KRITIS-Dachgesetz: Zwischen Anspruch und Umsetzungslücke
Deutschland steht bei der Umsetzung der EU-Richtlinie zur Stärkung kritischer Infrastrukturen unter Zeitdruck. Der Referentenentwurf des KRITIS-Dachgesetzes soll für mehr Sicherheit sorgen, bleibt jedoch in zentralen Punkten unklar und widersprüchlich. Bitkom fordert Nachschärfungen, um Doppelregulierungen zu vermeiden, klare Zuständigkeiten zu schaffen und die Wirtschaft praxisnah einzubinden.
Mit dem KRITIS-Dachgesetz wird die sogenannte CER-Richtlinie (Critical Entities Resilience) in deutsches Recht überführt. Ziel ist es, Betreiber kritischer Infrastrukturen zu verpflichten, physische und organisatorische Maßnahmen zur Stärkung von Resilienz und Sicherheit umzusetzen. Die Frist für die Umsetzung ist längst überschritten, die Europäische Kommission hat bereits ein Vertragsverletzungsverfahren eingeleitet.
Die Bedrohungslage unterstreicht die Dringlichkeit: Internationale Spionage, Cyberangriffe und hybride Bedrohungen richten sich zunehmend gegen Infrastrukturen, die Strom, Kommunikation, Gesundheit oder Verwaltung sicherstellen. Dennoch bleibt der aktuelle Entwurf in vielen Punkten hinter den Erwartungen zurück.
Harmonisierung mit NIS2 dringend erforderlich
Ein zentrales Problem ist die fehlende Kohärenz mit der europäischen NIS2-Richtlinie. Obwohl sich beide Regelwerke inhaltlich überschneiden, bestehen weiterhin abweichende Definitionen und Anforderungen – etwa bei Sicherheitsüberprüfungen von Personal oder bei alternativen Lieferketten. Diese Unterschiede führen zu höherer Komplexität und erschweren eine einheitliche Betroffenheitsprüfung. Bitkom fordert deshalb, die Vorgaben konsequent anzugleichen und Doppelregulierungen zu vermeiden.
Besonders problematisch ist, dass zentrale Sektoren wie Informationstechnik und Telekommunikation teils aus dem Anwendungsbereich herausgenommen wurden. Dies schafft Rechtsunsicherheit und widerspricht dem Anspruch auf Klarheit und Konsistenz.
Fehlende Einbindung von Verwaltung und Kommunen
Ein gravierender Schwachpunkt des Entwurfs ist der eingeschränkte Geltungsbereich. Bundesministerien und das Kanzleramt sind zwar erfasst, nachgeordnete Behörden, Landes- und Kommunalverwaltungen hingegen nicht. Gerade auf kommunaler Ebene, wo Ressourcen oft knapp sind, besteht eine hohe Anfälligkeit für Angriffe. Angesichts der Vielzahl von Vorfällen in der öffentlichen Verwaltung fordert Bitkom, dass der gesamte Sektor Staat und Verwaltung einbezogen wird.
Unklare Pflichten und hohe Umsetzungslast
Die Vorgaben des Gesetzes bleiben in vielen Bereichen vage. Konkrete Maßnahmen werden nicht definiert, sondern auf spätere Rechtsverordnungen verschoben. Für Betreiber entsteht dadurch Unsicherheit, wann und wie sie ihre Resilienzpflichten erfüllen müssen. Hinzu kommen knappe Fristen: Die Registrierung kritischer Anlagen soll bis Juli 2026 abgeschlossen sein – ein Zeitplan, der durch die Verzögerungen beim Gesetzgebungsverfahren erheblich verkürzt wurde.
Auch die Angaben zu den wirtschaftlichen Auswirkungen sind unzureichend. Ohne transparente und fortlaufend aktualisierte Aufwandsschätzungen bleibt für Unternehmen unklar, welche Kosten und Investitionen tatsächlich auf sie zukommen. Bitkom mahnt an, finanzielle Belastungen frühzeitig und realistisch zu benennen.
Sicherheitslücken bei neuen Bedrohungen
Der Entwurf blendet neue Risikoszenarien teilweise aus. So fehlen etwa konkrete Vorgaben zum Schutz vor Drohnenangriffen, obwohl entsprechende Vorfälle bereits mehrfach dokumentiert wurden. In Anbetracht aktueller geopolitischer Konflikte sieht Bitkom hier eine sicherheitspolitische Lücke, die dringend geschlossen werden sollte.
Zudem bleibt unklar, wie hybride Bedrohungen oder feindliche Angriffe in die Risikoanalysen einbezogen werden sollen. Ohne klare Definitionen drohen Rechtsunsicherheit und unterschiedliche Interpretationen.
Melde- und Nachweispflichten klar regeln
Positiv bewertet Bitkom, dass die Meldepflichten an einer zentralen Stelle gebündelt werden sollen. Dennoch bergen die Formulierungen im Entwurf Unschärfen: Vorfälle, die „erheblich stören könnten“, sind zu vage und könnten Behörden wie Unternehmen mit unnötigen Meldungen belasten.
Auch bei Nachweisen fordert die Wirtschaft mehr Pragmatismus: Zertifizierungen nach etablierten Normen wie ISO 22316 oder ISO 31000 sollten anerkannt werden, um Prüf- und Auditierungsaufwände zu reduzieren.
Fazit: Nachschärfen für mehr Klarheit und Umsetzbarkeit
Das KRITIS-Dachgesetz ist ein überfälliger Schritt, um die Resilienz kritischer Infrastrukturen in Deutschland zu stärken. Doch der Entwurf bleibt in entscheidenden Punkten zu unbestimmt, fragmentiert und praxisfern. Bitkom fordert daher, Doppelregulierungen mit NIS2 zu vermeiden, Verwaltung und Kommunen einzubeziehen und konkrete Vorgaben direkt im Gesetz zu verankern.
Nur mit klaren Zuständigkeiten, transparenter Aufwandsschätzung und verbindlichen Standards lässt sich ein Rechtsrahmen schaffen, der Sicherheit erhöht, ohne die Wirtschaft durch unnötige Komplexität zu belasten. Angesichts der wachsenden Bedrohungslage darf der Gesetzgeber hier nicht bei Absichtserklärungen stehenbleiben.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
