Das KRITIS-Dachgesetz
Stand der Dinge und Ausblick
Autor: Dr. Heiko Baumgartner  (zuletzt aktualisiert am 08.11.2024)    ----------- English version below ---------

Ende Juli 2023 veröffentlichte das Bundesministerium des Innern und für Heimat einen ersten Gesetzesentwurf für das KRITIS-Dachgesetz, mit dem erstmals in Deutschland kritische Infrastrukturen identifiziert und Mindeststandards für die physikalische Sicherheit festgelegt werden. Der Entwurf wurde im Dezember 2023 und im April 2024 überarbeitet, und in der letzten Version vom November 2024 vom Bundeskabinett am 6.11.24 beschlossen. 

Nach dem Bruch der Regierungskoalition ist nicht sicher, ob die Regierung weiter eine Mehrheit für Kritis-Dach zusammenbekommt. Zumindest die Staatssekretäre waren sich jedoch dem Vernehmen nach parteiübergreifend einig. Mitte kommenden Jahres soll das Gesetz in Kraft treten, die EU-Kommission hatte ursprünglich den 17. Oktober dieses Jahres vorgegeben. Es ist deshalb schwierig, finale Aussagen zu treffen und vorauszusagen, wann das Gesetz in Kraft tritt und wann die verbindlichen Maßnahmen verpflichtend werden.

Im Gesetzesentwurf sind für die Betreiber Fristen von neun bis zehn Monaten zur Umsetzung der Resilienz-Anforderungen vorgesehen nach der eigenen Registrierung, die frühestens zum 17. Juli 2026 zu erfolgen hat. Der Artikel soll aber bereits heute einen Überblick geben, was zu erwarten ist und auf was sich die Industrie und die Betreiber einstellen können.

Fest steht, dass die Regelungen für die Betreiber der Betriebe und Institutionen kritischer Infrastrukturen gelten werden. Sie erweitern die bisherige bundesweite Regelung, die lediglich in der IT-Sicherheit für diese Infrastrukturen relevant waren. Durch die Erweiterung der Sicherheitsmaßnahmen auf die Bereich Perimeterschutz, Zutrittskontrolle, Alarmanlagen und Überwachung sollen kritische Bereiche der deutschen Infrastruktur besser und umfassender geschützt werden.

Gefährdungslage und Maßnahmen

Im Rahmen des Risiko- und Krisenmanagements für Kritische Infrastrukturen müssen sowohl natürliche Gefahren (Wetterereignisse, Erdbeben, Epidemien und Pandemien) als auch technologische Gefahren (Unfälle, Systemversagen, Sabotage, Einbruch, Terrorismus und Krieg) berücksichtigt werden. Bei den natürlichen Gefahren spielt der Klimawandel eine große Rolle, da das Risiko von Naturkatastrophen wächst und Orkane, Dürreperioden und große Hochwasserereignisse zu gravierenden Schäden an kritischen Infrastrukturen führen können. 

Auch schwere Unglücksfälle und gravierende Betriebsstörungen können starke Auswirkungen auf den Staat und die Gesellschaft haben. So sorgte z.B. 2023 eine durch Bohrungen beschädigte Glasfaserleitung dafür, dass die Lufthansa und der wichtigste deutsche Flughafen kurzfristig lahmgelegt wurden. Aber auch die Bedrohungen von außen werden nicht weniger. Durch einen versuchten Kabeldiebstahl standen zuletzt alle Züge im Norden Deutschlands für mehrere Stunden still und die Sabotage der beiden Nord-Stream-Ostsee-Pipelines im Herbst 2022 zeigte, wie vulnerabel die Energieversorgung ist.

Die derzeitige sicherheitspolitische Lage, der Krieg in der Ukraine und mögliche Angriffe Russlands auch auf Deutschland erhöhen nach Ansicht des BMI den Handlungsbedarf. Dies hatte u.a. die folgenden Maßnahmen zur Folge:

  • Einrichtung eines ressortübergreifenden Gemeinsamen Koordinierungsstabs Kritische Infrastruktur (GEKKIS) unter Leitung des BMI mit dem Ziel der ressortübergreifenden Bereitstellung aktuellster Lagebilder zur Gefährdungslage und einem strukturierten Austausch der Ressorts sowie Bildung einer ad hoc Gruppe für relevante Vorfälle.
  • Schutz von Bahnanlagen und maritimer Infrastruktur: mehr Kameras, Sensoren oder Einsatzkräfte für Bahnhöfe und Bahnanlagen, personelle und materielle Verstärkung der Bundespolizei zum Schutz maritimer Infrastrukturen
  • Arbeit am Entwurf eines KRITIS-Dachgesetzes: Kritische Infrastrukturen klar und systematisch identifizieren, regelmäßige Risikobewertungen, um Gefahren besser zu erkennen, Mindeststandards für Betreiber für mehr Resilienz.

Ereignisse mit katastrophaler Wirkung passieren, und sie werden zunehmend komplexer und oftmals verstärken sie sich gegenseitig. Dies haben die vergangenen Jahre gezeigt. Im Bereich der kritischen Infrastrukturen wird zwischen verschiedenen Sektoren unterschieden. Die einzelnen Sektoren sind jedoch so verzahnt, dass es in der Regel Abhängigkeiten voneinander gibt. Gibt es Ausfälle in einem Sektor, etwa Energie, IT oder Logistik, kann dies schwere Auswirkungen auch auf andere Sektoren und damit die gesamte Wertschöpfungskette haben. In besonderen Fällen kann aus dem Dominoeffekt auch ein sogenannter Kaskadeneffekt entstehen. Dies geschieht vor allem dann, wenn der Ausfall in einem betroffenen Sektor stärkere Auswirkungen hat als der ursprüngliche Ausfall.

Dennoch gibt es in Deutschland abseits des Bereichs der IT-Sicherheit kritischer Infrastrukturen bisher keine Sektoren- und gefahrenübergreifende Regelung. Dies soll sich mit dem KRITIS-Dachgesetz ändern, das die bestehenden Regelungen im Bereich der IT-Sicherheit ergänzt und ein wichtiger Schritt ist, denn der größte Teil der kritischen Infrastruktur liegt in privater Hand.

Betroffene Sektoren (§4)

Im komplexen Geflecht der kritischen Infrastrukturen sind die Sektoren Energie sowie Informationstechnik und Telekommunikation von besonderer Bedeutung. Zwischen bestimmten Bereichen der Energieversorgung und den dort verwendeten Informations- und Kommunikationstechnologien bestehen wechselseitige Abhängigkeiten. Aufgrund der zunehmenden Durchdringung und Vernetzung praktisch aller anderen Sektoren mit Dienstleistungen dieser Bereiche, müssen Ausfälle dieser Sektoren in Schutzkonzepten und Risikoanalysen für Kritische Infrastrukturen besonders berücksichtigt werden.

Im KRITIS-Dachgesetz sollen alle kritischen Sektoren genannt werden, für die dann besondere Regelungen gelten, mit dem Ziel eines umfassenden Schutzes vor den oben genannten natürlichen und technologischen Gefahren. Im Gesetzentwurf werden die Bereiche Energie, Transport und Verkehr, Finanzswesen, Sozialversicherung, Gesundheit, Wasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung und Weltraum genannt. 

Das KRITIS-Dachgesetz nimmt alle Bereiche kritischer Infrastrukturen in den Blick und definiert, welche Unternehmen und Einrichtungen mit Blick auf den physischen Schutz für die Gesamtwirtschaft verpflichtende Resilienzmaßnahmen ergreifen müssen.

Elemente des KRITIS-Dachgesetz

Das KRITIS-Dachgesetz formuliert erstmals sektorübergreifende Ziele, nämlich Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherzustellen. Das Gesetz legt u.a. fest:

  • Welche Unternehmen und Einrichtungen mit Blick auf den physischen Schutz für die Gesamtwirtschaft verpflichtende Resilienzmaßnahmen ergreifen müssen.
  • Eine Registrierungspflicht für Betreiber kritischer Infrastrukturen auf nationaler Ebene und Betreiber kritischer Einrichtungen von besonderer Bedeutung für Europa
  • In den relevanten Sektoren bedarf es einer regelmäßigen Risikoanalyse und -bewertung sowohl von staatlicher (nationale Risikoanalysen und Risikobewertungen) als auch von Betreiberseite.
  • Die Betreiber müssen zur Erreichung der Ziele und Stärkung der Resilienz geeignete und verhältnismäßige Maßnahmen ergreifen. Dazu gehört die Erarbeitung und Umsetzung von Resilienzplänen und Resilienzmaßnahmen auf Basis der Risikoanalysen und -bewertungen. Die Maßnahmen müssen nachgewiesen werden.
  • Es wird ein zentrales Meldewesen für erhebliche Störungen geben, das in das bereits bestehende Meldewesen im Bereich der IT-Sicherheit kritischer Infrastrukturen eingebunden wird.
  • Geschäftsleiter von Betreibern kritischer Anlagen werden verpflichtet, die geforderten Maßnahmen zu billigen und ihre Umsetzung zu überwachen.

KRITIS-Dachgesetz und NIS2

Das KRITIS-Dachgesetz wird im Hinblick auf nicht-IT-bezogene Maßnahmen zur Stärkung der Resilienz sektorenübergreifende Mindestvorgaben normieren. Beim KRITIS-Dachgesetz und bei der Umsetzung der NIS2-Richtlinie werden die Schnittstellen zwischen den Bereichen IT-Sicherheit und physikalischen Resilienzmaßnahmen berücksichtigt. Die Regelungen sollen angeglichen bzw. soweit möglich übereinstimmend ausgestaltet werden. Mit der Rechtsverordnung wird ersichtlich, welche Verpflichtungen für Betreiber kritischer Anlagen im Hinblick auf physische Resilienzmaßnahmen (nach KRITIS-DachG) und im Hinblick auf IT-Sicherheit (BSIG/NIS2) gelten.

Anwendungsbereich: Wer ist betroffen?

Der Gesetzesentwurf weist nicht einzelne Betreiber als KRITIS aus, sondern bildet die Grundlage, auf der raum- und situationsbezogen festgelegt wird, welche Anlagen kritisch sind bzw. welche Unternehmen, Behörden und Organisationen zu den KRITIS-Betreibern zählen (Kritikalitätsbestimmung). 

In der Hauptsache müssen zwei Kriterien erfüllt sein: Eine Einrichtung muss essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Personen versorgen. 

Die Anlagenarten für diese relevanten Sektoren und die für die Sektoren spezifischen Schwellenwerte werden also erst in einer vom Bundesministerium des Innern und für Heimat nach Anhörung anderer Ministerien zu erlassenden zukünftigen Rechtsverordnung festgelegt. Der Regelschwellenwert von 500.000 zu versorgenden Einwohnern wird dabei zugrunde gelegt.

Nach Einschätzung des BMI fallen in den Anwendungsbereich des Gesetzes, rund 1400 Betreiber kritischer Anlagen, die die gesamten Resilienzverpflichtungen umsetzen müssen. Es ist davon auszugehen, dass einige bereits einen hohen Standard erfüllen, andere aber in weitaus größerem Umfang Resilienzmaßnahmen vornehmen müssen und gemessen an Ihrem Umsatz auch mit angemessener Belastung vornehmen können. 

Die kritischen Anlagen müssen per Verordnung vom Bund festgelegt werden, inklusive der Kategorien, Schwellenwerten, versorgten Einwohner und den Stichtagen und Fristen (§5). Das Bundesministerium des Innern und für Heimat kann darüber hinaus weitere Betreiber kritischer Anlagen unter Berücksichtigung der nationalen Risikoanalysen und Risikobewertungen und nach definierten Kritikalitätsskriterien festlegen, wenn diese erheblich sind, aber nicht unter die KRITIS-Verordnung fallen. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe teilt den Betreiber dieser kritischen Anlagen dann mit, dass sie den Verpflichtungen des Gesetzes unterliegen und fordert sie zur Registrierung auf.

Die Registrierungspflicht (§8)

Alle Betreiber einer kritischen Anlage werden verpflichtet, spätestens nach drei Monaten nachdem eine Anlage als kritische Anlage gilt, frühestens jedoch bis einschließlich zum 17. Juli 2026, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe diese über die Registriermöglichkeit nach § 33 BSIG zu registrieren. Es wird gefordert im Rahmen dieser Registrierung unter anderem Namen Ansprechpartner, Details zur Anlage, den Bereich und eine Kontaktstelle zu übermitteln. Den Betreibern wird dann zwei Wochen nach Registrierung die federführende Aufsichtsbehörde mitgeteilt.

Nach der Registrierung beginnen für die Betreiber nach dem Dachgesetz die folgenden, unten näher aufgeführten Pflichten und Fristen: 

  • Risikoanalyse (innerhalb 9 Monate)
  • Resilienzmaßnahmen (innerhalb 10 Monate)
  • Meldewesen (innerhalb 10 Monate)
  • Geschäftsleitung (innerhalb 10 Monate)

Nationale Risikoanalysen und Risikobewertungen (§11)

Die zuständigen Bundesministerien und Landesministerien werden im Bedarfsfall, mindestens jedoch alle vier Jahre, und erstmalig bis einschließlich 17. Januar 2026 für die kritischen Dienstleistungen nationale Risikoanalysen und Risikobewertungen durchführen, die mindestens Folgendes berücksichtigen:

  • naturbedingte und vom Menschen verursachte Risiken, die die Handlungsfähigkeit der Wirtschaft bedrohen.
  • Sektorübergreifende und grenzüberschreitende Risiken.
  • hybride Bedrohungen, sicherheitsgefährdende oder geheimdienstliche Tätigkeiten einer fremden Macht oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten. 

Das Bundesministerium des Innern und für Heimat wird ermächtigt methodische und inhaltliche Vorgaben für die nationalen Risikoanalysen und Risikobewertungen festzulegen.

Analysen und Risikobewertungen der Betreiber (§12)

Von den Betreibern wird im nächsten Schritt gefordert, auf Basis der nationalen Risikoanalysen und Risikobewertungen und anderer Quellen mindestens alle vier Jahre eigene Risikoanalysen und -bewertungen durchzuführen. Diese Analysen müssen die oben genannten Risiken berücksichtigen, d.h. sie basieren auf den nationale Risikoanalysen und Risikobewertungen, und den Risiken, die die Handlungsfähigkeit der Wirtschaft beeinträchtigen und die sich aus den folgenden Punkten ergeben: 

  • Dem Ausmaß der Abhängigkeit des Betreibers kritischer Anlagen von den kritischen Dienstleistungen, die von anderen Betreibern kritischer Anlagen in anderen Sektoren auch in benachbarten Mitgliedstaaten und Drittstaaten erbracht werden.
  • Dem Ausmaß der Abhängigkeiten anderer Sektoren von der kritischen Dienstleistung, die von einem Betreiber kritischer Anlagen auch in benachbarten Mitgliedstaaten und Drittstaaten erbracht wird.

Die Besonderheiten maritimer Infrastrukturen werden bei den Risikoanalysen und
Risikobewertungen berücksichtigt. Das Bundesministerium des Innern und für Heimat wird ermächtigt, inhaltliche und methodische Vorgaben einschließlich Vorlagen und Muster für die diese Risikoanalysen und Risikobewertungen der Betreiber zu bestimmen.

Resilienzmaßnahmen und -pläne der Betreiber (§13)

Wie erwartet wird das KRITIS-Dachgesetz direkt keine detaillierten Maßnahmen vorschreiben, sondern lediglich den gesetzlichen Rahmen dazu abbilden.

Festgelegt wurde das Ziel, Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherzustellen. Als Konsequenz wird deshalb gefordert, dass die Betreiber kritischer Anlagen auf die spezifischen Risiken für ihre Anlagen, die in den staatlichen und den eigenen Risikoanalysen festgestellt wurden, mit passgenauen Maßnahmen reagieren. Diese Maßnahmen können wegen der Bedingungen vor Ort und den unterschiedlichen Anforderungen der einzelnen Sektoren sehr verschieden sein. Das Gesetz soll ermöglichen, dass die Betreiber zusammen mit Branchenverbänden gemeinsame Standards erarbeiten und somit konkretisieren können, was jeweils für ihren Sektor und für ihre Branche  als geeignete und verhältnismäßige Maßnahme gelten soll. Damit schafft das Gesetz Mindeststandards und schließt Lücken. Bereits bestehende Regelungen in den Sektoren sollen dabei bestehen bleiben. 

Konkret gefordert wird in dem Gesetzesentwurf, dass Betreiber kritischer Anlagen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen, die erforderlich sind, um:

  • das Auftreten von Vorfällen zu verhindern
  • einen angemessenen physischen Schutz ihrer Liegenschaften und kritischen Anlagen zu gewährleisten 
  • auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen
  • nach Vorfällen die Wiederherstellung der kritischen Dienstleistung zu gewährleisten
  • ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten, einschließlich des Personals externer Dienstleister
  • das Personal mit den genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen vertraut zu machen.

Die Maßnahmen sind dann verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Vorfalls zum Risiko eines Vorfalls angemessen erscheint und der Stand der Technik soll eingehalten werden.

Im Gesetzesentwurf werden dann einzelne Maßnahmen näher beschrieben, ohne auf die Details einzugehen. Zu den Maßnahmen können zählen:

Verhinderung von Vorfällen

  • Maßnahmen der Notfallvorsorge

Schutz der Liegenschaften und Anlagen

  • Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente
  • Instrumente und Verfahren für die Überwachung der Umgebung
  • Einsatz von Detektionsgeräten
  • Zugangskontrollen

Reaktion auf Vorfälle

  • Risiko- und Krisenmanagementverfahren und -protokolle
  • Vorgegebene Abläufe im Alarmfall
  • Maßnahmen zur Aufrechterhaltung des Betriebs, darunter die Notstromversorgung
  • Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen

Sicherheitsmanagement der Mitarbeiter

  • Gefordert wird ein angemessenes Sicherheitsmanagement der Betreiber hinsichtlich der Mitarbeitenden einschließlich des Personals externer Dienstleister

Die Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt, die Festlegung von Zugangsrechten zu Liegenschaften, kritischen Anlagen und zu sensiblen Informationen wird im letzten Gesetzesentwurf nicht mehr explizit gefordert, könnte aber bei der Festlegung der detaillierten Maßnahmen und Mindestanforderungen später wieder aufgenommen werden.  

Schulungen

  • Schulungen,
  • die Bereitstellung von Informationsmaterial
  • Übungen

Der Betreiber kritischer Anlagen muss die Maßnahmen in einem Resilienzplan darstellen und diesen anwenden. Aus ihm müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen und der Plan muss auf die Risikoanalyse und Risikobewertung des Betreibers Bezug nehmen. Der Resilienzplan ist bei Bedarf sowie nach Durchführung einer Risikoanalyse und Risikobewertung des Betreibers zu aktualisieren. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stellt für die Erstellung von Resilienzplänen bis spätestens 17. Januar 2026 Vorlagen und Muster auf seiner Internetseite bereit.

Konkretisierung der Maßnahmen (§14)

Welche detaillierten Maßnahmen und Mindestanforderungen erfüllt werden müssen, wird im Gesetz nicht festgelegt, sie werden später festgelegt. Es heißt dazu im Gesetzesentwurf, dass das Bundesministerium des Innern und für Heimat ermächtigt wird, durch Rechtsverordnung sektorenübergreifende Mindestanforderungen zu bestimmen. Die zuständigen Behörden und die betroffenen Wirtschaftsverbände und Wissenschaftsorganisationen sind zuvor anzuhören. Das Bundesministerium des Innern und für Heimat kann die Ermächtigung durch Rechtsverordnung auch auf das Bundesamt für Bevölkerungsschutz übertragen. 

Die Betreiber kritischer Anlagen und ihre Branchenverbände können branchenspezifische Resilienzstandards zur Konkretisierung der Verpflichtungen nach § 13 vor-
schlagen. Soweit branchenspezifische Standards nach § 30 Absatz 10 BSIG vom Bundesamt für Sicherheit in der Informationstechnik anerkannt wurden, sollen diese die Grundlage für branchenspezifische Resilienzstandards nach Satz 1 sein (das ist der Verweis auf Regelungen für die IT-Sicherheit (BSIG/NIS2). Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stellt die Geeignetheit dieser branchenspezifischen Resilienzstandards fest. Die Feststellung erfolgt dann durch eine öffentliche Mitteilung auf der Internetseite des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe.

Für den Fall, dass die Europäische Kommission einen oder mehrere Durchführungsrechtsakte gemäß der EU-Richtlinie (EU) 2022/2557, in der die technischen und methodischen Spezifikationen für die Maßnahmen konkretisiert werden, geht dieser oder gehen diese den Vorschriften vor.

Stellungnahmen von Verbänden

Bereits nach der Veröffentlichung der ersten Gesetzesvorlage haben zahlreiche Verbände Stellungnahmen und Verbesserungsvorschläge gemacht, u.a. der BHE und der BDSW. Der BHE schlägt unter anderem vor, als Instrumente und Verfahren für den Schutz von Liegenschaften und Anlagen explizit Videosicherheitssysteme (VSS), Drohnen-Detektions-Systeme (DSS), Perimeter-Sicherheits-Systeme (PSS), Einbruch- und Überfallmeldeanlage (EMA/ÜMA), Zutrittssteuerungssysteme, Brandschutztechnik (u.a. Brandmeldetechnik), Sprachalarmsysteme, Rauch- und Wärmeabzugsanlagen, Sicherheitsbeleuchtung und Löschtechnik zu benennen.

Der Fachverband Sicherheit im ZVEI hat darüber hinaus zusammen mit dem BHE und dem VfS ein Grundsatzpapier KRITIS erstellt, um die erforderlichen physischen Resilienzmaßnahmen für Betreiber kritischer Anlagen aufzulisten. In diesem Grundsatzpapier werden baulich-technische Maßnahmen vorgeschlagen, mit dem Ziel, die Vulnerabilität der Infrastrukturen in Bezug auf Bedrohungen auf ein tragbares Maß zu verringern.

Der BDSW rät in seiner Stellungnahme dazu, dass sofern sich KRITIS-Betreiber externer Sicherheits-Dienstleister bedienen, nur Unternehmen und Beschäftigte des Sicherheitsgewerbes zum Einsatz kommen dürfen. Der Verband schlägt vor, bei der Bestimmung des Standes der Technik insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen. Er rät weiterhin dazu, keine zusätzliche „Zuverlässigkeitsüberprüfung“ für Mitarbeiter des Sicherheitsgewerbes durch das KRITIS-Dachgesetz einzuführen.

Kurz vor Verabschiedung des Gesetzesentwurfs sagte Jens Müller, Vizepräsident des BDSW dem Tagesspiegel Background, dass der vorliegende Entwurf auf konkrete Sicherheitsanforderungen für das eingesetzte Personal verzichtet. Er ergänzte, dass sowohl für festangestelltes als auch externes Personal verbindliche Qualifikations- und Zuverlässigkeitsstandards entscheidend sind und dass dieser Aspekt im parlamentarischen Verfahren Einzug in das Gesetz finden muss.

Nachweise und Überprüfungen (§16)

Betreiber müssen keine regelmäßigen Nachweisprüfungen für das KRITIS-Dachgesetz durchführen. Für die Überprüfung der Einhaltung der Resilienzmaßnahmen und -pläne kann aber die zuständige Behörde über das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe vom Bundesamt für Sicherheit in der Informationstechnik die Übersendung der erforderlichen Bestandteile des Nachweises der Einhaltung der Verpflichtungen nach § 39 Absatz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit der Informationstechnik von Einrichtungen ersuchen (KRITIS-Nachweises nach NIS2).

Sofern die übermittelten Informationen nicht ausreichen, können die Behörden den Betreiber kritischer Anlagen zur Vorlage weiterer Informationen und geeigneter Nachweise zur Erfüllung der Verpflichtungen auffordern. Sie kann insbesondere die Vorlage des Resilienzplans verlangen.

Bei der Auswahl, von welchen Betreibern kritischer Anlagen Nachweise angefordert werden, verfolgt die zuständige Behörde einen risikobasierten Ansatz. Sie wählt die zu kontrollierenden Betreiber kritischer Anlagen anhand des Ausmaßes der Risikoexposition, der Größe des Betreibers kritischer Anlagen und der Eintrittswahrscheinlich-
keit und Schwere von möglichen Vorfällen sowie deren möglichen gesellschaftlichen und
wirtschaftlichen Auswirkungen aus. 

Ein Nachweis zur Einhaltung der Verpflichtung nach § 13 kann durch Au-
dits erfolgen. Für diese Kontrollen/Audits sind die jewiligen Bundes- und Landesbehörden zuständig. Der Betreiber kritischer Anlagen übermittelt der zuständigen Behörde auf Verlangen die Ergebnisse des Audits einschließlich der dabei aufgedeckten Mängel.
Die zuständige Behörde kann die Vorlage der Dokumentation, die der Überprüfung durch
ein Audit oder auf andere Weise zugrunde gelegt wurde, verlangen.

Bei erheblichen Zweifeln an der Einhaltung der Verpflichtungen kann die zuständige Behörde die Einhaltung der Verpflichtungen überprüfen. Bei der Durchführung der Überprüfung können die Behörden sich eines qualifizierten unabhängigen Dritten bedienen.

Der Betreiber kritischer Anlagen hat der zuständigen Behörde und den in ihrem Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren.

Die zuständige Behörde kann bei Mängeln die Vorlage eines geeigneten Mängelbeseitigungsplans und Maßnahmen zur Beseitigung der Mängel innerhalb einer angemessenen Frist anordnen. Sie kann die Vorlage eines geeigneten Nachweises der Mängelbeseitigung verlangen. Bei der Durchführung der Überprüfung können die Behörden sich eines qualifizierten unabhängigen Dritten bedienen.

Die Nachweispflichten gelten nicht für Betreiber aus dem Energiesektor im Bereich Strom, Gas und Wasserstoff, dort ist das Energiewirtschaftsgesetz anzuwenden (§5).

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe kann zur Ausgestaltung des Verfahrens der Erbringung des Nachweises und der Audits Anforderungen an die Art und Weise der Durchführung, an die Geeignetheit der zu erbringenden Nachweise sowie fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle festlegen. Dies soll nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik geschehen und die Festlegung durch eine öffentliche Mitteilung auf der Internetseite des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe erfolgen.

Meldewesen für Vorfälle (§18)

Betreiber kritischer Anlagen sind verpflichtet, Vorfälle, die die Erbringung kritischer Dienstleistungen erheblich stören oder erheblich stören könnten, spätestens 24 Stunden nach Kenntnis an die Meldestelle nach § 32 Abs. 1 BSIG zu melden. Spätestens einen Monat nach Kenntnis des Vorfalls ist ein ausführlicher Bericht zu übermitteln.

Die Meldungen müssen die verfügbaren Informationen enthalten, die erforderlich sind, damit Art, Ursache und mögliche, auch grenzüberschreitende, Auswirkungen und Folgen des Vorfalls nachvollzogen und ermittelt werden können. Insbesondere sind folgende Angaben zu machen: Die Anzahl und Anteil der von der Störung Betroffenen, die bisherige und voraussichtliche Dauer der Störung sowie das betroffene geografische Gebiet der Störung, unter Berücksichtigung des Umstands und ob das Gebiet geografisch isoliert ist.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermittelt dem  kann Betreibern sachdienliche Folgeinformationen. 

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe legt Einzelheiten vom Meldeverfahren und den Inhalten im Einvernehmen mit dem BSI fest, und veröffentlicht dies auf der Webseite des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe.

Zukünftige Pflichten für Geschäftsleiter (§20)

Der Entwurf der KRITIS-Dachgesetzes sieht vor, dass auf die Geschäftsleitungen von Betreibern kritischer Anlagen eine Reihe von Pflichten zukommen. Sie werden verpflichtet, die geforderten Resilienzmaßnahmen umzusetzen und ihre Umsetzung durch geeignete Organisationsmaßnahmen sicherzustellen. Geschäftsleitungen haften ihrer Einrichtung bei Pflichtverletzungen nach dem Gesellschaftsrecht oder nach dem KRITIS-Dachgesetz, wenn die gesellschaftsrechtlichen Bestimmungen keine entsprechenden Haftungsregeln enthalten. 

Was ist Stand der Dinge?

Der Entwurf des KRITIS-Dachgesetz wurde in der letzten Version vom November 2024 vom Bundeskabinett am 6.11.24 beschlossen. Nach dem Bruch der Regierungskoalition ist nicht sicher, ob die Regierung weiter eine Mehrheit für Kritis-Dach zusammenbekommt, obwohl zumindest die Staatssekretäre sich im Vorfeld wohl parteiübergreifend einig waren. Mitte kommenden Jahres soll das Gesetz in Kraft treten, die EU-Kommission hatte ursprünglich den 17. Oktober dieses Jahres vorgegeben. Es ist deshalb schwierig vorauszusehen, wann das Gesetz in Kraft tritt und wann die verbindlichen Maßnahmen verpflichtend werden. Im Gesetzesentwurf sind jedenfalls für die Betreiber Fristen von neun bis zehn Monaten zur Umsetzung der Resilienz-Anforderungen vorgesehen nach der eigenen Registrierung, die frühestens zum 17. Juli 2026 zu erfolgen hat.

Man sollte den fertigen Gesetzentwurf als den Beginn eines Prozesses sehen, da sowohl die die nationalen und betreiberseitigen Risikobewertungen und Standards für alle Sektoren auch von den von den Wirtschaftsverbänden kommen sollen. Konkretere sektorübergreifende Maßnahmen werden dann mit einer Rechtsverordnung geregelt werden, der der Bundesrat nicht zustimmen muss.

----------------------------------------------------------------------------------------------------------------------

Quellen und weiterführende Informationen:

Vom Bundeskabinett am 6.11.24 beschlossener Entwurf zum KRITIS-Dachgesetz:

https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/KM4/regentwurf-kritisDachG.pdf?__blob=publicationFile&v=2

OpenKRITIS Webseite

Auf der OpenKRITIS-Webseite findet man regelmäßig Updates zum Stand der Dinge: 

https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html

Protector Interviews zum KRITIS-Dachgesetz

https://www.protector.de/cyberrichtlinie-nis-2-vom-risiko-zur-sicherheit?utm_source=Newsletter&utm_medium=email&utm_content=Interview+zum+Thema+NIS-2&utm_campaign=NL_PRO_2024-10-02

https://www.protector.de/kritis-sicherheit-ohne-branche-geht-nichts

Artikel zu NIS2 und KRITIS-Dachgesetz auf GIT-SICHERHEIT.de

https://git-sicherheit.de/de/topstories/nis2-und-kritis-dachgesetz-neu-denken-erforderlich

BMI-Webseite mit zwei Referentenentwürfen und Stellungnahmen von Verbänden

https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/KRITIS-DachG.html

Neuer Referentenentwurf April 2024 (intrapol, August 2024)

Richtlinie 2008/114/EG des Rates

https://krisenzentrum.be/sites/default/files/documents/files/CELEX_32008L0114_DE_TXT.pdf

Belgisches Gesetz über die Sicherheit und den Schutz der kritischen Infrastrukturen

https://krisenzentrum.be/sites/default/files/documents/files/1%20juli%202011%20-%20wet%20kritieke%20infrastructuren%20DE%20.pdf                               

BMI-Empfehlungen für Unternehmen zum Schutz Kritischer Infrastrukturen – Basisschutzkonzept von 2005

https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritische-infrastrukturen-basisschutzkonzept.pdf;jsessionid=A2FE47081F393A29271181DA538CF46D.1_cid295?__blob=publicationFile&v=4

Übersicht über Sektoren und Kritikalitätskriterien (Land Hessen):

https://hessen.de/sites/hessen.hessen.de/files/2021-11/kritis-uebersicht_sektoren-branchen-kdl-prozesse_he.pdf

Grundsatzpapier KRITIS von ZVEI, BHE und VfS:

https://www.zvei.org/fileadmin/user_upload/Presse_und_Medien/Publikationen/2024/Juni/Positionspapier_KRITIS-Dachgesetz/240611-KRITISGrundsatzpapierBHEVfSZVEI_final.pdf

-------------------------------------------------------------------------------------------------------------------

Wichtiger Hinweis:

Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit oder Korrektheit, stellt keine Rechtsberatung dar und kann und soll keine qualifizierte Rechtsberatung für den Einzelfall ersetzen. Er unterliegt einer sorgfältigen Erstellung und Überprüfung. Gleichwohl können Fehler nicht vollständig ausgeschlossen werden. Der Autor übernimmt deshalb keine Garantie für die Vollständigkeit und Richtigkeit des Artikels. 

Es ist ohne vorherige Zustimmung des Autors untersagt, den Artikel oder einzelne Teile davon zu vervielfältigen oder zu verbreiten. Sie können sich aber sehr gerne an mich wenden, wenn Sie den Artikel oder Bestandteile des Artikel für Ihre Zwecke oder eine eigene Publikation verwenden möchten.

Stand 8. Oktober 2024

The German KRITIS umbrella act (KRITIS Dachgesetz)

An outlook 

 Author: Dr Heiko Baumgartner (October 18 2024)

At the end of July 2023, the Federal Ministry of the Interior and Home Affairs published a draft law for the KRITIS umbrella act, which for the first time in Germany identifies critical infrastructures and sets minimum standards for physical security. The draft was revised in December 2023 and April 2024, and there are several public drafts that have been made public. The KRITIS umbrella law was actually supposed to come into force in October 2024, but this is no longer realistic. It is therefore difficult to make final statements and predict when the law will come into force and when the binding measures will become mandatory. However, the article is intended to provide an overview of what to expect and what industry and operators can prepare for.

What is certain is that the regulations will apply to the operators of companies and institutions of critical infrastructures. They expand the previous nationwide regulations, which were only relevant to IT security for these infrastructures. By expanding the security measures to include perimeter protection, access control, alarm systems and surveillance, critical areas of the German infrastructure should be better and more comprehensively protected.

Risk Situation and Measures

As part of risk and crisis management for critical infrastructures, both natural hazards (weather events, earthquakes, epidemics and pandemics) and technological hazards (accidents, system failure, sabotage, burglary, terrorism and war) must be taken into account. Climate change plays a major role in natural hazards, as the risk of natural disasters is increasing and hurricanes, droughts and major flooding events can cause serious damage to critical infrastructures. 

Serious accidents and serious operational disruptions can also have a major impact on the state and society. For example, in 2023, a fiber optic cable damaged by drilling caused Lufthansa and Germany's most important airport to be temporarily paralyzed. But the threats from outside are not diminishing either. An attempted cable theft recently brought all trains in northern Germany to a standstill for several hours, and the sabotage of the two Nord Stream Baltic Sea pipelines in autumn 2022 showed how vulnerable the energy supply is.

The current security situation, the war in Ukraine and possible attacks by Russia on Germany increase the need for action in the opinion of the BMI. This has resulted in the following measures, among others:

  • Establishment of a cross-departmental Joint Coordination Staff for Critical Infrastructure (GEKKIS) under the leadership of the BMI with the aim of providing the most up-to-date situation reports on the threat situation across departments and a structured exchange between departments as well as the formation of an ad hoc group for relevant incidents.
  • Protection of railway facilities and maritime infrastructure: more cameras, sensors or emergency forces for railway stations and railway facilities, personnel and material reinforcement of the Federal Police to protect maritime infrastructure
  • Work on the draft of a KRITIS umbrella act : Clearly and systematically identify critical infrastructures, regular risk assessments to better identify dangers, minimum standards for operators for greater resilience.

Events with catastrophic consequences happen, and they are becoming increasingly complex and often reinforce each other. This has been shown in recent years. In the area of ​​critical infrastructure, a distinction is made between different sectors. However, the individual sectors are so interlinked that they are usually dependent on one another. If there are failures in one sector, such as energy, IT or logistics, this can have serious effects on other sectors and thus the entire value chain. In special cases, the domino effect can also lead to a so-called cascade effect. This happens especially when the failure in an affected sector has a greater impact than the original failure.

However, there is currently no cross-sectoral or cross-hazard regulation in Germany outside of the area of ​​IT security for critical infrastructures. This is set to change with the KRITIS umbrella law, which supplements the existing regulations in the area of ​​IT security and is an important step, as the majority of critical infrastructure is in private hands.

Affected sectors

In the complex network of critical infrastructures, the energy, information technology and telecommunications sectors are of particular importance. There are mutual dependencies between certain areas of energy supply and the information and communication technologies used there. Due to the increasing penetration and networking of practically all other sectors with services in these areas, failures in these sectors must be given special consideration in protection concepts and risk analyses for critical infrastructures.

The KRITIS umbrella law is intended to name all critical sectors for which special regulations will then apply, with the aim of providing comprehensive protection against the natural and technological hazards mentioned above. The draft law names the areas of energy, transport and traffic, finance and insurance, health, drinking water, wastewater, municipal waste disposal, information technology and telecommunications, food, space, and public administration. 

The KRITIS umbrella law takes all areas of critical infrastructure into account and defines which companies and institutions must take mandatory resilience measures with regard to physical protection for the economy as a whole.

Elements of the KRITIS umbrella act

The KRITIS umbrella law formulates cross-sectoral goals for the first time, namely to prevent disruptions and failures, to limit their consequences and to restore working capacity after an incident. The law stipulates, among other things:

  • Which companies and institutions must take mandatory resilience measures with regard to physical protection for the economy as a whole.
  • A registration requirement for operators of critical infrastructures at national level and operators of critical facilities of particular importance for Europe
  • In the relevant sectors, regular risk analysis and assessment is required by both the government (national risk analyses and risk assessments) and the operator side.
  • Operators must take appropriate and proportionate measures to achieve the objectives and strengthen resilience. This includes the development and implementation of resilience plans and resilience measures based on risk analyses and assessments. The operators need to prove that measures are executed.
  • There will be a central reporting system for significant disruptions, which will be integrated into the existing reporting system in the area of ​​IT security of critical infrastructures.
  • Managers of operators of critical facilities will be required to approve the required measures and monitor their implementation.

KRITIS umbrella act and NIS2

The KRITIS umbrella law will standardize cross-sectoral minimum requirements with regard to non-IT-related measures to strengthen resilience. The KRITIS umbrella law and the implementation of the NIS2 directive take into account the interfaces between the areas of IT security and physical resilience measures. The regulations are to be harmonized or designed to be consistent as far as possible. The legal ordinance will make it clear which obligations apply to operators of critical systems with regard to physical resilience measures (according to the KRITIS umbrella act) and with regard to IT security (BSIG (Act on the Federal Office for Information Security (BSI Act - BSIG)/NIS2).

Scope: Who is affected?

The draft law does not identify individual operators as KRITIS, but forms the basis on which it is determined, on a spatial and situation-related basis, which facilities are critical or which companies, authorities and organizations are among the KRITIS operators (criticality determination). 

Essentially, two criteria must be met: A facility must be essential for overall supply in Germany and provide supply for more than 500,000 people. 

This is to be regulated in detail in Section 4 of the draft law: "A facility is a critical facility if it can be assigned to one of the types of facilities specified by legal ordinance pursuant to Section 16 Paragraph 1 in the sectors of energy, transport and traffic, finance and insurance, health care, drinking water, wastewater, food, information technology and telecommunications, space or municipal waste disposal and if it reaches or exceeds the threshold values ​​specified in this legal ordinance."

The types of installations for these relevant sectors and the sector-specific thresholds will therefore only be determined in a future legal order to be issued by the Federal Ministry of the Interior and Home Affairs after consulting other ministries. The standard threshold of 500,000 inhabitants to be supplied will be used as the basis. 

The Federal Ministry of the Interior and Home Affairs can also determine other operators of critical facilities, taking into account national risk analyses and risk assessments and in accordance with defined criticality criteria. The Federal Office of Civil Protection and Disaster Assistance then informs the operators of these critical facilities that they are subject to the obligations of the law and requests them to register.

The registration requirement

All operators of a critical facility are required to register the facility in accordance with Section 33 BSIG (Act on the Federal Office for Information Security / BSI Act - BSIG) no later than three months after it is deemed to be a critical facility. They are required to provide contact details, details of the facility, the area and a contact point.

National risk analyses and risk assessments 

The responsible federal and state ministries will carry out national risk analyses and risk assessments for the critical services at the start and every four years thereafter, taking into account at least the following:

  • natural and man-made risks that threaten the economy's ability to act.
  • Cross-sector and cross-border risks.
  • hybrid threats, security-endangering or intelligence activities of a foreign power or other hostile threats, including terrorist offences. 

The Federal Ministry of the Interior and Home Affairs is empowered to lay down methodological and substantive requirements for national risk analyses and risk assessments.

Risk analyses and assessments done by the operators 

In the next step, operators are required to carry out their own risk analyses and assessments at least every four years, based on national risk analyses and risk assessments and other sources. These analyses must take into account the risks mentioned above, i.e. they are based on national risk analyses and risk assessments, and the risks that affect the ability of the economy to act and that arise from the following points: 

  • The degree of dependence of the critical installation operator on the critical services provided by other critical installation operators in other sectors, including in neighboring Member States and third countries.
  • The extent of the dependence of other sectors on the critical service provided by an operator of critical installations, including in neighboring Member States and third countries.
  • Risks arising from the danger of disruptions to the availability of non-information technology products, provided that these products are used in critical systems and disruptions to their availability can lead to a failure or a significant impairment of the functionality of critical systems.

Operators' resilience measures and plans 

As expected, the KRITIS umbrella law will not directly describe any detailed measures, but will merely outline the legal framework for them.

The aim was to prevent disruptions and failures, to limit their consequences and to restore operational capability after an incident. As a result, operators of critical facilities are required to respond to the specific risks to their facilities identified in the state and their own risk analyses with tailored measures. These measures can vary greatly depending on the local conditions and the different requirements of the individual sectors. The law is intended to enable operators to work together with industry associations to develop common standards and thus specify what should be considered a suitable and proportionate measure for their sector and industry. The law thus creates minimum standards and closes gaps. Existing regulations in the sectors are to remain in place. 

Specifically, the draft law requires operators of critical facilities to take appropriate and proportionate technical, safety and organizational measures to ensure their resilience, which are necessary to:

  • prevent incidents from occurring
  • ensure adequate physical protection of their properties and critical facilities 
  • respond to incidents, prevent them and limit the negative impact of such incidents
  • ensure the restoration of critical services after incidents
  • to ensure appropriate security management with regard to employees, including the personnel of external service providers
  • to familiarize staff with the above-mentioned measures through information materials, training and exercises.

The measures are proportionate if the effort required to prevent or limit an incident appears appropriate to the risk of an incident and the state of the art is to be observed.

The draft law then describes individual measures in more detail without going into the details. The measures may include:

Preventing incidents

  • emergency preparedness measures
  • measures to adapt to climate change

Protection of properties and facilities

  • Measures of structural and technical security and organizational protection (object protection) such as property demarcations and inhibiting facade elements
  • Instruments and procedures for monitoring the environment
  • use of detection devices and access controls

Incident response

  • Risk and crisis management procedures and protocols and specified procedures in the event of an alarm
  • Measures to maintain operations, including emergency power supply
  • Identifying alternative supply chains to resume essential service provision

Employee safety management

  • the definition of categories of personnel who perform critical functions
  • the definition of access rights to properties, critical facilities and sensitive information 
  • establishing appropriate training requirements and qualifications
  • taking into account procedures for background checks and designating categories of personnel who must undergo background checks

Training courses

  • training courses,
  • the provision of information material
  • exercises

The operator of critical facilities must present the measures in a resilience plan and apply it. The plan must show the considerations underlying the measures and the plan must refer to the operator's risk analysis and risk assessment. The resilience plan must be updated as needed and after the operator has carried out a risk analysis and risk assessment. According to the last draft bill from April 2024, the Federal Office of Civil Protection and Disaster Assistance is to provide templates and examples for the preparation of resilience plans on its website by July 17, 2026 at the latest.

Specification of the measures

The law does not specify which detailed measures and minimum requirements must be met; they will be determined later. The draft bill states that the Federal Ministry of the Interior and Home Affairs is empowered to determine cross-sectoral minimum requirements by means of a legal order. The responsible authorities and the relevant business associations and scientific organizations must be consulted beforehand. The Federal Ministry of the Interior and Home Affairs can also transfer the authorization to the Federal Office for Civil Protection by means of a legal order. 

The operators of critical facilities and their industry associations can propose industry-specific resilience standards to meet the requirements. To the extent that industry-specific standards have been recognized by the Federal Office for Information Security in accordance with Section 30 Paragraph 10 BSIG, these should be the basis for industry-specific resilience standards in accordance with sentence 1 (this is the reference to regulations for IT security (BSIG/NIS2). The Federal Office for Civil Protection and Disaster Assistance determines the suitability of these industry-specific resilience standards. The determination is then made by means of a public announcement on the website of the Federal Office for Civil Protection and Disaster Assistance.

In the event that the European Commission adopts one or more implementing acts pursuant to Directive (EU) 2022/2557 specifying the technical and methodological specifications for the measures, this or these acts shall prevail over the provisions.

Statements from associations

After the draft bill was published, numerous associations made statements and suggestions for improvement, including the BHE and the BDSW . Among other things, the BHE proposes explicitly naming video security systems (VSS), drone detection systems (DSS), perimeter security systems (PSS), burglary and hold-up alarm systems (EMA/ÜMA), access control systems, fire protection technology (including fire alarm technology), voice alarm systems, smoke and heat extraction systems, emergency lighting and extinguishing technology as instruments and procedures for protecting properties and facilities.

In its statement, BDSW recommends that if KRITIS operators use external security service providers, only companies and employees from the security industry may be used. The association suggests that relevant international, European and national norms and standards should be used in particular when determining the state of the art. It also recommends that no additional "reliability check" for employees in the security industry should be introduced through the KRITIS umbrella law.

Evidence and verification

In order to verify compliance with the resilience measures and plans, the competent authority may, via the Federal Office of Civil Protection and Disaster Assistance, request the Federal Office for Information Security to send the necessary components of proof of compliance with the obligations under Section 39(1) of the Act on the Federal Office for Information Security and on the Security of Information Technology by Institutions.

If the information provided is insufficient, the authorities may request the operator of critical installations to provide further information and appropriate evidence to fulfil the obligations. In particular, they may request the submission of the resilience plan.

If there are significant doubts about compliance with the obligations, the competent authority may verify compliance with the obligations. In carrying out the verification, the authorities may use the services of a qualified independent third party.

The operator of critical installations must allow the competent authority and persons acting on its behalf to enter the business and operating premises and to access information, systems and facilities related to the provision of their critical service during normal operating hours for the purpose of inspection and, upon request, to present the relevant records, documents and other materials in an appropriate manner, to provide information and to provide the necessary assistance.

In the event of deficiencies, the competent authority may order the submission of an appropriate plan for remedying the deficiencies and measures to remedy the deficiencies within a reasonable period of time. It may require the submission of appropriate evidence that the deficiencies have been remedied. The authorities may use a qualified independent third party to carry out the inspection.

This does not apply to operators of critical facilities to which the Energy Industry Act applies (Section 5).

In order to design the procedure for providing evidence and audits, the Federal Office for Civil Protection and Disaster Assistance can specify requirements for the manner in which the audits are carried out, the suitability of the evidence to be provided, and technical and organizational requirements for the auditors and the auditing body. This should be done after consulting the relevant business associations in agreement with the Federal Office for Information Security, and the specification should be made by means of a public notice on the website of the Federal Office for Civil Protection and Disaster Assistance.

Incident reporting system

Operators of critical facilities are obliged to report incidents that significantly disrupt or could significantly disrupt the provision of critical services to the reporting office pursuant to Section 32 (1) BSIG no later than 24 hours after becoming aware of them.

The reports must contain the available information necessary to understand and determine the nature, cause and possible effects and consequences of the incident, including cross-border effects. In particular, the following information must be provided: the number and proportion of people affected by the incident, the duration of the incident to date and foreseeable duration, and the geographical area affected by the incident, taking into account whether the area is geographically isolated.

Future Duties for Managing Directors

The draft KRITIS umbrella law stipulates that the managers of operators of critical facilities have a number of obligations. They are obliged to monitor the implementation of the measures required under this law and they must regularly attend training courses in order to acquire sufficient knowledge and skills to identify and assess risks and risk management practices and their impact on the services provided by the operator of the critical facility. Proof of this must be presented to the responsible authority upon request.

What is the current state of affairs?

A few weeks ago, a new draft of the KRITIS umbrella act was published, which has been incorporated into this article. To my knowledge, this is the latest version. The KRITIS umbrella law was actually supposed to come into force in October 2024, with many obligations and binding measures not until 2026. That is no longer realistic. However, the draft law is at least on the Federal Cabinet's agenda for the meeting on November 6. Regular updates on the status of things can be found  on the OpenKRITIS website.

 

-------------------------------------------------- -------------------------------------------------- ------------------

Sources and further information (German language):

OpenKRITIS website

https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html

Protector Interviews on the KRITIS umbrella law

https://www.protector.de/cyberpolitik-nis-2-vom-risk-zur-sicherheit?utm_source=Newsletter&utm_medium=email&utm_content=Interview+zum+Thema+NIS-2&utm_campaign=NL_PRO_2024-10-02

https://www.protector.de/kritis-sicherheit-ohne-branche-geht-nichts

Article on NIS2 and KRITIS umbrella law on GIT-SICHERHEIT.de

https://git-sicherheit.de/de/topstories/nis2-und-kritis-dachgesetz-neu-denken-erforderlich

BMI website with two draft bills and statements from associations

https://www.bmi.bund.de/SharedDocs/legislation procedure/DE/KRITIS-DachG.html

New draft bill April 2024 (intrapol, August 2024)

Council Directive 2008/114/EC

https:// Kriszenzentrum.be/sites/default/files/documents/files/CELEX_32008L0114_DE_TXT.pdf

Belgian law on the security and protection of critical infrastructures

https://kritikenzentrum.be/sites/default/files/documents/files/1%20juli%202011%20-%20wet%20kritieke%20infrastructuren%20DE%20.pdf                               

BMI Recommendations for Companies on the Protection of Critical Infrastructures – Basic Protection Concept of 2005

https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritike-immobilien-basisschutzkonzept.pdf;jsessionid=A2FE47081F393A29271181DA538CF46D.1_cid295?__blob=publicationFile&v=4

Overview of sectors and criticality criteria (State of Hesse):

https://hessen.de/sites/hessen.hessen.de/files/2021-11/kritis-uebersicht_ sectors-branchen-kdl-processes_he.pdf

-------------------------------------------------- -------------------------------------------------- ---------------

Important NOTE:

This article makes no claim to completeness or correctness, does not constitute legal advice and cannot and should not replace qualified legal advice for individual cases. It  is subject to careful preparation and review. Nevertheless, errors cannot be completely ruled out. The author therefore assumes no liability for the completeness and correctness of the article. 

It is prohibited to reproduce or distribute the article or individual parts thereof without the prior consent of the author. However, you are very welcome to contact me if you would like to use the article or parts of the article for your own purposes or your own publication. 

October 2024

© Urheberrecht. Alle Rechte vorbehalten.

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.

Datenschutzeinstellungen

Website-Übersetzer

Datenschutzeinstellungen

Mit diesen Einstellungen aktivieren oder deaktivieren Sie die Datenerfassung von Funktionalitäten die auf dieser Website eingesetzt werden.

Alle Dienste auswählen
Website-Übersetzer
Mehr
Einstellungen speichern