Weiter geht es mit dem #KRITIS-#Dachgesetz: Am kommenden Montag gebe ich für das cyberintelligence institute als Sachverständiger in der Anhörung im #Innenausschuss vom Deutschen #Bundestag meine Stellungnahme ab – und nach wie vor gibt es in Deutschland in Sachen hybrider KRITIS-#Schutz verschiedene Verbesserungsbedarfe. Meine zentralen Kritikpunkte:
Unangemessen kurze Fristen: Sowohl das Gesetzgebungsverfahren als auch die Ausarbeitung der konkretisierenden Rechtsverordnung haben sich weiter verzögert, während der im Entwurf vorgesehene Stichtag für Betreiber kritischer Anlagen unverändert im Juli 2026 verbleibt. Damit reduziert sich der reale Zeitraum, in dem sich KRITIS-Betreiber auf die anstehende Registrierung vorbereiten können, deutlich.
Unzureichende Einbeziehung der öffentlichen Verwaltung: Die öffentliche Verwaltung – einschließlich wesentlicher Teile der Bundes-, Landes- und Kommunalverwaltungen – bleibt weiterhin weitgehend vom Anwendungsbereich ausgeschlossen. Dies führt zu einem fragmentierten Schutzniveau. Die im KRITIS-Sektor „Staat und Verwaltung“ verorteten Infrastrukturen sollten jedoch denselben Resilienzanforderungen unterliegen wie Anlagen privater Betreiber.
Fehlende konkrete Resilienzanforderungen: Der Entwurf enthält bislang kaum materielle Vorgaben dazu, welche konkreten Resilienzmaßnahmen Betreiber kritischer Anlagen zu ergreifen haben; konkrete, unmittelbar aus dem Gesetz ableitbare Handlungsanweisungen für KRITIS-Betreiber fehlen somit weitestgehend.
KRITIS-Resilienzstrategie: Eine nationale KRITIS-Resilienzstrategie sollte zeitlich der Einführung regulatorischer Verpflichtungen für KRITIS-Betreiber vorausgehen. Um den betroffenen Unternehmen frühzeitig Klarheit und Planungssicherheit zu ermöglichen, ist es zudem sachgerecht, den Rückgriff auf Rechtsverordnungen auf das notwendige Maß zu beschränken.
Uneinheitliche Behörden- und Aufsichtsstrukturen: Die Verteilung der Zuständigkeiten zwischen BBK, BSI, Fachaufsichten und Landesbehörden ist unklar und birgt das Risiko divergierender Vollzugspraxis. Zudem fehlen Regelungen für einen einheitlichen, strukturierten Datenaustausch und eine zentralisierte Meldestelle.
Meldeverfahren ohne ausreichende Entlastungs- und Rückmeldekomponenten: Die Meldepflicht nach § 18 droht aufgrund unklarer Abgrenzungen und weiterhin parallel bestehender Meldewege zu erheblichem Aufwand zu führen. Ein strukturierter Rückkanal – etwa in Form von Lagebildern, Warnhinweisen oder Empfehlungen – fehlt bislang.
Weitreichende Ausnahmebefugnisse: Die vorgesehenen Ausnahme- und Befreiungsmöglichkeiten in § 22 schwächen den Charakter des Gesetzes als Mindeststandards erheblich und eröffnen strukturelle Schutzlücken gerade in besonders sicherheitsrelevanten Bereichen.
Zu geringe Harmonisierung mit der NIS2-Umsetzung: Trotz inhaltlicher Schnittmengen bestehen weiterhin erhebliche Divergenzen zwischen der NIS2-Umsetzung und dem KRITIS-DachG, die sich in der Praxis als problematisch erweisen.
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen