KRITIS-Gesetzgebung des Bundes: Viele Fragezeichen bei Betroffenen
Verbände befürchten unklare Vorschriften und kurze Fristen. Welches Bundesamt wird für die Cybersicherheit kritischer Infrastrukturen zuständig sein?
Hier verlaufen eine Pipeline und eine Hochspannungsleitung parallel
(Bild: Daniel AJ Sokolov)
Die Gesetzgebungswelle zu Kritischen Infrastrukturen führt zu vielen offenen Fragen. Nachdem das Bundesinnenministerium in der ersten Wochenhälfte die beiden Gesetzentwürfe für das KRITIS-Dachgesetz zum besseren physischen Schutz von Infrastrukturen und das Gesetz zur Umsetzung der EU-Netzwerk- und Informationssicherheitsrichtlinie NIS2 in die bundesregierungsinterne Abstimmung gegeben hat, reagieren nun Verbände auf die neuen Regelungen.
Mit dem KRITIS-Dachgesetz, das die sogenannte EU-CER-Richtlinie in deutsches Recht überführt, werden erstmalig verpflichtende Standards für etwa 2.000 Unternehmen eingeführt, wie diese kritische Infrastrukturen zu schützen haben. Mit dem NIS2-Umsetzungsgesetz wird hingegen der Kreis der betroffenen Stellen massiv ausgeweitet, die Bundesregierung rechnet mit etwa 29.000. Während das KRITIS-Dachgesetz also nur einen kleinen Teil der Unternehmen im Bereich Kritische Infrastruktur zu besserem physischen Schutz verpflichten soll, geht die Überarbeitung im Bereich Cybersicherheit deutlich darüber hinaus.
Verbände fürchten unklare Vorschriften und kurze Fristen
"Bei einer solchen Anzahl von Betroffenen müssen Anwendungsbereich und Adressatenkreis absolut verbindlich festgelegt werden. Wir brauchen vor allem eindeutig nachvollziehbare Kriterien, wer künftig reguliert wird. Gerade Unternehmen, die vorher nicht betroffen waren, müssen Rechtssicherheit und ausreichend Zeit zur Umsetzung erhalten", fordert Klaus Landefeld vom Internetwirtschaftsverband Eco. Das NIS2-Umsetzungsgesetz soll Anfang Oktober 2024 in Kraft treten, wesentliche Konkretisierungen werden jedoch erst mit zusätzlichen Rechtsverordnungen kommen. Wann diese kommen, ist unklar.
Der Verband der Kommunalen Unternehmen sieht vor allem eine systematische Veränderung als potenziell problematisch an: Der Fokus bei der Cybersicherheit habe bislang allein auf den Anlagen und Netzen, die für die Versorgung und Entsorgung mit kritischen Dienstleistungen wie zum Beispiel Energie- und Wasser tatsächlich erforderlich sind, gelegen, erläutert eine VKU-Sprecherin. Doch das ändere sich nun.
"NIS2 fügt nun eine zweite Logik hinzu und weitet den Anwendungsbereich aus: Statt des Anlagenbezugs soll es künftig zusätzlich um den Einrichtungsbezug gehen. Das bedeutet, dass je nach Umsatz und Mitarbeiterzahl sogar das gesamte Unternehmen mit allen Bereichen betroffen sein. Das könnte aus unserer Sicht im schlimmsten Fall zum Bumerang für Cybersicherheit werden."
Praktisch könnte das etwa meinen, dass nicht nur die Müllverbrennungsanlage geschützt werden muss. Sondern dass der gesamte Siedlungsabfallentsorger, also auch nicht unmittelbar betriebskritische Bereiche wie die Kundenhotline oder die Rechnungslegung ebenfalls die Anforderungen erfüllen müssten. Das wiederum passt nicht perfekt zu den Vorgaben des geplanten Kritis-Dachgesetzes.
Bundesländer müssen selbst umsetzen
Die EU-NIS2-Richtlinie richtet sich an die Zentralregierungen – die Bundesländer hingegen müssten eigene Regelungen erlassen, wenn es um die IT-Sicherheit der Behörden in Ländern und Kommunen geht. Denn für diesen Bereich ist der Bund schlicht nicht zuständig. Allerdings laufen auch hier schon die Vorarbeiten: Anfang November soll im IT-Planungsrat ein "Identifizierungskonzept" vorgelegt werden, mit dem herausgefunden werden soll, welche Behörden, Bildungseinrichtungen oder andere unter Länderkompetenz fallenden Einrichtungen bei der IT-Sicherheit unter das NIS2-Schutzniveau fallen sollen.
Das Bundesland Hessen plane, das durchaus hitzig debattierte und erst Ende Juni verabschiedete hessische IT-Sicherheitsgesetz (HITSiG) entsprechend anzupassen, teilt das Innenministerium auf Anfrage von heise online mit. "Teilweise werden die Anforderungen der NIS-2-Richtlinie durch das HITSiG bereits jetzt in Hessen erfüllt", sagt ein Sprecher. So seien etwa die Stellen der Landesverwaltung verpflichtet, ein Informationsmanagementsystem (ISMS) umzusetzen und IT-Sicherheitsvorfälle an das HessenCyberCompetenceCenter zu melden.
BBK soll für große Cybersicherheitsvorfälle hauptzuständig sein
Mit dem Vorschlag für das Kritis-Dachgesetz weicht das Bundesinnenministerium bei seinen Vorschlägen an einer wichtigen Stelle von der NIS2-Richtlinie ab: Für "Cybersicherheitsvorfälle großen Ausmaßes und Krisen" müssen die Mitgliedstaaten eine zuständige Behörde benennen. Naheliegend wäre hier das Bundesamt für Sicherheit in der Informationstechnik gewesen, was fachlich für die Cybersicherheit zuständig ist.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Doch der Referentenentwurf aus dem BMI sieht stattdessen vor, dass das in Cyberbelangen unbeleckte Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das für die physische Sicherheit federführend sein soll, diese Aufgabe wahrnimmt. Hier dürften sich spätestens im parlamentarischen Prozess einige Fragezeichen ergeben.
Kritische Komponenten bieten weiteren Diskussionsstoff
Die politisch größte Baustelle bleibt allerdings derzeit noch ungelöst. Die Bundesregierung schrieb sich in der nationalen Sicherheitsstrategie noch vor wenigen Wochen ins Stammbuch: "Mit den Prüfmöglichkeiten für systemkritische Komponenten in unseren Kommunikationsnetzen kann die Bundesregierung Angriffen vorbeugen. Dazu wird unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt. Mit Blick auf die Wirksamkeit der bisherigen Prüfmöglichkeiten werden wir rasch eine Überprüfung und falls erforderlich Anpassung der betreffenden Gesetze vornehmen." Doch genau das ist mit den beiden Referentenentwürfen noch nicht geschehen.
Zwar gibt es in Regierungskreisen den Wunsch, die bisherige, ausschließlich für Mobilfunknetze angewandte Prüfkompetenz auch auf andere Bereiche zu erweitern. Eine kleine Erweiterung könnte etwa Ausweitung auf "europäisch kritische Anlagen" der Übertragungsnetzbetreiber nach Energiewirtschaftsgesetz sein, eine größere Ausweitung auch den Einsatz in weiteren Telekommunikationsnetzen unter Vorbehalt stellen. In den in dieser Woche vorgestellten Entwürfen aber ist noch nicht abzulesen, wie genau die Bundesregierung vorgehen will und mit welchen Prozessen die "Kritischen Komponenten" künftig beaufsichtigt und ihr Einsatz gegebenenfalls untersagt werden soll. Bislang fokussiert das Recht auf den Ersteinsatz von kritischen Komponenten.
(fds)