Home » Fachbeiträge » KRITIS » Neue Anforderungen an den physischen Schutz kritischer Infrastrukturen

Die CER-Richtlinie und ihre Umsetzung durch das Kritis-DachG-E: Neue Anforderungen an den physischen Schutz kritischer Infrastrukturen

Die Bedrohungen für kritische Infrastrukturen, sei es physisch oder digital, nehmen zu. Die EU hat reagiert: Mit der CER-Richtlinie soll die Resilienz gegen Cyberbedrohungen gestärkt werden. Dieser Beitrag klärt über den aktuellen Stand der Richtlinienumsetzung in Deutschland, den konkreten Anwendungsbereich der kommenden Regelungen sowie über die künftig geltenden Verpflichtungen auf.

8 Min. Lesezeit
Justizia-Figur vor bewölktem Himmel
©AdobeStock/TeamDF

Im Zuge der wachsenden Bedrohung für die Widerstandsfähigkeit kritischer physischer und digitaler Einrichtungen stellten die Europäische Kommission und der Hohe Vertreter der Europäischen Union bereits Ende 2020 eine neue EU-Cybersicherheitsstrategie vor.

Ziel war die Stärkung der kollektiven Abwehrfähigkeit gegen Cyberbedrohungen und damit einhergehend die uneingeschränkte Nutzungsmöglichkeit vertrauenswürdiger und zuverlässiger Dienste und digitaler Instrumente durch alle Bürgerinnen und Bürger sowie Unternehmen in der Union.

Im Januar 2023 traten in diesem Kontext die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie (EU) 2022/2555) sowie die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie (EU) 2022/2557) in Kraft. Beide Richtlinien müssen bis Oktober 2024 in den Mitgliedstaaten umgesetzt werden.

CER-Richtlinie

Die CER-Richtlinie ersetzt hierbei die europäische EPSKI-Richtlinie von 2008 (Richtlinie über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, 2008/114/EG). Die neuen Regelungen sollen die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber einer Reihe von Bedrohungen wie Naturkatastrophen, Terroranschlägen, Insiderbedrohungen oder auch Sabotage stärken. Die Richtlinie verpflichtet die Mitgliedstaaten dazu, eine entsprechende nationale Strategie zu verabschieden und regelmäßig Risikobewertungen durchzuführen, um zu bestimmen, welche Einrichtungen kritisch oder lebenswichtig für Gesellschaft und Wirtschaft sind.

In Abgrenzung zur NIS-2-Richtlinie geht es bei der CER-Richtlinie nicht um Cybersicherheit, sondern um Cyberresilienz; gemeinsam soll ein umfassender Schutz insbesondere kritischer Anlagen erreicht werden. Die CER-Richtlinie ist dabei auf den physischen beziehungsweise „analogen“ Schutz kritischer Infrastrukturen ausgerichtet.

Umsetzung in Deutschland: Das KRITIS-Dachgesetz

In Deutschland soll die CER-Richtlinie durch das sogenannte Kritis-Dachgesetz (Kritis-DachG-E) in nationales Recht umgesetzt werden.Am 21. Dezember 2023 veröffentlichte das Bundesministerium des Innern und für Heimat (BMI) einen neuen, zweiten Referentenentwurf, dem bereits ein erster Referentenentwurf aus dem Juli 2023 voranging. Das Umsetzungsgesetz ist in eine „Nationale Kritis-Resilienzstrategie“ des Bundes eingebettet, welche die derzeit noch geltende Strategie aus 2009 ablöst.

Bedingt durch die Parallelität von NIS-2- und CER-Richtlinie soll auch das Kritis-DachG-E am 18. Oktober 2024 und damit zeitgleich mit dem NIS2UmsuCG-E (Entwurf des NIS-2-Umsetzungs und Cybersicherheitsstärkungsgesetzes) in Kraft treten. Die zentralen Pflichten für betroffene Einrichtungen sollen allerdings erst zum 17. Juli 2026 gelten. Hierbei ist vorab festzustellen, dass der Anwendungsbereich des KritisDachG-E kleiner ist als der des NIS2UmsuCG-E, es sind also weniger Unternehmen durch die neuen Anforderungen an die Cyberresilienz betroffen als durch die im Rahmen des NIS2UmsuCG-E geregelten Anforderungen an die Cybersicherheit. Auch die Regelungsintensität fällt für die betroffenen Unternehmen beim KritisDachG-E im Ergebnis geringer aus als beim NIS2UmsuCG-E.

Im KritisDachG-E selbst finden sich keine sektoralen oder branchenspezifischen Regelungen. Das Gesetz soll vielmehr eine abstraktere Verpflichtung zum Ergreifen geeigneter und verhältnismäßiger Maßnahmen zum physischen Infrastrukturschutz durch Betreiber kritischer Anlagen in sämtlichen betroffenen Kritis-Sektoren schaffen.

Anwendungsbereich

Das Kritis-DachG-E läuft hinsichtlich seiner Begrifflichkeiten nicht mehr mit denen des NIS2UmsuCG-E gleich, wie dies noch der erste Referentenentwurf vorsah. Insbesondere kehrt sich der zweite Referentenentwurf von der Nutzung von Begrifflichkeiten wie denen der besonders wichtigen und wichtigen Einrichtung ab, vielmehr ist relevant für die Anwendbarkeit des Kritis-DachG-E nunmehr die Eigenschaft als Betreiber kritischer Anlagen.

Folgende Begriffe sind hierbei zentral, die Definition findet sich in § 2 Kritis-DachG-E:

  • Betreiber kritischer Anlagen ist eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine kritische Anlage ausübt;
  • Anlage ist eine Betriebsstätte, sonstige ortsfeste Installation, Maschine, Gerät und sonstige ortsveränderliche technische Installation;
  • kritische Anlage ist eine Anlage, die eine kritische Dienstleistung erbringt;
  • kritische Dienstleistung ist eine Dienstleistung, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens hat, da durch ihren Ausfall oder ihre Beeinträchtigung langfristige Versorgungsengpässe oder Gefährdungen für wirtschaftliche Tätigkeiten, die öffentliche Sicherheit oder Ordnung, die öffentliche Gesundheit, wichtige gesellschaftliche Funktionen oder die Erhaltung der Umwelt eintreten.

Die relevanten Kriterien zur Bestimmung sind mithin zum einen die Erbringung einer als kritisch geltenden Dienstleistung beziehungsweise die Zugehörigkeit dieser zu einem in den Anlagen bestimmten Sektoren sowie zum anderen der als bedeutend geltende Versorgungsgrad.

Das Gesetz bestimmt zunächst folgende Sektoren, die betroffen sind:

  • Energie,
  • Transport und Verkehr,
  • Finanz- und Versicherungswesen,
  • Gesundheitswesen,
  • Trinkwasser,
  • Abwasser,
  • Ernährung,
  • Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung.

Hinsichtlich des Versorgungsgrades gilt, dass eine kritische Dienstleistung grundsätzlich über 500.000 zu versorgende Einwohner und Einwohnerinnen verfügen muss. Hierbei handelt es sich allerdings um einen Regelschwellenwert; es ist zudem möglich, in die Bestimmung der Bedeutung einer Dienstleistung mithilfe der nationalen Risikoanalysen und -bewertungen etwa die Lieferkette oder auch geografische Besonderheiten mit einzubeziehen.

Dies ermöglicht eine gewisse Flexibilität in der Feststellung der Eigenschaft als Betreiber kritischer Anlagen, da Raum für Ausnahmen vom Regelschwellenwert geschaffen wird. Den zuständigen Behörden kommt hier zudemein Vorschlagsrecht für entsprechende Betreiber zu.

Welche Behörden sind zuständig?

Grundsätzlich sieht das Kritis-DachG-E einen deutlichen Kompetenzzuwachs beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Der zweite Referentenentwurf weist allerdings auch den für die jeweiligen vorstehend aufgelisteten Kritis-Sektoren zuständigen Bundes- und Landesbehörden eigene Aufgaben zu. Sie sind zuständig für die Schaffung und Prüfung der konkreten branchenspezifischen Resilienzvorgaben, die Aufsicht über die Einhaltung der Vorgaben sowie die Festsetzung von etwaigen Bußgeldern. Durch das BBK werden hierbei allgemeine Vorgaben gemacht, die eine Einheitlichkeit der Regelungen und deren Durchsetzung im Bundesgebiet gewährleisten soll.

Nach § 16 Kritis-DachG-E wird das BMI zudem zum Erlass von Rechtsverordnungen ermächtigt, die den Anwendungsbereich des Gesetzes weiter konkretisieren sollen.

Registrierungspflicht

Betreiber einer kritischen Anlage sind spätestens drei Monate, nachdem sie die Kriterien einer kritischen Anlage erfüllen, dazu verpflichtet, sich bei einer vom BBK und Bundesamt für Sicherheit in der Informationstechnik (BSI) geschaffenen Stelle zu registrieren. Kommt ein Betreiber der vorstehenden Verpflichtung nicht nach, ist eine Registrierung durch die Behörde selbst möglich. § 6 Abs. 1 Kritis-DachG-E sieht die zu übermittelnden Angaben vor.

Die Betreiber kritischer Anlagen werden gestaffelt von den im Folgenden beschriebenen Pflichten betroffen. Das auslösende Ereignis der Frist ist hierbei die Registrierung.

Verpflichtende Maßnahmen

Binnen neun Monaten nach Registrierung sind Betreiber kritischer Anlagen verpflichtet, mindestens alle vier Jahre eigene Risikoanalysen und Risikobewertungen anzustellen (§ 9 Kritis-DachG-E). Die Unternehmen können den eigenen Analysen hierbei die nach § 8 Kritis-DachG-E durch die zuständigen Behörden zu erstellenden nationalen Risikoanalysen zugrunde legen, zu deren Durchführung bereits die CER-Richtlinie selbst die Mitgliedstaaten verpflichtet.

Binnen zehn Monate nach Registrierung haben Betreiber kritischer Anlagen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zu ergreifen, welche zusätzlich in einem sogenannten Resilienzplan darzustellen sind. Aus dem Resilienzplan muss hervorgehen, auf welchen Erwägungen die ergriffenen Maßnahmen fußen. Dies umfasst insbesondere die anzustellenden Risikoanalysen und -bewertungen.

Das Kritis-DachG-E enthält in § 10 eine beispielhafte Auflistung von Maßnahmen, die betroffenen Einrichtungen als Orientierungshilfe dienen können. Hierbei handelt es sich aber gerade nicht um einen abschließenden Maßnahmenkatalog. Es bedarf stets einer individuellen Prüfung, welche konkret getroffenen Maßnahmen geeignet und verhältnismäßig sind und ob diese dem Stand der Technik entsprechen.

Um den Herausforderungen der Abwägung im Einzelfall zu begegnen, sieht das Kritis-DachG-E vor, dass das BBK in Abstimmung mit dem BSI einen Katalog sektorübergreifender Mindestanforderungen erstellt. Auch sind, wie bereits obenstehend beschrieben, sektorspezifische Vorgaben durch die zuständigen Bundes- sowie ab dem 1. Januar 2029 auch durch die zuständigen Landesministerien möglich. Zudem können durch Branchenverbände entwickelte Standards oder auch Durchführungsakte der Europäischen Kommission zur Spezifizierung technischer und methodischer Spezifikation herangezogen werden.

Nachweispflichten

Ein Nachweis über die Implementierung der notwendigen Resilienzmaßnahmen muss nur auf Anforderung durch die zuständigen Behörden erbracht werden, eine solche kann gegenüber den Betreibern kritischer Anlagen erstmals zehn Monate nach der Registrierung erfolgen (§ 11 Kritis-DachG-E). Die noch im vorangegangenen ersten Referentenentwurf zu findende obligatorischeregelmäßige Nachweispflicht sieht der Entwurf von Dezember 2023 nicht mehr vor.

Meldenpflichten und Einbeziehung der Geschäftsleitung

Vorfälle, die die Erbringung kritischer Dienstleistungen erheblich stören oder auch nur stören könnten, sind durch die Betreiber unverzüglich an eine vom BBK und BSI eingerichtete Meldestelle zu melden (§ 12 Kritis-DachG-E). Ähnlich wie auch nach dem NIS2UmsuCG-E hat die erste Meldung spätestens 24 Stunden nach Kenntniserlangung des Vorfalls zu erfolgen; spätestens einen Monat nach Kenntnis muss eine aktualisierte Meldung in Form eines ausführlichen Berichts folgen.

Auch im Kontext der Cyberresilienz kann das BBK die Öffentlichkeit über den Vorfall informieren oder den Betreiber zur Offenlegung verpflichten, sofern der Vorfall nach Einschätzung des Bundesamtes im öffentlichen Interesse liegt. Parallel zum NIS2UmsuCG-E sieht auch das KritisDachG-E eine Billigungs-, Überwachungs- und Schulungspflicht der Geschäftsleiter vor (§ 14 Kritis-DachG-E).

Bußgelder

§ 19 Kritis-DachG-E listet die infrage kommenden Bußgeldtatbestände auf. Bußgeldbewehrt sollen damit unter anderem Verstöße gegen die Registrierungspflicht oder auch schlicht die Nichtvorlage der für die Registrierung der Betreiber kritischer Anlagen erforderlichen Informationen und Unterlagen, der Verstoß gegen Nachweispflichten, die Pflicht zur Erstellung eines Resilienzplans oder auch gegen die Pflicht zur Durchführung von Risikoanalysen und -bewertungen sein.

Wie hoch die Bußgelder ausfallen können, ist bislang offengelassen. Auch die CER-Richtlinie macht hier keine Vorgaben. Es erscheint allerdings zumindest möglich, dass sich der deutsche Gesetzgeber aufgrund der Parallelität zum NIS2UmsuCG beziehungsweise im Fall der CER-Richtlinie zur NIS-2-Richtlinie hinsichtlich der Sanktionen auch an den dort festgeschriebenen Möglichkeiten orientieren wird.

Fazit

Sofern noch nicht geschehen, sollten möglicherweise betroffene Einrichtungen umgehend prüfen, ob und in welchem Umfang sie von den Regelungen des Kritis-DachG-E betroffen sind. Es bietet sich an, etwaige verpflichtende Cyberresilienz- und auch Cybersicherheitsmaßnahmen nach dem NIS2UmsuCG-E gemeinsam zu planen und umzusetzen.

Porträt Jan Scharfenberg

Dr. Jan Scharfenberg, LL.M. (Stellenbosch) ist als Rechtsanwalt bei der Kanzlei Schürmann Rosenthal Dreyer im Bereich Datenschutz- und Informationssicherheitsrecht tätig. Daneben arbeitet er als Director für den Bereich Informationssicherheit bei der ISiCO Datenschutz GmbH. Dr. Jan Scharfenberg verfügt über mehr als 15 Jahre Erfahrung im Bereich Regulatory und Corporate Compliance, mit Stationen in einer renommierten internationalen Großkanzlei und als Rechts- und Compliance-Abteilungsleiter in einem Gesundheits-Start-ups eines internationalen Versicherungskonzerns.
www.srd-rechtsanwaelte.de

Andere interessante Fachbeiträge

Kubernetes

Kubernetes sicher betreiben

Kubernetes ist eine Open-Source-Plattform zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen. Neben den vielen Vorteilen wie Ressou...

Hacker vor Monitoren

Wie die Angreifersicht beim Schutz des Unternehmens hilft

Unternehmen investieren viel Zeit und Aufwand in den Aufbau einer Sicherheitsarchitektur für ihre industrielle IT. Trotzdem kommt es immer wieder zu erfolgreichen Angriffen. Wie ka...

rotes Ausrufezeichen

Ransomware-Angriffe mit Zero-Trust-Segmentierung eindämmen

Ransomware-Angriffe sind eine große Gefahr. Die gute Nachricht ist: Sie brauchen Zeit. Die Angreifer müssen sich erst in der IT-Umgebung eines Unternehmens ausbreiten, sensible Dat...