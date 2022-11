Das Bundesinnenministerium (BMI) hat Eckpunkte für das im Koalitionsvertrag vereinbarte Gesetz zum Schutz kritischer Infrastrukturen ("Kritis-Dachgesetz") formuliert, die derzeit im Bundeskabinett abgestimmt werden. Das BMI-Papier, das heise online vorliegt, enthält erste Hinweise, wie das BMI Kritische Infrastrukturen über den Aspekt der IT-Sicherheit hinaus schützen will – und bleibt doch vage. Offen ist vor allem die Frage der Zuständigkeit – und wie das Kritis-Dachgesetz und die Überarbeitung des IT-Sicherheitsgesetzes zusammengehen sollen.

Mit dem Kritis-Dachgesetz geht die Ampel-Bundesregierung ein Vorhaben aus dem Koalitionsvertrag an. SPD, Grüne und FDP hatten vereinbart, dass der Schutz physischer Infrastrukturen gebündelt werden solle. Bislang sind die entsprechenden Rechtsnormen über mehrere Gesetze sektorspezifische verteilt. Ebenfalls schon im Koalitionsvertrag vorgesehen: Eine Stärkung der Rolle des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Angriffe auf Infrastruktur

Nach den Ereignissen rund um die Nord-Stream-Pipelines und das GSM-R-Netz der Deutschen Bahn hat Innenministerin Nancy Faeser (SPD) das Papier in die Ressortabstimmung gegeben. Faeser habe aufgrund einer gefühlten Erwartungshaltung seitens der Medien Handlungsdruck gesehen und das ursprünglich für Jahresende angekündigte Papier vorgezogen, heißt es in Regierungskreisen.

Kern des Vorhabens ist der Schutz physischer Infrastrukturen. Für die Cybersicherheit gibt es mit dem IT-Sicherheitsgesetz und der Kritis-Verordnung bereits umfangreiche Regelwerke, auch wenn diese nach der Reform der Netzwerk- und Informationssicherheitsrichtlinie auf EU-Ebene ebenfalls im kommenden Jahr überarbeitet werden sollen.

Mit dem Kritis-Dachgesetz soll die in der EU parallel dazu verhandelte und beschlossene Richtlinie zum Schutz kritischer Entitäten (CER) umgesetzt werden. Beiden Gesetzgebungsbereichen ist dabei gemein, dass sie die den Katalog der als kritische Infrastruktur eingestuften Organisationen, Firmen und Verwaltungen massiv ausweiten.

Auch das Kritis-Dachgesetz soll für private und öffentliche Akteure gleichermaßen gelten: "Der bislang verfolgte kooperative Ansatz wird mit dem Kritis-Dachgesetz durch verpflichtende Schutzstandards für die physische Sicherheit erweitert", heißt es in dem Eckpunktepapier, das nun zwischen den Bundesministerien verhandelt wird.

Von Energie bis Lebensmittel

Darunter fallen mindestens – wie von der CER vorgesehen – die Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, öffentliche Verwaltung, Weltraum, Produktion, Verarbeitung und Vertrieb von Lebensmitteln. Aber auch weitere sollen davon betroffen sein können – wenn diese etwa europäisch relevant sind.

Alle vier Jahre sollen die Gefahren für die kritischen Dienstleistungen überprüft und Risikobewertungen ausgearbeitet werden, heißt es mit Verweis auf das darin erfahrene BBK. Betreiber kritischer Infrastrukturen sollen zu einem Risiko- und Krisenmanagement verpflichtet werden, Resilienzpläne erstellen sowie geeignete "technische und organisatorische Maßnahmen" ergreifen. Damit kann von Metalldetektoren und Zäunen bis zu einer Diversifizierungspflicht für Lieferketten alles Mögliche gemeint sein.

Neu ist ein zentrales Monitoring für Störungen bei der "zuständigen Behörde". Die Formulierung "zuständige Behörde" findet sich in dem Papier an vielen Stellen - und das ist Ausdruck eines größeren Problems: Die Aufsicht über die jeweiligen Kritis-Sektoren obliegt Bundesbehörden wie Bundesnetzagentur, Bundesamt für Sicherheit in der Informationstechnologie oder der Bundesanstalt für Finanzdienstleistungen, teils aber auch Landesbehörden oder der kommunalen Aufsicht. Das BBK soll diese künftig vernetzen – ob das besser als im Katastrophenschutz klappt, dürfte von der genauen Ausgestaltung des Gesetzes abhängen.

Offene Fragen

Unklar bleibt anhand der Eckpunkte, wie genau die Zusammenarbeit zwischen BBK und BSI aussehen soll. Im Eckpunktepapier heißt es nur, dass Kohärenz beim Cyberschutz und dem physischen Schutz erreicht werden solle. Dass beide Bereiche fast schon untrennbar ineinandergreifen, wie immer neue Vorfälle zeigen, scheint im BMI noch nicht angekommen.

Zudem ist das BBK mit seinen etwa 500 Mitarbeitern für diese umfangreichen, vorgesehenen Aufgaben bislang kaum gerüstet. Zuletzt stand die derzeit von Ralph Tiesler geleitete Behörde wegen ihrer Fehlleistungen zum Warntag in der Kritik. Eine entsprechende personelle Ausstattung, die auch die angedachten umfangreichen Aufgaben des Kritis-Dachgesetzes umfassen würde, ist im Bundeshaushalt für das Jahr 2023 nicht vorgesehen.

Die Eckpunkte sollen vor Jahresende vom Kabinett verabschiedet werden. Wann das eigentliche Dachgesetz kommt, ist dabei offen: irgendwann im kommenden Jahr. Dann soll auch das IT-Sicherheitsgesetz an die neue europäische Rechtslage angepasst werden. CER- und NIS2-Richtlinie müssen ab 2024 in nationales Recht umgesetzt sein.

(vbr)