Die Gefahren für die Kritischen Infrastrukturen (KRITIS) reichen von Naturkatastrophen und Pandemien über Angriffe und Sabotage bis hin zu unzureichender Versorgung mit Betriebsmitteln. Ausfälle und Störungen bei den Kritischen Infrastrukturen können erhebliche Auswirkungen auf die öffentliche Sicherheit und Ordnung nach sich ziehen.
Beitrag zu einem kohärenten und resilienten System
„Vor dem Hintergrund uneinheitlicher bzw. fehlender Regelungen für den physischen Schutz Kritischer Infrastrukturen und angesichts sektoren- sowie länderübergreifender Abhängigkeiten wird mit dem KRITIS-Dachgesetz zum ersten Mal das Gesamtsystem zum physischen Schutz Kritischer Infrastrukturen in Deutschland in den Blick genommen und im Rahmen der dem Bund zustehenden Zuständigkeiten gesetzlich geregelt. Das KRITIS-Dachgesetz ergänzt damit auch die bestehenden Regelungen zum Cyberschutz von Kritischen Infrastrukturen und trägt zu einem kohärenten und resilienten System bei.“
(Eckpunktepapier vom 07.12.2022, S. 2)
Eckpunkte für das KRITIS-Dachgesetz
Die Bundesregierung hatte am 07.12.2022 die „Eckpunkte für das KRITIS-Dachgesetz“ vorgestellt.
1. KRITIS klar identifizieren
2. Bedrohungslage und Risiken besser erkennen
3. Schutzniveau verbindlich erhöhen
4. Störungen des Gesamtsystems erkennen und beheben
5. Einen institutionellen Rahmen schaffen
Das Gesetz soll die Betreiber kritischer Infrastrukturen u.a. verpflichten, ein betriebliches Risiko- und Krisenmanagement einzurichten, Risikobewertungen nach dem All-Gefahren-Ansatz durchzuführen, Resilienzpläne zu erstellen und bestimmte Mindestvorgaben im Bereich der physischen Sicherheit einzuhalten.
Damit soll es möglich sei, die Kritischen Infrastrukturen besser gegen Gefahren zu schützen und ihre Widerstandsfähigkeit zu erhöhen.
Geplant ist weiterhin, dass die zentralen Aufsichtsbehörden zur Regulierung von Infrastrukturen unter der Koordination des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) die Umsetzung der im KRITIS-Dachgesetz vorgesehenen Maßnahmen explizit in den Blick nehmen.
Viele Sicherheitsexperten bewerten es positiv, dass der Staat das KRITIS-Dachgesetz nun auf den Weg bringen möchte, und mit dem Eckpunktepapier vom 07.12.2022 der Öffentlichkeit signalisiert, in welche Richtung die Reise gehen soll.
Ungereimtheiten – Absicht oder Versehen?
Manchem Leser fielen bei der Sichtung des Dokumentes jedoch direkt verschiedene Ungereimtheiten auf. Wichtige Themen, die zwar gut angedacht, aber noch nicht zu Ende gedacht sind. Auch schlich sich folgender interessante Satz ein:
„Bei der Sicherung von Kritischen Infrastrukturen durch die Betreiber hat eine Abwägung stattzufinden zwischen Wirtschaftlichkeit und Risikoeintrittswahrscheinlichkeit.“ (Eckpunktepapier vom 07.12.2022, S. 5)
Viele rätseln hier, ob dies ernst gemeint ist, oder es sich um einen Formulierungsfehler handelt.
Aus Sicht des Risikomanagements sollte gerade bei KRITIS-Betrieben nicht die Risikoeintrittswahrscheinlichkeit, sondern das Risiko bzw. der Erwartungswert (als Produkt von Eintrittswahrscheinlichkeit und möglichem Schadensausmaß) die relevante Orientierungskennzahl sein.
Denn eigentlich geht es ja gerade bei der Gefahrenabwehr im KRITIS-Bereich um das Verhindern von Schadensereignissen, die zwar sehr selten sind, aber im Eintrittsfall erhebliche Auswirkungen auf Gesellschaft, Wirtschaft und Staat hätten.
KRITIS-Dachgesetz – auf gutem Weg?
Derzeit arbeiten verschiedene Verbände und Interessenvertretungen an Stellungnahmen und Positionspapieren.
Es ist im Sinne aller zu hoffen, dass die Verantwortlichen im BMI die demnächst vorzulegenden Verbesserungsvorschläge und Handlungsempfehlungen gewissenhaft auswerten und den aktuellen Gesetzentwurf idealerweise in enger Abstimmung mit den Sicherheitsexperten aus Wirtschaft und Wissenschaft gemeinsam weiterentwickeln.