KRITIS-Dachgesetz (KRITIS-DachG): Resilienz von Kritischen Infrastrukturen

Das KRITIS-DachG zielt darauf ab, die Widerstandsfähigkeit (Resilienz) kritischer Anlagen in Deutschland gegen physische Angriffe zu stärken. Dafür enthält es Mindestanforderungen an die physische Sicherheit von Kritischen Infrastrukturen (KRITIS) sowie gezielte Unterstützungs- und Aufsichtsmaßnahmen. Hintergrund ist die Umsetzung der EU-Richtlinien zum Schutz Kritischer Infrastrukturen (CER-Richtlinie) in nationales Recht. 

Unter dem Begriff der "kritischen Anlagen" versteht das KRITIS-DachG Anlagen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben und deren Ausfall zu Versorgungsengpässen oder Gefährdungen führen würde. Als Schwellen­wert dafür, ob eine Anlage von dem Gesetz betroffen ist, gilt die Versorgung von 500.000 Personen und mehr.

Der zweite Referentenentwurf des KRITIS-DachG liegt seit Dezember 2023 vor. Er enthält einige Änderungen gegenüber dem ersten Entwurf aus Juli 2023. 

Ursprünglich sollte das Gesetz im Frühjahr 2024 verkündet werden, ein Inkrafttreten scheint sich allerdings zu verzögern.

Generell ist die CER-Richtlinie von den EU-Mitgliedsstaaten bis spätestens zum 17. Oktober 2024 umzusetzen. Folglich ist auch das Inkrafttreten des KRITIS-Dachgesetzes zu diesem Stichtag zu erwarten.
 

Registrierung der kritischen Anlage 

Betreiber kritischer Anlagen sind verpflichtet, diese spätestens 3 Monate nachdem sie erstmals oder erneut als Betreiber kritischer Anlagen gelten beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu melden. In diesem Zuge ist auch eine Kontaktstelle einzurichten und zu benennen. 
  

Durchführung von Risikoanalysen & -bewertungen 

Auf Grundlage nationaler Risikoanalysen und Risikobewertungen müssen Betreiber kritischer Anlagen mindestens alle 4 Jahre Risikoanalysen und -be­wer­tungen durchführen. Zu betrachten sind naturbedingte, klimatische und vom Menschen verursachte Risiken, die die Handlungsfähigkeit der Wirtschaft bedrohen. 
 

Etablierung von Resilienzmaßnahmen 

Nach Ablauf von 10 Monaten nach Registrierung sind Betreiber kritischer Anlagen dazu verpflichtet geeignete technische, sicherheitsbezogene sowie organi­sa­to­rische Maßnahmen zur Gewährleistung ihrer Widerstandsfähigkeit zu treffen. 
 

Erstellung von Resilienzplänen 

Die getroffenen Resilienzmaßnahmen müssen in einem Resilienzplan dargestellt werden, aus dem die den Maßnahmen zugrunde liegenden Erwägungen einschließlich der Risikoanalysen und Risikobewertungen hervorgehen. 

Nachweise 

Mit dem Ziel der Überprüfung der Einhaltung von Maßnahmen können durch die zuständige Aufsichtsbehörde entsprechende, erforderliche Nachweise verlangt werden. Der Nachweis kann durch Audits erfolgen. Vorgaben zu den Anforderungen legt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fest. 
 

Meldepflicht für Vorfälle 

Erhebliche Störungen, die die Erbringung kritischer Dienstleistungen betreffen, sind innerhalb von 24 Stunden an eine vom BBK und dem BSI eingerichtete gemeinsame Meldestelle zu melden. Spätestens einen Monat nach dem Vorfall ist zudem ein ausführlicher Bericht zu übermitteln.

Billigungs -, Überwachungs -, & Schulungspflicht für Geschäftsleiter

Geschäftsleiter von Betreibern kritischer Anlagen sind verpflichtet die Umsetzung der ergriffenen Maßnahmen zu billigen und zu überwachen. Darüber hinaus müssen sie regelmäßig an Schulungen teilnehmen, um Kenntnisse und Fähigkeiten im Risikomanagement auf- und auszubauen.

Bußgeldvorschriften

Die genaue Höhe von Bußgeldern ist im Referententwurf des Gesetzes noch nicht definiert. Zu den Ordnungswidrigkeiten zählen beispielsweise die nicht rechtzeitige Registrierung, fehlende Unterlagen oder Risikobewertungen oder nicht geeignete Resilienzmaßnahmen.