KRITIS-Dachgesetz

Physische Sicherheit und deren Regulierung im Fokus

Spätestens seit den „physischen Sabotageattacken“ vom Herbst 2022 auf Nordstream-Pipelines und auf Steuerungskabel der Deutschen Bahn erlangte der Schutz der kritischen Infrastrukturen (KRITIS) eine gesteigerte Aufmerksamkeit in Deutschland, sowohl in der Bevölkerung als auch in der Politik.

Die Politik handelte rasch und so legte das deutsche Bundeskabinett am 7. Dezember 2022 „Eckpunkte für das KRITIS-Dachgesetz“ vor.

Die wichtigsten Eckpunkte für ein KRITIS-Dachgesetz:

1. Physische Sicherheit soll erstmalig gesetzlich reguliert werden
   • Verpflichtende Umsetzung einheitlicher technischer Schutz-Mindeststandards
   • u.a. mit Detektionssystemen und Systemen zur Überwachung der Umgebung, z.B. durch Videoüberwachung
2. Betroffene KRITIS definiert und erweitert
   • Öffentliche UND privatwirtschaftliche KRITIS-Betreiber
   • Ein neuer Sektor (Raumfahrt/Weltraum)
   • Klare, einheitliche „Wer gehört zu KRITIS“-Definitionen nach qualitativen und quantitativen Kriterien
3. Hersteller-Vertrauenswürdigkeitsprüfung
   • Bei kritischen IT-Komponenten: BSI-Gesetz (§ 9b Abs. 3 BSIG) fordert Garantieerklärungen über Vertrauenswürdigkeit des Herstellers
   • Bei anderen kritischen NICHT-IT-Komponenten: Für einen umfassenden Schutz werden Regelungen geprüft, um KRITIS insgesamt vor Einflüssen und Abhängigkeiten von bedenklichen Herstellern aus dem Ausland zu schützen
4. Ganzheitliche Resilienz als Ziel
   • Physische Sicherheit und Cybersicherheit gemeinsam und übergreifend „denken“, monitoren und prüfen („Security Convergence“)
   • Steigerung der „geopolitischen“ Resilienz durch obigen optionalen Punkt „Prüfung bedenklicher Hersteller aus dem Ausland“
   • Kohärenz beim Cyberschutz und beim physischen Schutz, auch durch enge Zusammenarbeit zweier Aufsichtsbehörden:
     • IT- und Cyberschutz: Bundesamt für Sicherheit in der Informationstechnik (BSI)
     • Physischer Schutz (neu): Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
5. Einbettung in EU-Rechtsrahmen
   • Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie)
   • Umsetzung der EU NIS-2-Richtlinie (Netz-und Informationssicherheit)
   • Weitere Info zu NIS2- und CER-Richtlinie
6. Gesetz und gesetzlicher Umsetzungsprozess
   • Meldung BMI (07.12.22): Bundeskabinett verabschiedet die Eckpunkte des sogenannten KRITIS-Dachgesetzes
   • Webseite BMI: Eckpunkte für das KRITIS-Dachgesetz (Originalwortlaut/pdf)
   • Weiterer geplanter Umsetzungsprozess: im Laufe des Jahres 2023
   • Abonnieren Sie den Dallmeier Newsletter, um über den gesetzlichen Umsetzungsprozess auf dem Laufenden zu bleiben

„Physische Resilienz“: Der noch fehlende gesetzliche Baustein für ganzheitliche KRITIS-Resilienz

Unserer Einschätzung nach steckt hinter dem geplanten KRITIS-Dachgesetz die politische Erkenntnis, dass man für den Schutz und die Resilienz von KRITIS keinen „fragmentiert-regulierten“, nicht aufeinander abgestimmten, sondern einen ganzheitlichen und hybriden Ansatz verfolgen muss. Nur eine Art „ganzheitliches Schutzdach“ für KRITIS wäre zielführend.

Es gibt ja aktuell in Gestalt des IT-Sicherheitsgesetzes bzw. BSI-Gesetzes bereits einzelregulatorische Vorschriften für KRITIS-Betreiber bezüglich der Cybersicherheit, aber eben nur für Cybersicherheit.

Es gibt zwar aktuell auch fragmentierte, sektorspezifische, branchenspezifische Regelungen für physische Sicherheit, z.B. im „Luftsicherheits-Gesetz mit z.B. den Artikeln 8 und 9“. Aber generelle, sektor- und gefahrenübergreifende bundesweite „Dach-Vorschriften“ bzw. „Dach-Sicherheitsstandards“ für die physische Sicherheit und Absicherung von KRITIS gibt es bis dato noch nicht.

Zudem stellt die Definition in der KRITIS-Verordnung „Wer gehört zu KRITIS“ („Größenklassen“, Schwellenwerte) nur auf den Aspekt der Informations- und Cybersicherheit ab.

Die geplanten Vorschriften und dieser Schritt hin zu mehr physischer Sicherheit mittels eines KRITIS-Dachgesetzes sind aus unserer Sicht in geopolitischer und sicherheitspolitischer Sicht zu begrüßen, auch im Hinblick auf die versorgungstechnische Souveränität, Unabhängigkeit und Continuity der KRITIS.

Daneben wäre ein solches Dachgesetz auch schon alleine aus einfachen Gründen wie gesetzlich klaren, verbindlichen Definitionen von KRITIS-Einrichtungen, von Verantwortlichkeiten und Zuständigkeiten und sektorübergreifenden und bundesweit einheitlichen Schutzstandards wünschenswert.

Videotechnik „Made in Germany“ versus „bedenkliche Hersteller“

Wir stellen in letzter Zeit fest, dass „Made in Europe“ bzw. „Made in Germany“ wieder verstärkt als Gütesiegel für Qualität, Sicherheit und Vertrauen wahrgenommen, wertgeschätzt und nachgefragt wird.

Wenn dann noch neben der „freiwilligen“ Made in Europe/Made in Germany-Tendenz zudem eine im BSI-Gesetz oder in einem kommenden KRITIS-Dachgesetz kodifizierte gesetzliche Regelung für mehr physische Sicherheit, für mehr vertrauenswürdige Hersteller und vertrauenswürdige Produkte und Komponenten hinzukommt, kann das nur positiv im Sinne der KRITIS-Sicherheit sein.

PS: Im KRITIS-Dachgesetz-Vorschlag vom 07.12.22 bietet der Staat den KRITIS-Betreibern die Unterstützung mit Leitfäden an.