Schutz wichtiger Anlagen: Kritis-Dachgesetz greift noch nicht
Das neue Kritis-Dachgesetz zum Schutz wichtiger Infrastruktur vor Angriffen von Kriminellen, Extremisten und ausländischen Geheimdiensten hat einen Monat nach seinem Inkrafttreten noch keinerlei praktische Wirkung entfaltet. Obwohl das Gesetz bereits am 17. März in Kraft trat, fehlen bislang entscheidende staatliche Vorgaben, wie Betreiber kritischer Anlagen und Institutionen diesen Schutz konkret umsetzen sollen.
Fehlende Verordnungen und technische Hürden
Ein Sprecher des Bundesinnenministeriums bestätigte auf Nachfrage, dass das Gesetz zunächst nur den Rahmen und weitere Prozesse zur Stärkung der Resilienz kritischer Infrastruktur festlege. Die konkrete Ausgestaltung solle erst „durch mehrere Rechtsverordnungen konkretisiert werden“. Bis dahin könnte allerdings noch erhebliche Zeit vergehen, denn ein Teil dieser Rechtsverordnungen benötigt die Zustimmung des Bundesrates.
Die Länderkammer hatte das Gesetz im März erst nach intensiven Diskussionen passieren lassen. Die Bundesländer kritisierten insbesondere den im Gesetz festgelegten Schwellenwert: Nach aktueller Regelung zählen nur Einrichtungen als kritische Infrastruktur, die mehr als 500.000 Personen versorgen. Die Länder plädierten vergeblich für eine Absenkung auf 150.000 Menschen.
Registrierungsportal noch nicht verfügbar
Ein weiteres Problem stellt das fehlende technische Meldeportal dar. Das Bundesinnenministerium kündigte zwar an, dass es ein gemeinsames Registrierungs- und Meldeportal für das BSI-Gesetz sowie das Kritis-Dachgesetz geben werde. Doch bis dieses Portal technisch realisiert ist, können Betreiber wichtiger Anlagen ihre Registrierung nicht abschließen.
Der Ministeriumssprecher betonte, dass die Betreiber ausreichend Zeit für die Registrierung erhalten würden, sobald sowohl die Rechtsverordnungen zur Identifizierung kritischer Anlagen als auch die technischen Voraussetzungen für die Registrierung vorlägen. Der genaue Zeitpunkt bleibt jedoch ungewiss.
Fortschritte bei Cybersicherheit
Während der physische Schutz von Infrastruktur auf sich warten lässt, zeigen sich bei der Cybersicherheit bereits konkrete Fortschritte. Das Gesetz zur Umsetzung der NIS-2-Richtlinie, das am 6. Dezember in Kraft trat, verpflichtet Unternehmen und Bundesbehörden, die für die Versorgung der Bevölkerung wichtig sind, zu verstärkten Schutzmaßnahmen gegen IT-Ausfälle und Cyberangriffe.
Mehr als 15.000 Betreiber von Anlagen und Institutionen haben sich seither auf einem dafür geschaffenen Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) registriert. Dieses Portal soll mittelfristig so ausgebaut werden, dass dort auch Angaben zum physischen Schutz von Infrastruktur hinterlegt und entsprechende Vorfälle gemeldet werden können.
Gemeinsame Meldestelle in Vorbereitung
Eine BSI-Sprecherin bestätigte, dass sich die gemeinsame Meldestelle des BSI und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) derzeit in Vorbereitung befinde. Sie werde zum Zeitpunkt des Inkrafttretens der Meldepflicht nach dem Kritis-Dachgesetz bereitstehen.
Bei den Registrierungen nach der NIS-2-Richtlinie setzt das BSI weiterhin auf einen kooperativen Ansatz, um diejenigen zu unterstützen, die ihre Pflicht bisher nicht erfüllt haben. Sollte dies nicht zum gewünschten Erfolg führen, behält sich das BSI jedoch bußgeldbewehrte Schritte vor. Schätzungen gehen von etwa 29.500 registrierungspflichtigen Einrichtungen aus.
Konkrete Schutzmaßnahmen ausstehend
Das Kritis-Dachgesetz sieht konkrete Schutzmaßnahmen wie Zäune, Zugangsbeschränkungen und die Identifizierung technischer Schwachpunkte vor, um Risiken zu begrenzen und Sabotageaktionen ausländischer Mächte vorzubeugen. Diese Maßnahmen setzen eine EU-Richtlinie um, können jedoch erst umgesetzt werden, wenn die notwendigen Verordnungen beschlossen und die technischen Voraussetzungen geschaffen sind.
Der Brandanschlag auf die Stromversorgung in Berlin mitten im Winter hat jüngst gezeigt, welche gravierenden Auswirkungen Angriffe auf die Infrastruktur haben können. Umso dringlicher erscheint die vollständige Implementierung des Schutzgesetzes, die aktuell jedoch noch auf unbestimmte Zeit verschoben bleibt.
