Zunächst ging es an diesem Dienstag zu dem von Manuel Atug moderierten Panel zum KRITIS-Schutz beim Deutschen Präventionstag in Mannheim. Meine rechtspolitische Empfehlung für ein neues KRITIS-Dachgesetz: Zuständigkeiten vereinfachen, Meldewege vereinheitlichen. Die Bürde, bei einer Vorfallsmeldung zwischen physischer und digitaler Bedrohungslage zu differenzieren, sollte nicht beim Betreiber liegen. Sinnvoll wäre im Zuge der zurzeit anstehenden Neustrukturierung des nationalen Resilienzrechts deshalb, KRITIS-Betreiber vollständig im neuen KRITIS-Dachgesetz zu regeln, sodass sich sowohl die Pflichten zum Schutz vor physischen Bedrohungen wie auch vor digitalen Bedrohungen ausschließlich im Dachgesetz finden. Die Vorgaben für die wertschöpfungsrelevanten Unternehmen (bisher also UBI insb. Kategorie 2) sollten hingegen im novellierten BSIG belassen werden. Für sämtliche Betreiber ist darüber hinaus eine einheitliche Meldestelle vorzugswürdig, da TOM zur Cybersicherheit auch Maßnahmen des physischen Infrastrukturschutzes umfassen.
Anschließend ging es weiter in die „Manufaktur Mannheim“. Hier besuchte ich zusammen mit Stefan Hessel von reuschlaw die VDE DKE-Fachtagung „Industrial Security“ mit einem Panel zum EU CRA: Es war eine spannende Diskussion – und am Ende auch noch richtig kontrovers mit dem Clash EU-Kommission und nationale Verbände/Industrie! Das zeigt wieder einmal mehr, dass der EU Cyber Resilience Act (CRA) grundsätzlich notwendig und eine gute Idee ist, weil sich nicht nur die Bedrohungslage verändert hat, sondern Unternehmen auch „Leitplanken“ wollen, im Einzelnen aber noch einige der Regelungsvorschläge aus September 2022 eine genauere Prüfung und Anpassung an die praktischen Realitäten erfordern.
