Das KRITIS-Dachgesetz soll den rechtlichen Rahmen für den physischen Schutz kritischer Infrastrukturen in Deutschland stärken. Dazu zählen Unternehmen aus den Bereichen Energie, Wasser, Ernährung, Abfallentsorgung, Informations- und Kommunikationstechnik, Gesundheit sowie Finanzen und Verkehr. Durch die weite Fassung der betroffenen Sektoren fallen in Deutschland faktisch alle großen Energieversorger, Stadtwerke, Gesellschaften im Strom-, sowie Gas-Transport- und Verteilnetz aber auch wesentliche Energiedienstleister und Speicherbetreiber unter das Kritis-DachG sowie die noch folgenden Umsetzungsakte. Ziel ist sowohl die Abwehr von Naturgefahren als auch der Schutz vor menschlichen Gefährdungen wie etwa Sabotage oder terroristischen Anschlägen. Die „Betreiber kritischer Anlagen“ müssen auf Basis von Risikoanalysen sogenannte Resilienzpläne erarbeiten und „geeignete und verhältnismäßige“ Maßnahmen umsetzen.
Die Kernelemente des zu initiierenden betrieblichen Resilienzmanagements sind:
• Einrichtung eines betrieblichen Risikound Krisenmanagements
• Durchführung von Risikoanalysen und -bewertungen
• Erstellung von Resilienzplänen
• Umsetzung geeigneter Maßnahmen
(technisch, personell, organisatorisch).
Das neue Gesetz verpflichtet Betreiber Kritischer Anlagen, Resilienzpläne im Rahmen der betrieblichen Gesamtresilienzstrategie zu erstellen. Diese sind in einem zwischen BBK und BSI (Bundesamt für Bevölkerungsschutz) und BSI (Bundesamt für Sicherheit in der Informationstechnik) abgestimmten Zeitraum ab der Registrierung erstmalig zu erstellen und im Anschluss daran gegenüber dem BBK zweijährlich nachzuweisen. Diese Verpflichtung greift mit Ablauf der derzeit bekannten Umsetzungsfristen spätestens ab 17.07.2026.

Um den Vollzug des Gesetzes zu erleichtern, müssen sich die Betreiber innerhalb von 3 Monaten registrieren und eine Kontaktstelle einrichten. Die interne Etablierung, Dokumentation und kontinuierliche Verbesserung und Anpassung von Resilienzmaßnahmen ist der wesentliche Kerninhalt des neuen Gesetzes. Hier liegt der Fokus insbesondere auf der Implementierung physischer Schutzmaßnahmen (z. B. um den Schutz gegen Störung von Infrastruktur und Betriebsabläufen zu maximieren). Die Resilienzmaßnahmen werden mit den bereits initiierten Maßnahmen zur digitalen Gefahrenabwehr eng verzahnt.

Alle Resilienzmaßnahmen müssen in sogenannten Business Continuity Management Systemen (BCMS) organisiert und verankert werden. Diese Maßnahmen sollten an bereits vorhandene BCM-Systeme, Dokumentationen und Prozesse angelehnt werden und sollen auf Basis entsprechender ISO Standards, z. B. ISO 22301 oder ISO 22361 zertifiziert werden. Eine Synchronisation mit anderen Managementsystemen (z. B. ISMS gemäß ISO 27001, den BSI-Standards oder allgemeinen Governance-, Compliance- und Riskmanagementsystemen) ist angeraten, um der Geschäftsführung ein umfangreiches Kontroll- und Aktionsinstrumentarium an die Hand zu geben. Das Resilienz-Management fungiert als übergeordnetes Compliancerahmenwerk. Es orchestriert alle an der betrieblichen Gesamtresilienzstrategie beteiligten Organisationseinheiten und Managementsysteme. Wesentliche andere Handlungsfelder umfassen Prozesses für die Risikoanalyse, verschärfte Meldepflichten, umfangreiche Dokumentations- und Nachweispflichten der eingeführten Resilienzmaßnahmen und regelmäßige Auditverpflichtungen.

Durch das Kritis-DachG wird insbesondere die Geschäftsführung in die Verpflichtung genommen die Maßnahmen entsprechend und umfänglich nach §13 (1) umzusetzen und die Implementierung durch geeignete Organisationsmaßnahmen nach §20(1) sicherzustellen. Bei Missachtung droht ein Bußgeld von bis zu einer Million Euro. Darüber hinaus sind die Geschäftsführer verpflichtet, die Umsetzung der Maßnahmen zu überwachen – und haften bei einem Verstoß gegen diese Pflicht mit ihrem Privatvermögen. Auch Aufsichtsräte sollten die Umsetzung des Gesetzes in ihren Überwachungsauftrag integrieren.

Aus der Umsetzung des KRITIS-DachG ergeben sich erhebliche Belastungen für die deutsche Wirtschaft. Der Gesetzgeber geht von 1.300 Betreibern kritischer Anlagen aus, die Nachholbedarf in physischer Resilienz haben. Im aktuellen Gesetzesentwurf von November 2024 wird ein einmaliger “Belastungsrichtwert” von 1,7 Mrd. EUR und eine jährliche Belastung von 500 Mio. EUR für die Wirtschaft geschätzt, ohne weitere Details anzugeben.

Für die Energiewirtschaft ist positiv, dass der Regierungsentwurf das Nachweisverfahren der bestehenden Sicherheitskataloge der BNetzA für die KRITIS-DachG Verpflichtungen anerkennen wird. Dafür hatte sich auch der BDEW eingesetzt. Das Fortschreiben des bewährten Verfahrens wird zu einer optimierten Verzahnung von KRITIS-DachG und NIS-2-Umsetzungsgesetz beitragen.

Auch wenn das Kritis-DachG ein wichtiger Bestandteil zur Stärkung der Resilienz in den kritischen Infrastrukturen darstellt, fehlt noch einiges, um Deutschland nachhaltig gegen Umweltkatastrophen und mutwillige Beschädigungen an kritischen Infrastrukturen zu schützen. Allgemein verfügbare Daten, z. B. die detaillierten Informationen über Erneuerbare Anlagen im Marktstammdatenregister der Bundesnetzagentur oder allgemeine Daten über Energienetze bieten sogar eine zusätzliche Missbrauchsbasis, um das Energiesystem in Deutschland empfindlich zu stören. Hier muss dringend in enger Abstimmung zwischen allen Beteiligten nachjustiert werden.
Nun muss das weitere Gesetzgebungsverfahren zügig vonstatten gehen, damit das KRITIS-DachG noch vor dem Ende der Legislatur in Kraft treten kann. Letzteres ist durch die aktuelle Regierungslage allerdings mehr als in Frage gestellt.

www.axxcon.com