Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen

Stellungnahme

Referentenentwurf eines Gesetzes zur

Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen

(KRITIS-Dachgesetz –

KRITIS-DachG)

Langtitel, Beispiel: (Arial, 20 Pt, fett)

Referentenentwurf/ Regierungsentwurf

Gesetz zur Modernisierung der Netzentgeltstruktur

Bundesverband der Deutschen Industrie e.V.

Stand: 24 08 2023

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG) Inhaltsverzeichnis

1. „Dachgesetz“: ganzheitlichen Ansatz entwickeln .................6

2. Begriffe: Einheitlich, eindeutig, konsistent definieren ..........6

3. Identifizierung von KRITIS: Rahmenbedingungen setzen.....7

4. Registrierungsprozesse: Once-Only-Prinzip einführen.........9

5. Einheitliches Meldewesen: Single Point of Contact nötig.....9

6. Maßnahmen & Standards: Doppelungen vermeiden...........11

7. Sicherheitsüberprüfungen: Basis von KRITIS Schutz.........12

8. Risikobeurteilungen: nur gemeinsam sinnvoll ....................13

9. Kritische Komponenten: kein Regelungsbedarf..................15

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Vorbemerkung

Der BDI begrüßt die Möglichkeit, Stellung zum Referentenentwurf des Bundesministeriums des Inneren und für Heimat (BMI) zur Umsetzung der Critical Entities Resilience (CER) – Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS Dachgesetz- KRITIS-DachG) zu nehmen.

Der BDIsieht jedoch, wie in den „10 Handlungsempfehlungen der deutschen Industrie zum KRITIS-Dachgesetz“ vom Juni 2023 bereits ausgeführt, weiterhin kritisch, dass die Bundesregierung ein KRITIS-DachG zur Umsetzung der CER-Richtlinie und davon losgelöst ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verfasst. Es wäre vorzugswürdig, die entsprechenden rechtlichen Vorgaben in einem Gesetz, mindestens aber in einem gemeinsamen Gesetzgebungsverfahren zu bündeln. Nur durch eine Bündelung kann Kohärenz – sowohl hinsichtlich der Anforderungen als auch in der Umsetzung – gewährleistet werden.

Der am 27. Juli 2023 inmitten der parlamentarischen Sommerpause sowie der bundesweiten Sommerferien zur Stellungnahme vorgelegte Entwurf durchläuft parallel noch die Ressortabstimmung. Laut BMI können sich aus dieser noch Änderungen ergeben. Auch die rechtssystematische und rechtsförmliche Prüfung des Entwurfs ist laut vorliegendem Schreiben des BMI noch nicht erfolgt. Zudem liegt noch kein Entwurf der geplanten Rechtsverordnung zur Bestimmung von Betreibern Kritischer Anlagen vor. Eine detaillierte und vollständige Bewertung (inhaltlich und monetär) des Gesetzesentwurfes ist aus diesen Gründen zum aktuellen Zeitpunkt nicht möglich. Diezahlreichen offen gelassenen sowieteilweisesehrallgemeinformulierten Passagen im vorliegenden Referentenentwurf zeigen zudem klar, dass ein stärkerer und früherer Rückgriff auf die Expertise aus der industriellen Praxis erforderlich gewesen wäre und weiterhin ist. Der BDI fordert die Bundesregierung daher auf, diese Verbändeanhörung mit Frist zur Einreichung der Stellungnahme am 28. August 2023 sowie die am 5. September 2023 angesetzte mündliche Anhörung im BMI als Auftakt eines systematischen, strukturierten Konsultationsprozesses kenntlich zu machen. Eine weitere Runde derVerbändeanhörung wirdals zwingendnötig erachtet, aufBasis einesfinal ressortabgestimmten Entwurfs, bevor dieser dann in den Gesetzgebungsprozess des Bundestages eingegeben wird.

Zudem gilt es, § 15KRITIS-DachG entsprechend § 57 (2) des geleakten Entwurfs des NIS2UmsuCG zu formulieren, in dem die Anhörung der betroffenen Wirtschaftsverbände bei der Erarbeitung der Rechtsverordnung festgelegt wird

Bundesverband der Deutschen Industrie e.V

Lobbyregisternummer

R000534

Hausanschrift

Breite Straße 29

10178 Berlin

Postanschrift

11053 Berlin

Ansprechpartner

Kerstin Petretto

T:+49 30 2028-1710

E-Mail: k.petretto@bdi.eu

Internet www.bdi.eu

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Anmerkungen zum Referentenentwurf

Das KRITIS-DachG ist nicht nur ein zentrales Vorhaben der Bundesregierung aus dem Koalitionsvertrag von 2021. Es ist für die Versorgungssicherheit der Bevölkerung und damit auch für die Industrie als Kernbetreiber Kritischer Infrastrukturen (KRITIS) entscheidend, dass der physische Schutz von KRITIS im Gesamtkontext der inneren Sicherheit in einem gemeinsamen Schulterschluss von Staat und Wirtschaft rasch und umfassend verbessert wird.

Die Bedrohungslage, die sich in den letzten Jahren durch sich überlagernde Krisen verschärft hat – sei es die Corona-Pandemie, Katastrophen, wie das Hochwasser im Ahrtal, Erdbeben, der russische Angriffskrieg gegen die Ukrainesowie zunehmende Spionage-undSabotageangriffe–habendieBedeutung von „Sicherheit“ in den Fokus der Öffentlichkeit gerückt. Der BDI begrüßt daher, dass vor diesem Hintergrund ein möglichst einheitlicher Rechtsraum für den Schutz von KRITIS etabliert werden soll.

Resiliente, störungsfrei funktionierende KRITIS – von der Öffentlichen Verwaltung, über die Energie-, Wasser- und Lebensmittelversorgung, das Gesundheitswesen, die Informationstechnologie und Telekommunikation, die Entsorgungbis hin zu TransportundVerkehrund weltraumbasiertenAnwendungen – sind von elementarer Bedeutung für das Funktionieren unseres Gemeinwesens. Der Schutz von KRITIS ist folglich Schlüssel für die Gewährleistung unserer nationalen Sicherheit.

In diesem Sinne begrüßt die deutsche Industrie den bereits durch die CERRichtlinie verfolgten und einer in der Wirtschaft bereits etablierten Herangehensweise des All-Gefahren-Ansatzes, der sowohl Naturkatastrophen als auch vom Menschen verursachte, unbeabsichtigte oder vorsätzliche Gefährdungen berücksichtigt. Der Schutz vor derart vielfältigen, oft mehrdimensionalen Risiken erfolgt in der Prävention und der Abwehr, ob im physischen oder im Cyberraum. Es gilt, die seit Langem bestehenden und bekannten Defizite umfassend in einem ganzheitlichen, integrierten Ansatz auszuräumen. Ein Ansatz, der den unterschiedlichen Dimensionen von Sicherheitsrisiken –physisch, digital undhybrid – Rechnung trägt und somit Deutschland vorausschauend krisensicher – resilient – aufstellt. Die Umsetzung der CER-Richtlinie sollte in diesem Sinne als Chance für Deutschland genutzt werden, um die innere Sicherheit durch einen verbesserten ganzheitlichen Schutz von KRITIS zu erhöhen. Gleichzeitig müssen sowohl Wirtschaft als auch staatliche Behörden darauf vorbereitet sein, dass es hundertprozentigen Schutz nicht gibt. Der Aufbau resilienter Strukturen, die gerade auch im akuten

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Katastrophen-, Krisen- oder Angriffsfall wirken, um Totalausfälle so weit wie nur möglich zu vermeiden, ist daher sowohl durch Betreiber als auch durch staatliche Stellen sicherzustellen.

Dabei ist es aus Sicht der Industrie jedoch nötig anzuerkennen, dass die verfassungsrechtlichen Möglichkeiten von Betreibern Kritischer Infrastrukturen zum Schutz selbiger im Angesicht einer akuten Gefährdungslage notwendigerweise klar eingeschränkt sind. Ein KRITIS-DachG muss daher auch die Verantwortung des Staates für die Herstellung Innerer Sicherheit in der Prävention, der Abwehr und dem Umgang mit akuten Krisen, Katastrophen oder direkter Angriffe klar umreißen. Dies gilt sowohl für die Bundes- als auch für die Landes- und Kommunalebene. Zudem sollte das KRITIS-DachG aus Sicht der Industrie zwingend auch staatliche Behörden miteinschließen, damit diese nicht nur KRITIS entsprechend ihres verfassungsgemäßen Auftrages schützen können, sondern auch selbst bestmöglich geschützt sind. Der vorliegende Entwurf berücksichtigt dies nur ungenügend, fokussiert er doch allein auf die Regulierung von präventiven Abwehrmaßnahmen durch die Betreiber von KRITIS.

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Stellungnahme

1. „Dachgesetz“: ganzheitlichen Ansatz entwickeln

Der Gesetzentwurf lässt einen ganzheitlichen Ansatz zur Risikominimierung von Cyberrisiken und physischen Risiken vermissen Er fokussiert allein auf Bedrohungen aus dem physischen Raum (z. B. Naturkatastrophen, Sabotage, terroristische Anschläge etc.) und vernachlässigt dabei die durch die fortschreitende Digitalisierung wirtschaftlicher Prozesse ineinander verschränkte Risikolage des Cyber- und des realen Raums.

Cyber-/IT- und physische Sicherheit lassen sich schon heute nicht voneinander isoliert betrachten und realisieren. Gerade im Bereich der physischen Sicherheit wird der Einsatz von IT-Lösungen weiter stark zunehmen, sodass sachlich überschneidungsfreie Regelungen künftig noch mehr als heute benötigt werden. Der Referentenentwurf trägt dieser Entwicklung nicht ausreichend Rechnung Das Ziel eines kohärenten Schutzsystems mit Blick auf physischeMaßnahmenundIT-Sicherheitsmaßnahmenwirddadurchnichterreicht Das Gesetz wird seiner geplanten Eigenschaft als „Dachgesetz“ nicht gerecht. Es wäre aus Sicht des BDI dringend angezeigt gewesen, die NIS 2Richtlinie und die CER-Richtlinie gemeinsam in einem Gesetz zu implementieren und so der hybriden Bedrohungslage sowie der Notwendigkeit zu einer eng verzahnten Kooperation unterschiedlicher Aufsichtsbehörden zu gewährleisten.

2. Begriffe: Einheitlich, eindeutig, konsistent definieren

Die in deutschen Gesetzen verwendeten Begrifflichkeiten sollten einheitlich gewählt, eindeutig definiert und konsistent genutzt werden. Dies ist aus Sicht des BDI im vorliegenden Referentenentwurf nicht der Fall.

Das KRITIS-DachG spricht neben „kritischen Anlagen“ auch die „kritischen Infrastrukturen“ an. Bei Erstgenannten handelt es sich um einen Teilbereich der „kritischen Infrastrukturen“. Welche Einrichtungen zusätzlich unter die „kritischen Infrastrukturen“ fallen sollen, ist bislang unklar und soll in der noch zu erlassenden Rechtsverordnung konkretisiert werden.

Damit erweitert der nationale Gesetzgeber nicht nur den adressierten Kreis der Betreiber Kritischer Infrastruktur, sondern auch die verwendeten Begrifflichkeiten. Die CER-Richtlinie spricht hier beispielsweise von „Kritischen Einrichtungen“. Das NIS2UmsuCG hingegen ersetzt den Begriff „kritische

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Infrastrukturen“ im BSIG durch die „kritischen Anlagen“. Die Begrifflichkeiten sollten aus Sicht der Industrie unbedingt vereinheitlicht werden.

Auch Formulierungen wie die Begriffsbestimmungen aus § 2, nach dem „Kritische Infrastrukturen“ Organisationen oder Einrichtungen mit „wichtiger Bedeutung für das staatliche Gemeinwesen“ solche sind, „bei deren AusfalloderBeeinträchtigungnachhaltigwirkendeVersorgungsengpässe,erhebliche Störungen der wirtschaftlichen Tätigkeit, der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“, sind zu unspezifisch. Gleiches gilt für Begriffe wie „Großunternehmen“ oder „mittlere Unternehmen“, die in § 2 (11 und 12) nicht näher definiert sind

Um die Schwierigkeit, die diese Unklarheit mit sich bringt, zu verdeutlichen, sei hier beispielhaft ein Konzern angeführt, der aus mehreren zusammengeschlossenen Unternehmensteilen besteht, die eine wirtschaftliche Einheit bilden. Würde in einem solchen Falle der jeweilige Mutterkonzern als Einrichtung im Anwendungsbereich als alleiniges Rechtssubjekt dienen? Oder sind die einzelnen rechtlichen Anforderungen jeweils eigenverantwortlich von den miteinander verbundenen Unternehmen zu erfüllen?

Die Ungenauigkeit durchzieht den gesamten Referentenentwurf. In § 9 und § 10 werden keinerlei nachvollziehbare Kriterien zum Begriff der „Wirtschaftsstabilität“ angelegt. § 11 (1) verpflichtet Betreiber kritischer Anlagen, geeignete und verhältnismäßige Maßnahmen zur Gewährleistung der Resilienz zu treffen. Die verwendeten Terminologien „geeignet“, „verhältnismäßig“ sowie „Gewährleistung“ sind hierbei nicht definiert.

Aus Sicht des BDI muss das KRITIS-DachG zwingend – analog zum NIS2UmsuCG – die einschlägigen europäischen Definitionen referenzieren. Es sollten im KRITIS-DachG die Definitionen analog § 2 (12) und (23) NIS2UmsuCG 2. Leak verwendet werden.

3. Identifizierung von KRITIS: Rahmenbedingungen setzen

Die Bundesregierung hatte in ihrem Eckpunktepapier zum KRITIS Dachgesetz vom 07.12.2022 angekündigt, Kritische Infrastrukturen systematisch und umfassend zu identifizieren. Dabei sollten bei der Ermittlung der Kritischen Infrastrukturen sowohl quantitative als auch qualitative Kriterien berücksichtigt werden.

Entgegen diesem Vorhaben legt sich der Referentenentwurf auf keine Kriterien zur Identifizierung kritischer Anlagen fest. Mit Blick auf die konkretisierende Rechtsverordnung nach § 15 verweist der Referentenentwurf

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

lediglich darauf, dass diese sich „systematisch und inhaltlich“ an der BSIKRITIS-Verordnung orientieren soll. Darüber hinaus bleibt unklar, welche Kriterien herangezogen werden sollen.

Auf eine Einheitlichkeit der Identifikationskriterien ist – genau wie bei den Begriffsbestimmungen – unbedingt zu achten: Bei der Umsetzung der CERRichtlinie und der NIS 2-Richtlinie sollten die Unternehmen, die als Betreiber „Kritischer Anlagen“ definiert werden, nicht nur „möglichst kongruent“, sondern zwingend identisch sein. Dies gilt für alle gesetzlichen Regelungen und nachfolgenden Rechtsverordnungen auf Bundes- und Länderebene.

Die deutsche Industrie fordert daher, dass die Rahmenbedingungen der für die Identifizierung kritischer Anlagen noch zu entwickelnden Rechtsverordnung bereits im KRITIS-DachG und

kongruent – dem NIS2UmsuCG gesetzt werden. Eine Option ist hier eine konsequente Orientierung an den Vorgaben der CER-Richtlinie. Dadurch würde der Entwurf das Ziel der CERRichtlinieunterstützen,wonachein solides MaßanHarmonisierungin Bezug auf die in ihren Anwendungsbereich fallenden Sektoren und Einrichtungskategorienerreicht werdensoll.DiefolgendeRechtsverordnungkönnteaufdieser Grundlage die wegen ihrer Bedeutung als kritisch anzusehenden Anlagen näher ausgestalten, deren als bedeutend anzusehenden Versorgungsgrads festlegen sowie nationale Besonderheiten definieren.

Zudem ist es aus Sicht des BDI notwendig, wie in den Anmerkungen zum Referentenentwurf einleitend dargelegt, die öffentliche Verwaltung nach gleichen Maßstäben als KRITIS zu definieren. Neben Bundesbehörden sollten auch Behörden der Länder und Kommunen – insbesondere Genehmigungs- und Überwachungsbehörden, die sensible Daten verarbeiten und für besonders wichtige und wichtige Einrichtungen essenzielle Verwaltungsleistungen erbringen

als besonders wichtige Einrichtungen definiert werden. Dies betrifft insbesondere, aber bei weitem nicht ausschließlich, die Behörden, die im Krisenfall für die Koordinierung zuständig sind, wie beispielsweise das Bundesamt fürBevölkerungs-undKatastrophenschutz (BBK): Die Betreiber kritischer Anlagen sind, im Falle einer großflächigen Krise, welche durch das BBKkoordiniertwerden soll, auch vom BBKabhängig. Fürsolche Fälle muss das BBK auch in die Lage versetzt werden dieser Verpflichtung nachzukommen und nicht selbst durch sicherheitstechnische Probleme handlungsunfähig sein.

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

4. Registrierungsprozesse: Once-Only-Prinzip einführen

Der BDI begrüßt, dass § 8 des Referentenentwurfs eine Registrierung von kritischen Anlagen „bei einer gemeinsam vom BBK und dem Bundesamt für Sicherheit in der Informationstechnik“ einzurichtenden „Registrierungsmöglichkeit“ vorsieht. Die deutsche Industrie fordert die Bundesregierung diesbezüglich auf, ein volldigitales, datenschutzrechtlich gesichertes und risikoadäquat gegen Cyberbedrohungen geschütztes Registrierungswesen aufzusetzen, über das Unternehmen ihren Registrierungspflichten nach NIS2UmsuCG und KRITIS-Dachgesetz nachkommen können. Hier gilt es zu prüfen, inwiefern das Unternehmenskonto auf ELSTER-Basis als bereits bestehende Infrastruktur genutzt werden könnte. Dadurch würden unnötige Doppelstrukturen vermieden.

Im Sinne der durchgängigen Implementierung des Once-only-Prinzips muss unbedingt sichergestellt sein, dass Unternehmen sich nicht beim BSI und zusätzlich per separatem Formular beim BBK registrieren müssen. Vielmehr sollten diese Registrierungspflichten im Sinne einer nutzendenorientierten öffentlichen Verwaltung in einem effizienten und volldigitalisierten Prozess zusammengeführt werden.

Auf die so gemeldeten Registrierungsdaten sollten die zuständigen staatlichen Stellen nach dem Need-to-know-Prinzip zugreifen können. Dadurch würden Erfüllungsaufwände für Unternehmen reduziert und Kapazitäten in der Wirtschaft geschaffen, die in den notwendigen Schutz vor Risiken investiert fließen könnten.

5. Einheitliches Meldewesen: Single Point of Contact nötig

Prozesse zur Meldung von Sicherheitsvorfällen müssen einen klaren Mehrwert im Sicherheitsverbund bringen – sowohl für den Staat als auch für die Unternehmen. Die deutsche Industrie begrüßt daher, dass der Referentenentwurf vorsieht, die für ihre „Aufgabenerfüllung erforderlichen

Informationen

hinsichtlich IT-Sicherheitsrisiken, -bedrohungen, -vorfällen, nicht IT-sicherheitsbezogenen Risiken, Bedrohungen und Vorfällen, die kritische Anlagen betreffen“ (§ 3 (2)) zwischen den Behörden auszutauschen und so Doppeloder gar Mehrfachmeldungen vermieden werden sollen.

Laut Referentenentwurf wird die vorgesehene „einheitliche Meldestelle“ jedoch lediglich das BSI und das BBK, aber keine weiteren Sicherheitsbehörden erfassen. Aus Sicht der deutschen Industrie ist es indes zwingend notwendig, systematische Schnittstellen beziehungsweise Kanäle des

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Informationsaustausches zwischen BSI, BBK, den Sicherheitsbehörden des Bundes (bspw. Bundeskriminalamt, (BKA), Bundesamt für Verfassungsschutz) und gegebenenfalls den Ländern zu definieren. Es sollte ein klarer Weg vorgezeichnet werden, wie ein systematischer Informationsfluss zu Sicherheitsvorfällen im Sinne eines ganzheitlichen, integrierten Sicherheitsansatzes zu gestalten ist. In diesem Sinne wäre es zudem wünschenswert auch weitere (zum Teil sektorspezifische) Behörden (z. B. Datenschutzbehörden, sonstige Aufsichtsbehörden) zu berücksichtigen.

Klares Ziel muss dabei sein, mit den unter das NIS2UmsuCG und das KRITIS-DachG fallenden Unternehmen Informationen und Einschätzungen über Risikolagen zwischen Staat und Wirtschaft in beide Richtungen systematisch auszutauschen, um im Sinne der Prävention ein tagesaktuelles, kostenfreies Lagebild zu digitalen und physischen Bedrohungen zu erstellen. Entsprechend einer gemeinsamen Registrierungseinheit bedarf es somit eines einheitlichen Meldewesens für Sicherheitsvorfälle im physischen- und im Cyberraum.

Der BDI schlägt vor, einen zentralen Single Point Of Contact (SPOC) einzurichten, der die Behörden institutionalisiert einbindet, die für den Schutz von KRITIS (digital und physisch) Sorge tragen müssen. Der SPOC selbst fungiert als Schnittstelle (Dispatcher Hub) zwischen Unternehmen sowie Bundes- und Landessicherheitsbehörden: Er verteilt die eingehenden Meldungen entsprechend der Zuständigkeit und stellt sicher, dass das Prinzip des „Needto-know“ umgesetzt wird. Auf unterschiedlichen Zugriffsebenen gilt es, beispielsweise im Rahmen einer durch den Bund bereitgestellten sicheren virtuellen Plattform, Betreibern von Kritischen Infrastrukturen und Sicherheitsbehörden des Bundes und der Länder Zugriff zu erteilen.

Der BDI empfiehlt zudem, den SPOC auch für Unternehmen, die gemäß RVO § 53 Abs. 1 nicht als KRITIS im engen Sinne zu definieren sind, zu öffnen. Die bereits lange, auch BDI-seitig, u. a. im Rahmen der Initiative Wirtschaftsschutz, geforderte Plattform zum Schutz der Wirtschaft vor Sicherheitsrisiken – ein One-Stop-Shop – könnte somit realisiert werden, ohne erneut Doppelstrukturen zu schaffen. Die Zugriffsrechte können auch hier nach dem Regelungsprinzip des „Need-to-know“ gestaffelt werden.

Das vom BSI im Aufbau befindliche Information Sharing Portal für digitale Sicherheitsvorfälle könnte als Grundlage des gemeinsam mit dem BBK zu betreibenden SPOC dienen und darin aufgehen. Alle staatlichen Stellen, die mit der Vorfallsbearbeitung betraut sind, müssen nach dem „Need-to-know“Prinzip auf diese Informationen zugreifen können. Nur so können effektiv

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Doppelmeldungen und damit auch eine doppelte Bearbeitung vermieden werden.

Um einen derartigen SPOC zu ermöglichen, ist eine durch den Gesetzgeber zu erfolgende Überprüfung der bestehenden Regeln der Geheimhaltung notwendig, damit Sicherheitsbehörden für den Schutz von KRITIS relevante Information sowohl untereinander als auch mit Sicherheitsbetrauten der Unternehmen direkt und zeitnah teilen können.

6. Maßnahmen & Standards: Doppelungen vermeiden

Der BDI begrüßt, dass zu treffende Maßnahmen gemäß § 11 dem Stand der Technik entsprechen sollen. Auch unterstützt der BDI die Entwicklung und Umsetzung europaweit einheitlicher Auflagen und Vorgaben sowie internationaler Standards.

Aus dem Referentenentwurf geht jedoch nicht hervor, was unter dem in § 11 geforderten „Resilienzplan“ zu verstehen ist, den Unternehmen auf der Grundlage der nach § 9 bereitgestellten Informationen über die staatlichen Risikoanalysen und -bewertungen sowie den Ergebnissen der eigenen Risikoanalyse und -bewertung nach § 10 zu erstellen haben

Zudem erschließt sich aus dem Entwurf nicht, wie die Doppelung von Pflichten (z. B. Registrierungs-, Nachweis- und Meldepflichten) aus den unterschiedlichen nationalen sektorspezifischen Gesetzen künftig minimiert beziehungsweise bestenfalls ganz vermieden werden. Gleiches gilt für die potenzielle Doppelung von Bußgeldern.

Es gibt bereits eine Vielzahl an Sicherheitsanforderungen zum Schutz von KRITIS, ob im digitalen oder im realen Raum. Hier gilt es, die Anforderungen übereinanderzulegen und miteinander abzugleichen und etwaige Vernetzungen von Risiken und entsprechenden Vorschriften auch sektorübergreifend zu berücksichtigen. Die deutsche Industrie erachtet es als dringend notwendig, den Referentenentwurf entsprechend zu justieren.

Bestehende Sicherheitssysteme auf Seiten der Anlagenbetreiber sollten dabei aus Industriesicht weitestgehend erhalten und notwendigenfalls unter Einsatz des vorhandenen Personals optimiert werden – eine Schaffung neuer, anderer oder zu umfangreicher Standards könnte den Anlagenbetrieb gefährden. Es gilt, einen Bestandsschutz zu berücksichtigen, da es Betreibern nicht möglich ist, zeitnah großflächig Sicherheitsinfrastrukturen auszutauschen

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Bei der künftigen Entwicklung von Resilienzstandards gilt es, ein angemessenes Kosten-Nutzen-Verhältnis zu beachten. Dabei sollten Synergieeffekte genutzt und die Lebenswirklichkeit der Anlagenbetreiber berücksichtigt werden. Synergien könnten beispielsweise durch eine Kombination aus branchenübergreifenden Standards, die von allen Betreibern einheitlich umgesetzt werden, verbunden mit brancheneinheitlichen Standards, die beispielsweise zwischen den besonderen Gegebenheiten von kritischen Anlagen auf demLandoderaufSeeunterscheiden,entstehen.§ 11Abs. 5KRITIS-DachG sollte ergänzt werden, sodass bereits bestehende branchenspezifische Resilienzstandards als geeignet im Sinne von § 11 Abs. 1 KRITIS-DachG anerkannt werden. In diesem Sinne kann das KRITIS-DachG schließlich für solche Unternehmen als Auffanggesetz greifen, für die die sektorspezifischen Regelungen bislang keine besonderen Pflichten zum Schutz der physischen Sicherheit vorsehen. Diesbezüglich bedarf es einer Klarstellung, in welchem Maße mit dem KRITIS-DachG und der geplanten Rechtsverordnung Unternehmen aus bereits hochregulierten Sektoren zukünftig erfasst sind.

Dies gilt insbesondere für Betreiber kritischer Anlagen, welche gemäß den § 10, 12 & 13 des KRITIS-DachG in großen Teilen von dessen Geltungsbereich ausgenommen werden. Für sie entfallen gemäß KRITIS-DachG die Verpflichtungen im Zusammenhang mit Risikomanagement, Meldewesen und Resilienzmaßnahmen. Diese Angelegenheiten werden für die betroffenen Sektoren, Finanz- und Versicherungswesen sowie Informationstechnik und Telekommunikation, im NIS2-UmsuCG geregelt. Die Regularien des NIS2 betreffen ebenso digitale Dienste. Hierbei würde das KRITIS-DachG ebenfalls hinter dem NIS2-UmsG zurücktreten (§ 15 Nr.3). In Anbetracht dessen wäre es angemessen, wenn Unternehmen der betroffenen Branchen vollständig von den Anwendungsbestimmungen des KRITIS-DachG ausgenommen würden. Anforderungen an die physische Sicherheit dieser Unternehmen sollten ausschließlich aus den bereits bestehenden sektorspezifischen Vorschriften abgeleitet werden, um die Umsetzbarkeit für die Akteure zu gewährleisten.

7. Sicherheitsüberprüfungen: Basis von KRITIS Schutz

Sicherheit wird nicht nur durch Regulierungen, durch technische Maßnahmen des Werk- oder des IT-Schutzes erreicht. Ebenso wichtig ist eine entsprechende Schulung der Mitarbeiterinnen und Mitarbeiter zu Präventionszwecken – und die Überprüfung der Vertrauenswürdigkeit von Mitarbeiterinnen und Mitarbeitern, die in besonders sicherheitssensiblen Bereichen tätig sind. Letzteres ist eine Leistung, die vorrangig durch staatliche

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Sicherheitsbehörden geleistet werden kann – im Rahmen des Geheimschutzes aber auch darüber hinaus, insbesondere in Bezug auf den Schutz von KRITIS. Das Dachgesetz muss dieser Anforderung Rechnung tragen.

§ 11 (12), demzufolge die Vorschriften des Sicherheitsüberprüfungsgesetzes (SÜG) in Verbindung mit der Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) sowie die Fachgesetze hinsichtlich der Zuverlässigkeitsüberprüfungen hinsichtlich des personellen Schutzes unberührt bleiben, ist aus SichtderdeutschenIndustrienichtausreichend,um dennotwendigenSchutzbedarf zu realisieren. Zurzeit sind personelleSicherheitsüberprüfungendurch staatlicheStellennursehreingeschränktmöglich,mehrmonatigeWartezeiten sind die Regel und nicht die Ausnahme. Dies hemmt die Wirtschaft und ist im Hinblick auf den Fachkräftemangel nicht tolerierbar.

Ohne die zusätzliche gesetzliche Möglichkeit, Personal mit sicherheitskritischen Aufgaben einer angemessenen Prüfung der Vertrauenswürdigkeit zu unterziehen,kannderSchutzvonKRITISnichtvollumfänglichgewährleistet werden. Die deutsche Industrie fordert daher, dass das KRITIS-DachG Unternehmen aller Sektoren die Möglichkeit eingeräumt, Personal mit sicherheitskritischen Aufgaben zu überprüfen beziehungsweise überprüfen zu lassen, um sie in die Lage zu versetzen, sich mit Sicherheitsbehörden auszutauschen. Hierzu gilt es, im KRITIS-DachG eine gesetzliche Grundlage mit justiziablen Mindeststandards und klaren Ausführungsbestimmungen unter Berücksichtigung der Widerspruchsfreiheit auf gesetzlicher und verordnungsrechtlicher Ebene zu schaffen. Ohne eine solche sind „Überprüfungsmaßnahmen“ nach DSGVO untersagt.

Die deutsche Industrie würde es sehr begrüßen, wenn einschlägige Wirtschaftsverbände eng in den Prozess zur Etablierung und Entwicklung von Überprüfungsverfahreneinbezogenwürden,um das Verfahren andenBedarfen der Unternehmen auszurichten. Hierfür bieten die Wirtschaftsverbände ihre einschlägigen Gremien als Foren des Austauschs an.

8. Risikobeurteilungen: nur gemeinsam sinnvoll

Der BDI begrüßt, dass Betreiber kritischer Anlagen gemäß § 10 KRITISDachG „auf Grundlage der durchgeführten staatlichen Risikoanalysen undbewertungen […]allevierJahreRisikoanalysenund -bewertungen durchführen sollen“ und damit die zeitliche Regelung aus der CER-Richtlinie (Artikel 12 Nr 1) übernommen wurde.

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Allerdings ist es hier zum einen zwingend nötig, diese Anforderung („auf Grundlage“) zu konkretisieren, damit die betroffenen Unternehmen bereits im Vorfeld der Umsetzung ebendiese besser planen können.

Zudem ist eine Differenzierung zwischen Risikoanalyse und Risikobewertung, wie sie im KRITIS-DachG vorgenommen wird, aus Sicht der Industrie unnötig. In der CER-Richtlinie wird konsequent der Begriff der „risk assessment verwendet, der gemäß Artikel 2 Nr. 7 CER-Richtline den gesamten Prozess bezeichnet, „zur Bestimmung der Art und des Ausmaßes eines Risikos, bei dem potenzielle entsprechende Bedrohungen, Schwachstellen und Gefahren, die zu einem Sicherheitsvorfall führen könnten, ermittelt und analysiert und die durch den Sicherheitsvorfall verursachten potenziellen Verluste oder Störungen bei der Erbringung eines wesentlichen Dienstes bewertet werden“ . In der deutschen Übersetzung der CER-Richtlinie wird „risk assessment“ mit „Risikobewertung“ übersetzt, in gängigen fachlichen Normen (u. a. ISO 31000, ISO 27001, BSI-200) wird hingegen von Risikobeurteilung gesprochen. Der BDI schlägt daher vor, sich an dieser einschlägigen Begrifflichkeit und den Vorgaben der CER-Richtline zu orientieren.

Nicht zuletzt ist es aus Sicht der Industrie unabdingbar, dass die Wirtschaft sowohl bei der Erarbeitung der nach § 9 KRITIS-DachG vorgesehenen nationalen Risikobeurteilungen (sektorspezifisch und sektorübergreifend) systematisch beteiligt wird. Rein staatlich durchgeführte Risikobeurteilungen lassen sich erfahrungsgemäß nur selten direkt auf Betreiber übertragen – auch nicht als „Grundlage“ für deren eigene Risikobewertung. Zudem ist es fraglich, wie staatliche Stellen wie das BBK eine Risikoanalyse und -bewertung vornehmen können, für Anlagen, Unternehmen und Prozesse, für die sie keine Verantwortung im Sinne Risikoverantwortlichkeit tragen.

Nur durch einen Prozess der gemeinsamen Erstellung von Risikobeurteilungen können die in der Praxis gewonnen Erfahrungen um Risiken und Bedrohungen aus der Wirtschaft erfasst und kann ein gesamtheitliches Bild von staatlichem und wirtschaftlichem Gesamtrisiko erarbeitet werden

Der Referentenentwurf KRITIS-DachG trägt dem bislang keine Rechnung.

Der BDI unterstützt die Regelung des § 10 Abs. 2 KRITIS-DachG, wonach auf Seiten der Anlagenbetreiber bereits vorgenommene Risikobewertungen auf Basis anderer Gesetze nach dem KRITIS-DachG anerkannt werden können. Zusätzlich wäre es begrüßenswert, wenn § 11 KRITIS-DachG dahingehend ergänzt würde, dass eigene freiwillige Risikobewertungen und daraus abgeleitete Maßnahmen anerkannt werden. Üblicherweise haben

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Anlagenbetreiber bereits eigene Sicherheitsmaßnahmen, auch auf Basis internationalerStandards, eingeführt.EineSchaffungneuer,andererStandards, kombiniert mit kurzen Umsetzungsfristen und einem bürokratischen Meldewesen könnte den reibungslosen Anlagenbetrieb gefährden. Etwaige neue Maßnahmen müssen im laufenden Betrieb mit dem vorhandenen Personalpool umsetzbar sein.

9. Kritische Komponenten: kein Regelungsbedarf

Der BDI erkennt im Bereich der physischen Sicherheit keinen Regelungsbedarf, was die Verwendung kritischer Komponenten angeht. Der dafür vorgesehene Platzhalter kann ersatzlos gestrichen werden.

Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITIS-DachG)

Über den BDI

Der BDI transportiert die Interessen der deutschen Industrie an die politisch Verantwortlichen. Damit unterstützt er die Unternehmen im globalen Wettbewerb. Er verfügt über ein weit verzweigtes Netzwerk in Deutschland und Europa, auf allen wichtigen Märkten und in internationalen Organisationen. Der BDI sorgt für die politische Flankierung internationaler Markterschließung. Underbietet InformationenundwirtschaftspolitischeBeratung füralle industrierelevanten Themen. Der BDI ist die Spitzenorganisation der deutschen Industrie und der industrienahen Dienstleister. Er spricht für 39 Branchenverbände und mehr als 100.000 Unternehmen mit rund acht Mio. Beschäftigten. Die Mitgliedschaft ist freiwillig. 15 Landesvertretungen vertreten die Interessen der Wirtschaft auf regionaler Ebene.

Impressum

Bundesverband der Deutschen Industrie e.V. (BDI)

Breite Straße 29, 10178 Berlin

www.bdi.eu

T: +49 30 2028-0

Lobbyregisternummer: R000534

Ansprechpartner

Kerstin Petretto

Senior Manager Sicherheit und Verteidigung

T: +49 30 2028-1710

k.petretto@bdi.eu

BDI Dokumentennummer: D 1811