Faeser schlägt strengere Vorgaben für kritische Infrastruktur vor

Sind Flughäfen und Wasserwerke gut geschützt? Wo herrscht eine zu
große Abhängigkeit von fragwürdigen Lieferanten, auf die in
Krisenzeiten kein Verlass ist? Ein Vorhaben, das jetzt in der
Bundesregierung besprochen wird, soll helfen, Risiken zu minimieren.

Berlin (dpa) - Um die Versorgung der Bevölkerung mit Strom,
Trinkwasser und anderen essenziellen Gütern jederzeit
sicherzustellen, sollen künftig strengere gesetzliche
Schutzvorschriften für Einrichtungen der sogenannten kritischen
Infrastruktur gelten. Das betrifft sowohl staatliche Einrichtungen
als auch private Unternehmen einer gewissen Größenordnung, etwa
Energieversorger oder Flughafenbetreiber.

Der am Montag vom Bundesinnenministerium an die anderen Ressorts der
Regierung verschickte Entwurf für das sogenannte KRITIS-Dachgesetz
sieht außerdem Bußgelder für Betreiber kritischer Infrastruktur vor,

die ihren Verpflichtungen zur Absicherung von Anlagen und
Geschäftsbetrieb nicht rechtzeitig nachkommen. Dabei wird ein sehr
breiter Sicherheitsbegriff zugrunde gelegt, der von Alarmketten über
den Schutz von Anlagen gegen Starkregen oder Waldbrände bis hin zur
Anschaffung von Notstromaggregaten reicht.

Zur kritischen Infrastruktur im Sinne des Gesetzes zählen elf
Sektoren: Energie, Transport und Verkehr, Finanz- und
Versicherungswesen, öffentliche Verwaltung, Gesundheit, Ernährung,
Trinkwasser, Abwasser, Siedlungsabfallentsorgung,
Informationstechnik, Telekommunikation und Weltraum. Die
Anforderungen aus dem geplanten neuen Gesetz müssen, wenn das
KRITIS-Dachgesetz verabschiedet ist, alle großen Betreiber kritischer
Infrastruktur erfüllen. Konkret sind das Einrichtungen, die für die
Versorgung von mindestens 500 000 Menschen gebraucht werden, etwa
große Krankenhäuser oder Betreiber von Mobilfunknetzen.

Eine zentrale Rolle bei der Registrierung und Beratung ist für das
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn
vorgesehen. Hier soll auch ein Lagebild erstellt werden. Damit würde
dann beispielsweise auffallen, wenn es in einem bestimmten Sektor
oder in mehreren Regionen Ausfälle oder Sabotageakte geben sollte.

Das neue Gesetz ergänzt bereits vorhandene Vorschriften wie
beispielsweise die Trinkwasserverordnung oder gewisse DIN-Normen. Es
gilt für einen etwas größeren Kreis von Unternehmen als das
IT-Sicherheitsgesetz, das Unternehmen der kritischen Infrastruktur
bereits verpflichtet, Angriffe auf ihre IT-Systeme beim Bundesamt für
Sicherheit in der Informationstechnik (BSI) zu melden.

Der Gesetzentwurf enthält zu konkreten Sicherheitsfragen,
beispielsweise der Verhinderung des Zutritts von Unbekannten zu
KRITIS-Anlagen wie Flughäfen oder Wasserwerken nur allgemeine, aber
keine genauen Vorgaben. Die Betreiber können also beispielsweise
selbst entscheiden, wie hoch sie ihre Zäune und Mauern ziehen, oder
ob sie eher auf Videokameras und Wachschutz setzen.

Bundesinnenministerin Nancy Faeser (SPD) hatte nach den
Flughafen-Blockaden durch Aktivisten der Gruppe Letzte Generation in
der vergangenen Woche gesagt, es werde demnächst Standards für die
Betreiber kritischer Infrastruktur geben. «Dazu gehören auch die
Flughäfen, und das wird auch zu einer besonderen Sicherheit der
Flughäfen weiterhin führen.»

Teil der im Entwurf für das Gesetz vorgesehenen Vorgaben sind auch
Maßnahmen zur Anpassung an den Klimawandel. Um Vorfälle abzuwehren
und die Folgen solcher Vorfälle zu begrenzen, sind die
KRITIS-Unternehmen zudem aufgefordert, feste Abläufe für den
Alarmfall zu etablieren.

Das Gesetz, mit dem gleichzeitig eine EU-Richtlinie zum Schutz
kritischer Infrastruktur umgesetzt würde, soll noch in diesem Jahr im
Kabinett beschlossen werden. Bis dahin müssen allerdings noch einige
Lücken im Entwurf geschlossen werden. Beispielsweise ist darin der
Erfüllungsaufwand für die Wirtschaft, also eine qualifizierte
Schätzung, welche zusätzlichen Kosten dadurch auf die betroffenen
Unternehmen zukommen, noch nicht beziffert. Auch die Höhe der
Bußgelder ist noch offen.

Noch nicht ausbuchstabiert sind auch die Vorgaben zum «Einsatz
kritischer Komponenten». Dabei geht es um Bauteile und Produkte, bei
denen Störungen oder mangelnde Verfügbarkeit zu erheblichen
Beeinträchtigungen der Funktionsfähigkeit der kritischen
Infrastruktur oder gar zu Gefährdungen für die öffentliche Sicherheit

führen können. Die EU-Kommission hatte 2020 empfohlen, aus ihrer
Sicht risikobehaftete Anbieter wie das chinesische Unternehmen Huawei
aus Kernbereichen der Telekommunikationsnetze herauszuhalten. Wie aus
einem im März bekannt gewordenen Schreiben des
Bundesinnenministeriums an die Netzbetreiber hervorgeht, hält das
Ministerium eine Beeinträchtigung der öffentlichen Ordnung und der
Sicherheit in Deutschland durch Komponenten von Huawei und ZTE für
möglich. Daher sollen alle kritischen - also sicherheitsrelevanten -
Teile, die schon im Mobilfunknetz verbaut sind, einer Prüfung
unterzogen werden. Bisher bezog sich diese Prüfpflicht nur auf
kritische Teile, die neu eingebaut werden.

Um die EU-Vorgaben (CER-Richtlinie) zu erfüllen, müsste das
KRITIS-Dachgesetz spätestens im Oktober 2024 in Kraft treten. Die im
Entwurf genannten Maßnahmen, die Einrichtungen der kritischen
Infrastruktur widerstandsfähiger machen sollen, sollten demnach bis
zum 1. Januar 2026 umgesetzt sein. Die Bußgeldvorschriften würden
gemäß dem Entwurf dann ein Jahr später in Kraft treten.

Der stellvertretende Vorsitzende der Grünen-Bundestagsfraktion,
Konstantin von Notz, kritisierte, dass der Entwurf für das Gesetz
jetzt schon kursiere, den Fraktionen aber noch nicht vorliege. Er
erklärte: «Für uns ist es unter anderem zwingend, das bestehende
Zuständigkeitswirrwarr beim Schutz unserer kritischen Infrastrukturen
endlich aufzulösen, klare Verantwortlichkeiten zu schaffen und zu
vermeiden, dass es durch noch mehr Akteure noch mehr Unklarheit
gibt.» Außerdem brauche es zwingend eine Abstimmung mit den parallel
vorgelegten EU-Richtlinien.