Wer wird jetzt Kritis – und wer nicht?

Auf dem Gebiet der Kritischen Infrastrukturen gibt es derzeit viel Bewegung, freundlich ausgedrückt. Man könnte auch den Eindruck gewinnen, es herrsche hektisches Treiben und die Akteure beginnen selbst, langsam den Überblick zu verlieren. Die EU hat ein neues Gesetz verabschiedet, das in Deutschland noch nicht gilt. Die Bundesregierung hat sich auf die Eckpunkte eines „Kritis-Dachgesetzes“ verständigt, dessen Entwurf noch nicht vorliegt und das BSI (Bundesamt für Sicherheit in der Informationssicherheit) könnte beim IT-Sicherheitsgesetz 2.0, das auch als Kritis-Gesetz bezeichnet wird, seine Schlüsselstellung verlieren, weil die Regierung im Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) offensichtlich die geeignetere Behörde für das geplante, neue Gesetz sieht. Einig scheint man sich lediglich in der Überzeugung zu sein, dass Unternehmen, die den Kritischen Infrastrukturen zugerechnet werden, besser geschützt werden müssen, diese vor allem aber auch zu mehr Selbstschutz verpflichtet werden müssen. Doch für welche Unternehmen gilt das? Wer fällt zukünftig unter die neuen gesetzlichen Regelungen?

Aktuell gibt es noch viele offene Fragen, und wenige Antworten. Entsprechend groß ist die Unsicherheit in der Wirtschaft und für möglicherweise betroffene Unternehmen ist es momentan noch sehr schwer, sich entsprechend vorzubereiten. Denn sicher scheint bisher nur eines: die Kriterien werden ausgeweitet und wer bislang glaubte, nicht zur Kritischen Infrastruktur zu gehören, könnte bald eines Besseren belehrt werden. Doch der Reihe nach.

2022 brachten die deutsche Bundesregierung und die EU neue Gesetze auf den Weg, die vermutlich bereits 2023 in geltendes Recht überführt werden. 2024 gilt als spätester Termin. Darin ist auch eine Kategorie „Kritis- light“ vorgesehen. Hier werden Unternehmen erfasst, die zwar nicht als absolut unverzichtbar für die reibungslose Organisation der Zivilgesellschaft gelten, aber doch als wichtig genug, um genauer reglementiert zu werden. Unter Kritis-light sind Unternehmen mit großer Bedeutung in Bezug auf die IT-Sicherheit in Deutschland zu verstehen. Diese müssen sich beim BSI registrieren, denn sie unterliegen dem IT-Sicherheitsgesetz 2.0 vom Mai 2021. Auch für dieses Gesetz fehlen noch wichtige Details.

Zudem kommen zahlreiche neue Verpflichtungen auf Kritis-Gewerke zu, die beträchtliche Personal-, Kapital- und Planungs-Ressourcen binden dürften. Die Initiative kommt nicht gänzlich überraschend. Eine Welle von Cyber-Angriffen, vor allem mit Ransomware (Verschlüsselungstrojaner) hat Europa seit mehreren Jahren in Atem. betroffen sind neben Behörden, Krankenhäusern und der Großindustrie auch Mittelständler, die sich oft keine eigene schlagfähige IT-Sicherheitsabteilung leisten konnten oder wollten. Der Gesetzgeber will nun Mindeststandards festlegen. Dazu kommen wachsende Bedrohungen durch politische Extremisten, die als Innentäter die Stabilität der Unternehmen bedrohen, und generell eine verschärfte Sicherheitslage durch den Krieg in der Ukraine sowie die belasteten Lieferketten.     

Die neuen Ansprüche sind hoch. Der Gesetzgeber will die Unternehmen gegen alle relevanten natürlichen und vom Menschen verursachten Risiken (All-Gefahren-Ansatz) sowie sektorübergreifende und grenzüberschreitende Risiken geschützt wissen. Dazu müssen sich diese auf eigene Kosten entsprechend vorbereiten.

Zu den Risiken zählen neben Terror und Naturkatastrophen auch Personalmangel und Ausbildungsmängel. 2022 schnitt der Krieg in der Ukraine Deutschland schlagartig von der fest eingeplanten Personengruppe der ukrainischen und russischen LKW Fahrer ab. Mit spürbaren Folgen für die Kunden im Supermarkt, die vor leeren Regalen standen. Die Corona Pandemie führte zudem zu Unterbrechungen der weltweiten Lieferketten. Denn selbst ganz große Staaten wie die USA produzieren fast nichts mehr allein mit den Ressourcen im eigenen Land. Die Notwendigkeit von einer Grundreserve an wichtigen Medikamenten und Rohstoffen wurde offensichtlich, führte aber noch nicht zu konkreten Planungen der EU und ist auch nicht Gegenstand der neuen KRITIS Regeln. Dafür wer-den private Unternehmen und lokale Versorger verstärkt in die Pflicht genommen. Sie sollen für unverzichtbare Rohstoffe eine zweite Quelle bereithalten, ebenso für wichtige Komponenten, die sie in ihren Produkten verbauen.

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie), die Ende 2022 vom EU-Parlament verabschiedet wurde, ist rechtlich noch nicht bindend. Sie muss zunächst in nationales Recht überführt werden. In Deutschland wird dies vermutlich durch das Kritis-Dach Gesetz geschehen, dessen Eckpunkte Ende Dezember 2022 veröffentlicht wurden. Als Überwachungsbehörde dürfte das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) benannt werden. Das BBK würde dann für Deutschland die Rolle der Competent Authority für Resilienz (CER) übernehmen.

Für die Umsetzung des bereits existierenden IT-Sicherheitsgesetzes ist hingegen das BSI zuständig. Seit 2021 fallen Unternehmen im besonderen öffentlichen Interesse, die so genannten UBI, unter das IT-Sicherheitsgesetz 2.0. Es handelt sich um Unternehmen, die selbst nicht den Kritis-Gesetzen unterworfen sind, die aber eine „große Bedeutung in Bezug auf die IT-Sicherheit in Deutschland" besitzen. Auch Firmen, die lediglich Gefahrstoffe lagern, könnten unter das UBI-Gesetz fallen. Sie unterliegen damit umfangreichen Dokumentations- und Meldepflichten.

Alle Maßnahmen haben das Ziel, die Ausfallsicherheit maximal zu erhöhen. Diese UBI-Regeln sind allerdings aktuell weniger streng, als die Regeln für echte Kritis-Betreiber. Da sowohl das Deutsche Eckpunktepapier als auch die CER-Richtlinie eine neue Abgrenzung Kritischer Infrastrukturen im Sinne einer präzisen Identifizierung fordern, beziehungsweise zusagen, bleibt hier bis Ende 2023 oder 2024 vieles im Ungewissen. Die Neubestimmung ist notwendig, weil sich die politische Bewertung der Sektoren geändert hat, und bestimmte neue hinzugekommen sind. So besaß Deutschland bei der Verabschiedung der alten Kritis-Regeln noch kein einziges LNG Terminal für Flüssiggas. Inzwischen sind drei davon in Betrieb oder stehen unmittelbar davor. Auch sie fallen unter die Kritis-Regeln.

Das bedeutet, dass die Kritis-Regeln zukünftig wesentlich weiter als bisher gefasst werden. Gegenstand des geplanten Kritis-Dachgesetzes sind mindestens elf Sektoren, und zwar Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur öffentliche Verwaltung, Weltraum, Produktion, Verarbeitung und Vertrieb von Lebensmitteln.

Für Cyberangriffe und die UBI ist das BSI die zuständige Behörde, die CER-Regeln des Kritis-Dach Gesetzes sollen dagegen künftig vom BBK überwacht werden. Interessenverbände haben bereits auf eine drohende Belastung durch doppelte Meldeverfahren hin-gewiesen. Die EU schreibt nicht nur vor, alle vier Jahre der CER-Regeln neu anzupassen, auch die Unternehmen haben die Verpflichtung, sich regelmäßig auf ihre Kritis-Tauglichkeit zu überprüfen.

Wer künftig zum Kritis-Kreis gehört, für den wird es teuer, das weiß auch die EU. „In manchen Fällen können für die Einhaltung der Richtlinie jedoch umfangreichere Investitionen erforderlich sein”, so das Begleitdokument zum Gesetz. Das sei aber gerechtfertigt, denn „hinterher seien die Firmen sicherer.“ Nicht nur die Prozesse, auch die Mitarbeiter sind einer Zuverlässigkeitsüberprüfungen zu unterziehen, zumindest bei bestimmten Mitarbeiterkategorien.  Dies könnte mit dem Persönlichkeitsrecht der Mitarbeiter und dem Datenschutz im Widerspruch stehen. Der Gesetzgeber wird einen Kompromiss finden müssen – wenn er die Entscheidung nicht auf die Unternehmen abwälzt.

Wer in Deutschland Kritis ist oder in Zukunft sein wird, den soll die Bundesregierung der EU melden. Die neuen EU-Regeln verpflichten Deutschland, die Daten von marktbeherrschenden Unternehmen der EU Kommission zu übermitteln. „Erbringen kritische Einrichtungen Dienste für bzw. in mehr als einem Drittel der Mitgliedstaaten, teilt der betreffende Mitgliedstaat der Kommission die Identität dieser kritischen Einrichtungen mit“, so die CER-Regeln. Die Kommission kann zudem so genannte „Durchführungsrechtsakte“ erlassen, in denen die Modalitäten für das Funktionieren der Gruppe für die Resilienz kritischer Einrichtungen festgelegt werden. Wie Deutschland diese Vorgaben in der Praxis umsetzen wird, bleibt abzuwarten.

Wegen dieser gegenseitigen Abhängigkeiten kann jede Störung, auch wenn sie anfänglich auf eine Einrichtung oder einen Sektor beschränkt ist, zu breiteren Kaskadeneffekten führen, die weitreichende und lang anhaltende negative Auswirkungen auf die Erbringung von Diensten haben können. Die Covid-19-Pandemie hat gezeigt, wie anfällig unsere zunehmend interdependenten Gesellschaften für Risiken mit geringer Eintrittswahrscheinlichkeit sind. Auch Klimawandel und Wetterphänomene gelten dem EU Parlament als Beleg, dass es dringend einer strengen, möglichst einheitlichen europaweiten Regelung bedarf.  Die Tatsache, dass in einigen Mitgliedstaaten weniger strenge Sicherheitsanforderungen für diese Einrichtungen gelten, kann nicht nur die Aufrechterhaltung essenzieller gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten in der gesamten Union beeinträchtigen, sondern behindert auch das reibungslose Funktionieren des Binnenmarkts.

Betroffen sind alle „wesentlichen Dienste”, wobei nicht näher definiert wird, was diese eigentlich genau sind. “Um die Erbringung wesentlichen Dienste zu gewährleisten und die Resilienz der kritischen Einrichtungen zu verbessern, müssen daher harmonisierte Mindestvorschriften festgelegt werden”, so die EU.  „Um dieses Ziel zu erreichen, sollten die Mitgliedstaaten kritische Einrichtungen ermitteln.”  Doch werden die Staaten zum selben Ergebnis kommen, und wie weit sind diese „wesentlichen Dienste” zu fassen? “Die Maßnahmen der Mitgliedstaaten zur Ermittlung der kritischen Einrichtungen und zur Gewährleistung ihrer Resilienz sollten einem risikobasierten Ansatz folgen, bei dem diejenigen Einrichtungen im Fokus stehen, die für die Erfüllung essenzieller gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten am wichtigsten sind”, so die CER-Regeln. Angesichts der erheblichen Kosten wird dies auch eine Entscheidung über die Wettbewerbsfähigkeit ganzer Branchen sein. Anbieter könnten in Staaten fliehen, wo die Anforderungen weniger streng sind. Ähnlich wie in der Schifffahrt. Hier können sich Reeder die passenden “Flaggenstaaten”, unter denen ihre Schiffe laufen sollen, aussuchen. Die Mitgliedstaaten haben drei Jahre und drei Monate nach Inkrafttreten der Richtlinie Zeit, die zur Kritis zählenden Einrichtungen zu identifizieren. Die Uhr tickt also bereits seit dem 22. November 2022. Bei der Feststellung kommt nun nicht mehr nur auf die Zahl der Nutzer an, die von den Diensten einer  Einrichtung abhängig sind, sondern auch von der Abhängigkeit anderer Sektoren von diesem Dienst. Dies zu ermitteln dürfte schwierig sein.

Wer in Zukunft unter Kritis oder Kritis-light fällt, wird sich vermutlich in den nächsten zwölf Monaten entscheiden. Dann werden die Betroffenen auch erfahren, an welche Behörde sie ihre Meldungen über Störfälle zu senden haben. Vor allem im Bereich der UBI dürften die noch zu bestimmenden Schwellenwerte von Interesse sein. Unter UBI sind neben Waffen, Munition und Gefahrstoffen auch Zulieferer im Gesetz erwähnt. Ebenso „Herstellunngsausrüstung“, „Bildungsausrüstung“ sowie  „Landfahrzeuge und Bestandteile” sowie „Triebwerke” und „Ausrüstung für Luftfahrzeuge”. Da es zwischen dem militärischen und dem zivilen Sektor zahlreiche Überschneidungen gibt, warten sicher viele Händler und Werkstätten auf eine Klarstellung.

Das Kritis-Dach Gesetz soll die CER - Richtlinie der EU für Deutschland umsetzen. Sie verfolgt einen umfassenden Ansatz der alle Gefahren umschließt. Von Terror über Naturkatastrophen bis zur Covid-19-Pandemie, den Auswirkungen des Ukraine-Kriegs und Sabotageakte von Deutscher Bahn bis Gaspipelines Nord Stream. (All-Gefahren-Ansatz). Gegenstand des geplanten Kritis-Dachgesetzes sind mindestens elf Sektoren, und zwar Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur öffentliche Verwaltung, Weltraum, Produktion, Verarbeitung und Vertrieb von Lebensmitteln. Die des geplanten Gesetzes sind insbesondere:

Das Gesetz definiert einen dynamischen Prozess, versteht sich also nicht als Sammlung statischer Regeln. Zudem will es bei den Betroffenen Problembewusstsein schaffen und sie zum Ergreifen eigener, konkreter Maßnahmen verpflichten. Geplante Verpflichtungen für die Betroffenen sind:

Die EU RCE Directive, beziehungsweise CER-Richtlinie (EU 2022/2557) reguliert die Resilienz von Kritischen Infrastrukturen in der EU durch Maßnahmen bei Unternehmen neu. Sie löst die ECI European Critical Infrastructures Direktive von 2008 ab und lag seit  Ende 2020 als Entwurf vor. 20222 wurde sie vom EU Parlament verabschiedet.  Sie wurde  als finale Version am 27. Dezember 2022 veröffentlicht.

Bernd Schöne, freier Mitarbeiter PROTECTOR; und Andreas Albrecht