis-Schwellenwerte erreicht (§ 4 Abs. 1 Kritis-DachG). Die Ausführungen zum NIS2UmsuCG gelten entsprechend.

Im Kritis-DachG besteht allerdings die Besonderheit, dass neben der Bestimmung einer kritischen Anlage über die Schwellenwerte der KritisV auch die Möglichkeit besteht, dass das Bundesinnenministerium im Rahmen von Einzelfallentscheidungen weitere Unternehmen als Betreiber einer kritischen Anlage benennt. Hierfür muss eine Abwägung auf Grund der nationalen Risikoanalyse und Risikobewertung und weitere im Kritis-DachG genannten Kriterien stattfinden. Der in der KritisV festgelegt Schwellenwert muss dagegen nicht erreicht werden (§ 4 Abs. 2 Kritis-DachG).

Offen ist noch, welche Auswirkungen dieser abweichende Begriff der kritischen Anlage auf das NIS2UmsuCG hat.

Die Pflichten für die Betreiber einer kritischen Anlage im Sinne des Kritis-DachG sind ähnlich aufgebaut wie die Pflichten im Bereich der IT-Sicherheitsgesetzgebung. Sie unterscheiden sich aber durchaus deutlich im Detail. Die wichtigsten Pflichten sind:

1. Registrierung der kritischen Anlage (§ 6 Abs. 1 Kritis-DachG)
2. Einrichtung und Benennung einer Kontaktstelle, die jederzeit erreichbar ist (§ 6 Abs. 1 Nr. 6 Kritis-DachG)
3. Risikoanalyse und Risikobewertung durch den Betreiber der kritischen Anlage (§ 9 Kritis-DachG) auf Basis der nationalen Risikoanalyse und Risikobewertung (§ 8 Kritis-DachG)
4. Umsetzung von Resilienzmaßnahmen, d.h. von verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen zur Gewährleistung der Resilienz (§ 10 Abs. 1 Kritis-DachG). Der Stand der Technik soll eingehalten werden (§ 10 Abs. 2 Kritis-DachG).
5. Darstellung der Resilienzmaßnahmen in einem Resilienzplan (§ 10 Abs. 9)
6. Nachweis der Maßnahmen nur auf Anordnung durch die Behörden im Einzelfall (ex post) z.B. in Form von Audits (§ 11 Abs. 2, 3 Kritis-DachG)
7. Unverzügliche Meldung von Vorfällen; Erstmeldung spätestens 24 Stunden nach Kenntnis des Vorfalls; spätestens einen Monat nach Kenntnis des Vorfalls ausführlicher Bericht (§ 12 Abs. 1, 3 Kritis-DachG)
8. Spezialregelungen z.B. für den Sektor Informationstechnik und Telekommunikation

Was sich im Einzelfall ändert, ist noch schwierig abzuschätzen. Fest steht jedoch, dass zukünftig auch der physische Schutz in die Risikobetrachtung mit einbezogen werden muss und deshalb ggf. zusätzliche physische Schutzmaßnahmen (z.B. Bau von zusätzlichen Zäunen) umgesetzt werden müssen. Zudem wird ein Austausch mit zusätzlichen Behörden auf Bundes- oder Länderebene meist unvermeidlich sein.

Es sind im Kritis-DachG allerdings Regeln vorgesehen, dass die im Bereich der IT-Sicherheit getroffenen Maßnahmen in Bezug auf den physischen Schutz angerechnet werden können (vgl. § 4 Abs. 8; § 11 Abs. 1 Kritis-DachG).

Im Rahmen des Kritis-DachG gilt höchstwahrscheinlich die anlagenbezogenen Betrachtung. Es müssen die Risiken in Bezug auf die kritschen Anlagen betrachtet werden und nicht sämtliche Risiken für die Einrichtung. Dies ist ein Unterschied zur Risikobetrachtung der Betreiber von kritischen Anlagen im Bereich der IT-Sicherheit. Dort muss zukünftig auch eine einrichtungsbezogene Risikobetrachtung erfolgen.

Das Kritis-DachG schreibt erstmals konkrete Pflichten der Geschäftsleiterinnen und Geschäftsleiter in Bezug auf die Einhaltung der physischen Sicherheitspflichten fest. Zuvor musste man hierfür auf allgemeine Regeln (insbesondere auf das GmbHG und das AktG) Rückgriff nehmen. Nach dem Kritis-DachG haben die Geschäftsleiterinnen und Geschäftsleiter die folgenden Pflichten (§ 14 Kritis-DachG):

• Verpflichtung, die zur Einhaltung der physischen Sicherheitspflichten nach § 10 Kritis-DachG ergriffenen Maßnahmen zu billigen und ihre Umsetzung zu überwachen.
• Regelmäßige Teilnahme an Schulungen um für die kritischen Anlagen releveanten Risiken erkennen und bewerten zu können

[Blogeintrag folgt]

Die Zuständigkeiten für die Kontrolle und den Vollzug des Kritis-DachG werden in § 3 Kritis-DachG geregelt. Hierbei wird eine geteilte Zuständigkeit zwischen dem Bund und den Ländern festgelegt. Für die in § 3 Abs. 3 Kritis-DachG bezeichneten kritischen Dienstleistungen ist der Bund zuständig, für die restlichen kritischen Dienstleistungen sind dagegen die Länder zuständig.

Handelt es sich um eine Bundeszuständigkeit, so ist die zuständige Behörde im Grundsatz das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Von diesem Grundsatz werden jedoch in bestimmten Sektoren Ausnahmen gemacht. So ist teilweise das BSI, die BNetzA oder die Bafin auf Bundesebene zuständig.

Handelt es sich um eine Länderzuständigkeit, so müssen diese zwar einen zentralen Ansprechpartner benennen, können zusätzlich allerdings eine Vielzahl weiterer Behörden festlegen. Die zuständigen Landesbehörden stehen deshalb im Moment nicht fest, sondern werden erst noch festgelegt.

Sowohl im Rahmen der Bundes- als auch der Länderzuständigkeit behält das BBK eine zentrale koordinierende Funktion. Das BBK wird in eine Vielzahl der Entscheidungen einbezogen und kann häufig Standards festlegen.

Bereits jetzt ist absehbar, dass es auf Grund der geteilten Zuständigkeit zu Problemen kommen wird, wenn ein Betreiber in mehreren Sparten tätig ist und / oder über Ländergrenzen hinweg seine Dienstleistungen erbringt.

Das Kritis-DachG tritt im Grundsatz am 18. Oktober 2024 in Kraft (vgl. Art. 3 Kritis-DachG). Die Pflichten der Betreiber werden allerdings erst später in Kraft gesetzt und beginnen mit der Pflicht zur Registrierung (wahrscheinlich) am 17. Juli 2026. Im April 2027 müssen die Risikoanalysen und Risikobewertungen der Betreiber vorliegen, während bereits im Mai 2027 die Resilienzmaßnahmen getroffen sein müssen und der Resilienzplan vorliegen muss.