Spätestens seit dem Herbst 2020 und der Sabotage von Bahnanlagen sprechen wir in Sachen kritischer Infrastrukturschutz vielfach über die „hybride Bedrohungslage“. Damit gemeint ist das komplexe Zusammenspiel von digitalen und physischen Bedrohungen für die kritische Infrastruktur. Seit Beginn des Russland-Ukraine-Kriegs im Februar vorletzten Jahres hat sich diese hybride Bedrohungslage weiter verschärft, gefährdet sind beispielsweise auch die Seekabel-Anlandestationen als zentrale Knotenpunkte zur Gewährleistung unter anderem des transatlantischen Datenverkehrs. Nicht zuletzt deshalb sehen sich Politik und Gesetzgeber in der Pflicht, zusätzliche Regelungen auch für den „analogen“ Infrastrukturschutz in der Form eines sogenannten „KRITIS-Dachgesetzes“ – kurz: KRITIS-DachG zu erarbeiten.
KRITIS-DachG setzt Europarecht um
Der Vorschlag für ein KRITIS-DachG ist keine allein deutsche Initiative, sondern vorrangig auf den europäischen Gesetzgeber zurückzuführen. Das federführende Bundesministerium des Innern und für Heimat (BMI) setzt mit dem KRITIS-DachG die EU-Richtlinie 2022/2557 zur Stärkung der Resilienz von Betreibern kritischer Anlagen um, die auch als „CER-Richtlinie“ bezeichnet wird. Damit tritt das KRITIS-DachG systematisch neben die Pflichten, die voraussichtlich ab Herbst 2024 mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für den digitalen Schutz von wesentlichen und wichtigen Diensten gelten werden. Das NIS2UmsuCG seinerseits setzt die EU NIS-2-Richtlinie um. Bislang wurde das KRITIS-DachG nicht verabschiedet, sondern befindet sich noch im laufenden Gesetzgebungsverfahren. Nachdem im November 2022 ein Papier mit den zentralen strategischen Eckpunkten für den analogen KRITIS-Schutz veröffentlicht wurde, hat das BMI im Juli 2023 einen ersten Referentenentwurf publiziert. Dieser wurde umfassend überarbeitet und in einer neuen Fassung am 21. Dezember 2023 veröffentlicht – derjenigen Fassung, auf der auch dieser Beitrag basiert. Im Laufe des weiteren Gesetzgebungsverfahrens sind somit durchaus noch Änderungen am KRITIS-DachG zu erwarten. Die zentralen Pflichten aus dem kommenden KRITIS-DachG sollen zum 17. Juli 2026 in Kraft treten.
Den vollständigen Beitrag kann man bei CSO Deutschland lesen: https://www.csoonline.com/de/a/das-fordert-das-neue-kritis-dachgesetz,3681214