10 minute read
Schutz von KRITIS als Grundpfeiler nationaler Sicherheit
10 Handlungsempfehlungen der deutschen Industrie zum KRITIS-Dachgesetz
KRITIS-Dachgesetz als übergreifenden Schutzschirm konzipieren
Die in den letzten Jahren verschärfte Bedrohungslage durch überlappende Krisen, ob Corona-Pandemie, Katastrophen wie die Überschwemmungen im Ahrtal oder der russische Angriffskrieg gegen die Ukraine haben die Bedeutung von „Sicherheit“ in den öffentlichen Fokus gerückt. Resiliente, störungsfrei funktionierende Kritische Infrastrukturen (KRITIS) – von der Öffentlichen Verwaltung, über die Energie-, Wasser- und Lebensmittelversorgung, das Gesundheitswesen, die Informationstechnologie und Telekommunikation, die Entsorgung bis hin zu Transport und Verkehr und weltraumbasierten Anwendungen – sind von elementarer Bedeutung für das Funktionieren unseres Gemeinwesens. Der Schutz von KRITIS ist folglich Schlüssel für die Gewährleistung unserer nationalen Sicherheit.
Der BDI begrüßt daher das Vorhaben der Bundesregierung, den Schutz der Bevölkerung und deren Versorgung im Krisenfall durch ein KRITIS-Dachgesetz zu verbessern. Dies kann jedoch nur dann praxistauglich gelingen, wenn die Wirtschaft bei dessen Ausgestaltung, gerade mit Blick auf geplante Mindestschutzstandards, eng eingebunden wird. Es gilt, die seit längerer Zeit bestehenden Defizite insbesondere in Hinblick auf das vielzitierte „Zuständigkeits-Wirrwarr“ umfassend, in einem ganzheitlichen, integrierten Ansatz auszuräumen. Ein Ansatz, der alle Akteure auf allen unterschiedlichen Ebenen aus Staat, Wirtschaft, Zivilgesellschaft, auf Bundes-, Landes- Kommunal und Kreisebene, einbindet. Ein Ansatz, der den unterschiedlichen Dimensionen von Sicherheitsrisiken – physisch, digital und hybrid – Rechnung trägt und somit Deutschland vorausschauend krisensicher – resilient – aufstellt. Die deutsche Industrie, die Betreiber Kritischer Infrastrukturen, werden zum Schutz der von ihnen bereitgestellten Güter bestmöglich ihren Beitrag leisten; sie sind dabei jedoch auf einen klaren regulatorischen Rahmen und effiziente Verwaltungsstrukturen angewiesen.
Ziel eines KRITIS-Dachgesetzes sollte sein, in einem engen Schulterschluss von Staat, Gesellschaft und Wirtschaft einen umfassenden und einheitlichen Schutzschirm über die für die Versorgung der Bevölkerung Kritischen Infrastrukturen zu spannen. Dieser muss derart ausgestaltet sein, dass sicherheitsrelevante Vorfälle, ob Sabotage, Spionage, Terrorismus, Unfälle oder Naturkatastrophen, maximal zu einer kurzfristigen Störung, aber nicht zu einem kompletten, langanhaltenden Ausfall führen.
Das Dachgesetz sollte primär darauf abzielen, unklare Zuständigkeiten zu ordnen, die Behörden auf Bundes- und Landesebene eng miteinander zu vernetzen, ein systematisches, einheitliches Meldewesen und Störungsmonitoring zu schaffen, Schutzpflichten konvergent zu gestalten, die Zusammenarbeit zwischen den Akteuren von Staat, Wirtschaft und Gesellschaft in der Prävention und im Ernstfall zu verbessern Hierfür muss es übergreifende Verfahren des Notfall- und Krisenmanagements etablieren.
Handlungsempfehlungen der deutschen Industrie, um Deutschland resilient gegenüber Krisen und Katastrophen aufzustellen
1. Dachgesetz eng an der Bedrohungslage ausrichten: Sabotageakte, wie der Angriff auf die Nordstream Pipeline und die Sabotagehandlungen an der Bahn-Infrastruktur, haben die enge Verknüpfung von physischen und digitalen Bedrohungen verdeutlicht. Angesichts der gerade im Kontext des völkerrechtswidrigen russischen Angriffskrieges gegen die Ukraine zunehmenden Gefahr derartiger hybrider Bedrohungen, bedarf es einer engen Verschränkung der Maßnahmen zum Schutz vor analogen und digitalen Gefahren im nationalen und europäischen Rechtsrahmen. Statt ein KRITIS-Dachgesetz zur Umsetzung der Resilience of Critical EntitiesRichtlinie (CER) und davon losgelöst ein NIS 2-Umsetzungs- und Cybersicherheitsstärkungsgesetz zu verfassen, gilt es, die entsprechenden rechtlichen Vorgaben in einem Gesetz, mindestens aber in einem gemeinsamen Gesetzgebungsverfahren, zu bündeln. Nur durch eine Bündelung kann Kohärenz – sowohl hinsichtlich der Anforderungen als auch in der Umsetzung – gewährleistet werden.
Bereits bestehende Regelungen in bestimmten Branchen müssen dabei umfassend berücksichtigt, d.h. entweder von zusätzlichen Pflichten durch die neuen Regelungen ausgenommen oder aber aus den Spezialgesetzen in ein Dachgesetz überführt werden. Die Verhinderung von Doppelregulierung sowie die Einheitlichkeit, Widerspruchsfreiheit und Transparenz der Verpflichtungen für die Wirtschaft muss bei der Gesetzgebung zwingend sichergestellt werden. Eine konvergente, abgestimmte Regelungslage national (ITSiG / Nationale Cybersicherheitsstrategie einerseits, KRITIS DG / Nationale Sicherheitsstrategie andererseits) wie europäisch (NIS / CRA einerseits, CER andererseits) ist erforderlich, um den optimalen Schutz der Infrastruktur zu gewährleisten. Vor dem Hintergrund zahlreicher nationaler und europäischer Regulierungsinstrumente, die sich teilweise überlappen oder widersprechen, braucht es nicht nur auf Bundesebene eine verstärkte Koordinierung beim Schutz Kritischer Infrastrukturen, sondern auch eine bessere Abstimmung zwischen deutscher und europäischer Politik.
2. Identifizierung von KRITIS Sektoren zum Schutz vor Sicherheitsrisiken: Die CER-Richtlinie verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschlägen oder Sabotage zu stärken. Im Sinne der CER-Richtlinie ist es erforderlich, dass der Bund eine einheitliche Definition der zu schützenden Infrastrukturen festlegt, die für alle Behörden und Zuständigkeitsbereiche (Bund, Länder, Kommunen sowie Sektoren) gilt.
Der BDI begrüßt, dass laut Bundesministerium des Inneren und für Heimat (BMI) die aktuelle Bestimmung Kritischer Infrastrukturen mit dem Fokus auf mögliche Beeinträchtigungen der Versorgungssicherheit durch Bedrohungen aus dem Cyberraum nun durch eine „systematische und umfassende Identifizierung aller besonders schützenswerten Kritischen Infrastrukturen“ entsprechend ergänzt. Neben den bereits in der KRITIS-Verordnung verankerten identifizierten Sektoren ist es aus BDI-Sicht essenziell, aufbauend auf die CER-Richtlinie den Sektor Raumfahrt als Kritische Infrastruktur zu klassifizieren Weltrauminfrastrukturen (terrestrisch und orbital) sind für das Funktionieren unseres Industriestandortes, unserer Gesellschaft und unserer Streitkräfte elementar. Gleiches gilt für die Aufnahme der öffentlichen Verwaltung selbst. Darüber hinaus sollten die Sektoren sehr eng ausgestaltet werden.
3. Einheitliche Definition von Kritischen Anlagen über Gesetze hinweg: Bei der Umsetzung der CER-Richtlinie und der NIS 2-Richtlinie sollten die Unternehmen, die als Betreiber „Kritischer Anlagen“ definiert werden, zwingend identisch sein. Dies gilt für alle gesetzlichen
Regelungen und nachfolgenden Rechtsverordnungen, auf Bundes- und Länderebene. Es muss eine gemeinsame dem KRITIS-Dachgesetz und dem NIS 2-Umsetzungsgesetz nachgelagerte Rechtsverordnung geben, die definiert, welche Unternehmen „Kritische Anlagen“ darstellen. Dies würde die Umsetzung durch die betroffenen Unternehmen aufgrund einer erhöhten Normklarheit erheblich erleichtern. Die Schwellenwerte, ab denen ein Unternehmen als Betreiber einer kritischen Anlage definiert wird, sollten auf Basis von anlagenbezogenen Werten erfolgen. Dabei sollten auch die Auswirkungen von Betriebsausfällen mit einbezogen werden. Darüber hinaus gilt es zu differenzieren, ob das ganze Unternehmen unter KRITIS fällt oder ob hier nur einzelne Unternehmensteile zu berücksichtigen sind. Insgesamt sollte bei der Definition der Verhältnismäßigkeitsgrundsatz gewahrt bleiben.
4. KRITIS-Schutz als Querschnittssaufgabe begreifen, Zuständigkeiten ordnen: Kritische Infrastrukturen sind in der Regel eng miteinander verbunden und vernetzt. Ausfälle in einem Sektor (etwa Energie, Informations- und Kommunikationstechnologie, Verkehr oder Logistik) können daher erhebliche Auswirkungen auf andere Sektoren und damit auf die gesamte Grundversorgung sowie die industrielle Wertschöpfungskette haben. Ein Dachgesetz kann nur als Schutzschirm fungieren, wenn es diese Abhängigkeit der einzelnen KRITIS-Sektoren untereinander berücksichtigt und ein übergreifendes System von Zuständigkeiten etabliert, dadurch sektorspezifische Fachbehörden ergänzt und die Akteure engmaschig und systematisch vernetzt, auf Bundes- und Länderebene, öffentlich und zivil. Bundesweit agierende Kritische Infrastrukturen sollten nicht mit spezifischen Anforderungen aus Landesebene und niedriger konfrontiert werden. Dies ist kaum umsetzbar und schafft Irritationen in der Umsetzung insbesondere im Krisenfall.
Es gilt, gesetzlich klar definierte Zuständigkeiten und Ansprechpartner auf Seiten der Sicherheits- und Strafverfolgungsbehörden aufzusetzen und deren stetigen Austausch untereinander zu institutionalisieren. Auf diesem Weg können übergreifende Problemlagen erkannt, in Krisenfällen entsprechend schnell reagiert, sowie Redundanzen bei ohnehin beschränkten finanziellen und personellen Ressourcen auf staatlicher- und auf Unternehmensseite vermieden werden.
5. Risikobewertung gemeinsam mit den betreffenden Akteuren erstellen: Ein effizientes Risikomanagement berücksichtigt neben der Bedrohungssituation die jeweiligen Assets des KRITIS-Unternehmens oder -Branchensegments und leitet angemessene Maßnahmenempfehlung ab. Risikobewertungen der jeweiligen KRITIS-Bereiche sollten gemeinsam zwischen Staat und Wirtschaft erarbeitet werden. Eine behördenübergreifende sowie europäische Harmonisierung ist sicherzustellen, damit die Betreiber keine unterschiedlichen Risikoszenarien bedienen müssen. Ein Weg dorthin führt beispielsweise über internationale Normen und Standards (wie ISO 27001 / ISO 22301 / ISO 31000). Nationale Vorgaben ohne europäischen Kontext sind zu vermeiden.
Betreiber von KRITIS müssen ihre Risikoanalysen jährlich bzw. nach schwerwiegenden Veränderungen der Rahmenbedingungen, überprüfen. Zudem müssen die Analysen bei einer kritischen Änderung der Bedrohungslage laufend aktualisiert werden. Das gleiche muss auch für Behörden auf allen Ebenen des Föderalstaates gelten. Insgesamt braucht es eine vorausschauende Risikoanalyse, die sich aus Lagebildern der unterschiedlichen Behörden auf Bundes- und Landesebene sowie den Lagebildern und Berichten der Unternehmen zusammensetzt. Schlüssel hierfür ist eine bessere Vernetzung und Koordinierung sowohl über Zuständigkeitsgrenzen hinweg als auch mit den Unternehmen.
Das KRITIS-Dachgesetz sollte vom Gesetzgeber als klare Chance wahrgenommen werden, hier die Zusammenarbeit zwischen den Behörden und den Unternehmen sowie den Behörden untereinander systematisch zu verbessern. Klares Ziel sollte es sein, in Zukunft zu vermeiden, dass unterschiedliche Analysen zu überlappenden Lagen auf unterschiedlichen Kanälen an die Unternehmen verteilt werden. Eine gemeinsame sichere virtuelle Plattform in Form eines Single Point of Contacts (vgl. Empfehlung Nr. 8), auf die alle Sicherheitsbehörden Zugriff haben und über die auf digitalem Wege Risikoanalysen und Lagebilder zumindest eingesehen, im besten Fall gemeinsam erstellt bzw. ergänzt und schließlich mit den Unternehmen geteilt werden können, wäre hilfreich.
Nötig hierfür ist auch eine durch den Gesetzgeber zu erfolgende Überprüfung der bestehenden Regeln der Geheimhaltung, damit Sicherheitsbehörden für den Schutz von KRITIS relevante Information mit Sicherheitsbetrauten der Unternehmen direkt und zeitnah teilen können.
6. Harmonisierung von bestehenden Sicherheitsanforderungen: Es gibt bereits eine Vielzahl an Sicherheitsanforderungen zum Schutz Kritischer Infrastrukturen, ob im digitalen oder im realen Raum. Hier gilt es, die Anforderungen übereinanderzulegen und miteinander abzugleichen. Angesichts der oft nicht trennbaren Sicherheitsrisiken im digitalen und realen Raum ist dies unbedingt auch mit den bestehenden Cybersicherheitsregulierungen durchzuführen. Die Anforderungen an die einzelnen Sektoren unterscheiden sich erheblich, daher gilt es hier, neben allgemeinen Zielvorgaben (Durchhaltevermögen im Falle von Szenario X) auch sektorspezifische Maßnahmen anzusetzen. Nationale Prüfintervalle müssen an internationalen Standards ausgerichtet werden. Das bestehende Prüfregime sollte, wo notwendig, geeignet erweitert werden, damit ganzheitlich und nur einmal geprüft wird. In Zeiten des Fachkräftemangels sollte dies ein genuines Anliegen der Behörden sein: Der Fokus der Unternehmen und Behörden muss auf dem sicheren Betrieb der KRITIS und der Versorgung der Bevölkerung, nicht auf bürokratischen Verfahren und Zertifizierungsprozessen liegen. Wo Sicherheitsanforderungen das ökonomisch sinnvolle überschreiten, müssen entsprechende Aufwendungen staatlich entschädigt werden.
7. Meldewesen und Störungsmonitoring digitalisieren und vereinfachen: Dafür ist es notwendig, dass die von staatlicher Seite vorzugebenen Regularien so schlank und effizient wie nur möglich ausgestaltet werden. Auch dies ist gerade in Zeiten des Fachkräftemangels ein absolutes Muss; Störungsfälle im Bereich KRITIS müssen sich entlang der EU-Richtlinien orientieren. Die NIS 2-Richtlinie sieht vor, dass Unternehmen zukünftig mindestens drei und bis zu fünf Meldungen pro Cybersicherheitsvorfall vornehmen sollen. Um den Prozess zu vereinfachen, sollte der durchgängige Ansatz „Ein Vorfall = ein Formular“ die Basis bilden: Ein Formular wird auf einer Plattform behördenseitig bereitgestellt, entsprechend den Meldepflichten durch die Unternehmen ausgefüllt und aktualisiert. Über solch ein einheitliches Formular müssen gleichsam physische wie digitale Bedrohungen und Vorfälle gemeldet werden können. Insbesondere im Kontext der zunehmenden hybriden Bedrohungen ist ein übergreifendes Meldewesen ein absolutes Muss für den KRITIS-Schutz.
Alle staatlichen Stellen, die mit der Vorfallsbearbeitung betraut sind, müssen nach dem „needto-know“-Prinzip auf diese Informationen zugreifen können. Nur so können effektiv Doppelmeldungen und damit auch eine doppelte Bearbeitung vermieden werden. Dafür ist es erforderlich, dass auch die Verwaltung endlich nachhaltig den Weg einschlägt, den die Wirtschaft schon seit einigen Jahren beschreitet: Eine konsequente Digitalisierung von internen und externen Kommunikationsnetzwerken und Prozessen sowie die Beseitigung interner Silos und Fokussierung auf bereichsübergreifende Kooperation.
Essenziell ist, dass das Dachgesetz auf digitalisierte Verfahren abzielt und keine weiteren bürokratischen Hemmnisse aufbaut. Dieses Meldeverfahren könnte in einem ersten Schritt nur für Betreiber Kritischer Anlagen nach RVO §53 Abs. 1 eröffnet, aber dann auch für weitere besonders wichtige und wichtige Einrichtungen gemäß der im NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz vorgesehenen Definition offenstehen
8. Single Point of Contact einrichten: Grundlinie eines KRITIS-Dachgesetzes muss es sein, Parallelstrukturen zur Bearbeitung von Vorfällen im physischen und im digitalen Raum zu vermeiden. Für die Umsetzung eines einheitlichen Meldewesens braucht es daher einen zentralen Single Point Of Contact (SPOC), bei dem die Meldungen zu Sicherheitsvorfällen eingehen, und der diese ggfs. auch gebündelt an die Unternehmen zurückspielt, um Bedrohungslagen für Präventionszwecke kenntlich zu machen. Der SPOC muss somit die Behörden institutionalisiert einbinden, denen eine übergreifende Zuständigkeit und Verantwortlichkeit zum Schutz von KRITIS (digital, physisch und hybrid), durch den Gesetzgeber übertragen wurde. Der SPOC selbst fungiert als Schnittstelle (Dispatcher Hub) zwischen Unternehmen sowie Bundes- und Landessicherheitsbehörden: er verteilt die eingehenden Meldungen entsprechend der Zuständigkeit und stellt sicher, dass das Prinzip des „need-to-know“ umgesetzt wird. Auf unterschiedlichen Zugriffsebenen gilt es, beispielsweise im Rahmen einer durch den Bund bereit gestellten sicheren virtuellen Plattform, Betreibern von Kritischen Infrastrukturen und Sicherheitsbehörden des Bundes und der Länder Zugriff zu erteilen. Der BDI empfiehlt zudem, den SPOC auch für Unternehmen, die gemäß RVO §53 Abs. 1 nicht als KRITIS im engen Sinne zu definieren sind, zu öffnen. Die bereits lange, auch BDI-seitig u.a. im Rahmen der Initiative Wirtschaftsschutz geforderte Plattform zum Schutz der Wirtschaft vor Sicherheitsrisiken – ein One-Stop-Shop – könnte somit realisiert werden, ohne erneut Doppelstrukturen zu schaffen. Die Zugriffsrechte können auch hier nach dem Regelungsprinzip des „need-to-know“ gestaffelt werden. Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Aufbau befindliche Information Sharing Portal für digitale Sicherheitsvorfälle könnte als Grundlage des gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu betreibenden SPOC dienen und darin aufgehen.
9. UP KRITIS als ganzheitliche Austauschplattform zum Schutz von Unternehmen ausbauen: Mit dem Umsetzungsplan Kritische Infrastrukturen (UP KRITIS) hat Deutschland bereits seit 2007 ein erfolgreiches System des Austausches von Bedrohungslagen sowie zu gesetzlichen Anforderungen zwischen KRITIS-Unternehmen, Fachverbänden und Behörden institutionalisiert. Ziel ist es, gemeinsam zum verbesserten Schutz von KRITIS beizutragen. Bislang fokussiert sich der UP KRITIS vorrangig auf den Schutz vor Gefahren mit IT-Bezug, insbesondere vor Cyberangriffen. Der BDI schlägt vor, den UP KRITIS thematisch um den Schutz vor physischen und hybriden Sicherheitsrisiken zu erweitern. Ziel muss es sein, Parallelstrukturen des Austausches zu vermeiden Idealerweise werden in diesem Rahmen dann auch künftig ganzheitliche Vorbereitungen auf Krisenlagen mittels Zivilschutzübungen durchgeführt Notfallpläne für verschiedene Krisenszenarien könnten mit Zulieferern, IT-Dienstleistern, Kommunen, lokalen (Netz-)Betreibern wie Stadtwerke sowie Polizei, Feuerwehr, THW, Bundeswehr, dem BBK, BSI, etc. gemeinsam erstellt und geübt werden. Vor dem Hintergrund, dass Unternehmen und Betreiber Kritischer Infrastrukturen zunehmend ganzheitliche, integrierte Sicherheitskonzepte einführen oder dies bereits getan haben, wäre dies ein deutlicher Fortschritt hin zu einem übergreifenden Schutz.
10. Staatliche Sicherheitsüberprüfungen als Teil eines ganzheitlichen Sicherheitsansatzes: Sicherheit wird nicht nur durch Regulierungen, durch technische Maßnahmen des Werk- oder des IT-Schutzes erreicht. Ebenso wichtig ist eine entsprechende Schulung der Mitarbeiterinnen und Mitarbeiter zu Präventionszwecken - und deren Überprüfung der Vertrauenswürdigkeit. Letzteres ist eine Leistung, die vorrangig durch staatliche Sicherheitsbehörden geleistet werden kann – im Rahmen des Geheimschutzes aber auch darüber hinaus, insbesondere in Bezug auf den Schutz von KRITIS. Das Dachgesetz muss dieser Anforderung Rechnung tragen. Dies bedeutet, dass alle Unternehmen, die dem Anwendungsbereich des KRITIS-Dachgesetzes und des NIS 2-Umsetzunggesetzes künftig unterliegen, die Möglichkeit erhalten, bei den zuständigen Stellen eine Sicherheitsüberprüfung für Mitarbeitende, die in sicherheitsrelevanten Funktionen tätig sind, zu beantragen. Die Bundesregierung muss zwingend eine entsprechende KANN-Möglichkeit im Rahmen des NIS 2-Umsetzunggesetzes einführen und darauf im KRITIS-Dachgesetz Bezug nehmen.
Zudem sind bei Sicherheitsüberprüfungen dringend die Prozesslängen zu verkürzen. Mehrmonatige Wartezeiten, wie sie aktuell in der Sicherheitsüberprüfung vorkommen, hemmen die Wirtschaft und sind im Hinblick auf den Fachkräftemangel nicht tolerierbar Als zusätzliche Ergänzung sollte die Option der Zuverlässigkeitsprüfung in den Unternehmen selbst ermöglicht werden - also auch für nicht geheimschutzbetreute Bereiche von Betreibern Kritischer Anlagen nach RVO §53 Abs. 1 sowie weitere besonders wichtige und wichtige Unternehmen gemäß dem NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz. Hier gilt es jedoch zwingend, justiziable Mindeststandards und klare Ausführungsbestimmungen entlang des Sicherheitsüberprüfungsgesetzes durch den Gesetzgeber zu erlassen.
Die deutsche Industrie würde es sehr begrüßen, wenn einschlägige Wirtschaftsverbände eng in den Prozess zur Etablierung und Entwicklung von Überprüfungsverfahren einbezogen würden, um das Verfahren an den Bedarfen der Unternehmen auszurichten. Hierfür bieten die Wirtschaftsverbände ihre einschlägigen Gremien als Foren des Austauschs an.
