I. Einleitung
Anfang des Jahres wurde in Deutschland das „Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen“ (KRITIS-Dachgesetz = KRITISDachG) und damit die Umsetzung der RL (EU) 2557/22 (Critical Entities Resilience Directive = CER-Richtlinie) beschlossen.1 Ziel des Gesetzes ist die Schaffung eines einheitlichen und übergreifenden europäischen Rechtsrahmens („Dach“), der die kritische Infrastruktur (KRITIS) in Deutschland und Europa widerstandsfähiger gegen Krisen und Angriffe macht. CER-Richtlinie und KRITISDachG verfolgen einen sog. Alle-Gefahren-Ansatz für die physische Sicherheit der KRITIS. Sie sollen somit den Schutz dieser Anlagen auch außerhalb der Cybersicherheit komplettieren, die bereits mit dem Gesetz zur Umsetzung der europäischen RL (EU) 2022/25552 (NIS-2-Richtlinie) im BSI-Gesetz (BSIG) adressiert worden ist.3 Das KRITISDachG regelt insbesondere die Identifikation von KRITIS-Betreibern, die Erstellung nationaler und betreiberseitiger Risikoanalysen und -bewertungen sowie die Schaffung eines Störungsmonitorings zur Feststellung und Behebung von Schwachstellen. Zur behördenseitigen Identifikation von KRITIS-Betreibern sieht das Gesetz in einem ersten Schritt eine Registrierungspflicht für Unternehmen auf der gemeinsamen Plattform des mit der Umsetzung des Gesetzes betrauten Bundesamtes für Bevölkerungs- und Katastrophenschutz (BBK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor.4 Ab dem Zeitpunkt der Registrierung müssen dann innerhalb von zehn Monaten konkrete Schutzmaßnahmen umgesetzt und nachgewiesen werden. Mit diesem Beitrag skizzieren wir den Umsetzungsprozess für durch das KRITISDachG adressierte Unternehmen.
II. Wer muss sich als „Betreiber einer kritischen Anlage“ registrieren?
In einem ersten Schritt müssen Unternehmen prüfen, ob sie als ein „Betreiber kritischer Anlagen“ i.S.d. § 2 Nr. 1 KRITISDachG in den Anwendungsbereich des Gesetzes fallen. Erfasst sind prinzipiell nur Unternehmen, die Dienstleistungen in einem oder mehreren der in § 4 KRITISDachG aufgezählten Sektoren erbringen, unter anderem aus den Bereichen Energie, Transport und Verkehr, Gesundheitswesen, Informationstechnik, Telekommunikation und der Abfallentsorgung. Das KRITISDachG adressiert Unternehmen aus diesen Bereichen allerdings nur, wenn deren Betrieb eine so relevante Größe erreicht, dass ein Ausfall oder eine Beeinträchtigung zu erheblichen Versorgungsengpässen oder zur Gefährdung der öffentlichen Sicherheit führen kann. Ausgangsbasis ist dabei insbesondere der in § 5 Abs. 2 Satz 2 KRITISDachG bestimmte Regelschwellenwert von 500.000 Einwohnern, die von einer Anlage versorgt werden. Das Bundesinnenministerium (BMI) hat Ende Mai einen Referentenentwurf zu einer neuen KRITIS-Verordnung vorgelegt, die diese Anforderung für die einzelnen Sektoren weiter konkretisiert.5 Die vom KRITISDachG adressierten Sektoren überschneiden sich in vielen Fällen mit den von NIS-2 adressierten Unternehmen, auch wenn sich die jeweiligen Voraussetzungen für eine Betroffenheit unterscheiden. Fallen Unternehmen unter beide Regularien, sollten die Anforderungen idealerweise durch dieselbe Stelle umgesetzt werden, um die Prozesse für die Registrierung auf der Plattform, die Erstellung von Schutzkonzepten und die Dokumentation getroffener Maßnahmen so effizient wie möglich zu halten.
Ist das KRITISDachG anwendbar, müssen sich Betreiber einer kritischen Anlage nach § 8 Abs. 1 Nr. 1 bis 5 KRITISDachG „spätestens drei Monate, nachdem eine Anlage als kritische Anlage gilt, frühestens jedoch bis einschließlich zum 17. Juli 2026“ unter Angabe der dort genannten Informationen registrieren. Beginn und Ende des Zeitraums für die Registrierung sind mit „frühestens [...] bis einschließlich zum 17. Juli 2026“ etwas missverständlich formuliert. Theoretisch lässt diese Formulierung auch die Interpretation zu, dass die drei Monate für die Registrierung frühestens ab dem 17. Juli zu laufen beginnen. Die aktuell verbreitetere – und mutmaßlich auch vom Gesetzgeber intendierte – Lesart ist allerdings, dass die Registrierungspflicht für bereits zum Inkrafttreten des Gesetzes im März als kritische Anlage einzustufende Betriebe am 17.07.2026 abläuft.6 Die Registrierung verläuft ähnlich wie die Registrierung für von NIS-2 betroffene Einrichtungen in § 33 Abs. 1 BSIG. Auch hier bedarf es zunächst eines Accounts für digitale Verwaltungsleistungen bei „Mein Unternehmenskonto“ (MUK), mit dem dann die „eigentliche“ Registrierung im gemeinsamen Portal vorgenommen werden kann.7 Bei Unternehmen, die dort bereits als „besonders wichtige Einrichtungen“ oder „wichtige Einrichtungen“ nach NIS-2 registriert sind, dürfte die Registrierung daher deutlich schneller ablaufen. Eine bereits erfolgte Registrierung nach NIS-2 deckt allerdings noch nicht die Registrierungspflichten nach dem KRITISDachG ab, die zusätzliche Betreiber- und Anlagendaten für das BBK beinhalten müssen.8
Auch im Rahmen des KRITISDachG gilt, dass betroffene Unternehmen die Bedienung des Portals nicht an externe Dienstleister auslagern sollten. Denn im Ernstfall ist es wichtig, dass Mitarbeiter aus dem Unternehmen vorher mit dem Portal vertraut sind, um Vorfälle schnell gegenüber den Behörden melden zu können. Über eine unternehmensinterne Bündelung von Registrierungs- und etwaigen Meldeverantwortungen für NIS-2 und das KRITISDachG können und sollten dabei Synergieeffekte genutzt werden.
III. Meldepflichten für Sicherheitsvorfälle
Bei einem Vorfall, also „ein[em] Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte“ (§ 2 Nr. 9 KRITISDachG), sind die Betreiber kritischer Anlagen zur unverzüglichen Meldung, spätestens 24 Stunden nach Kenntnis von dem Vorfall sowie einer fortlaufenden Aktualisierung dieser Meldung verpflichtet. Zudem müssen betroffene Unternehmen einen ausführlichen Bericht über den Vorfall erstellen.
Hierbei ergeben sich auf den ersten Blick Abgrenzungsfragen zum BSIG, das ebenfalls Meldepflichten vorsieht. Zu denken wäre etwa an eine Sabotage eines Glasfaserkabels, durch die sowohl eine Meldepflicht nach § 32 BSIG als auch nach § 18 KRITISDachG ausgelöst werden könnte. Es bleibt abzuwarten, ob die gemeinsame Meldestelle des BSI und BBK für derartige Konstellationen die Möglichkeit gleichlautender Meldungen für denselben Vorfall eröffnen wird. Dies wäre sehr zu begrüßen und dürfte für alle Beteiligten – also Unternehmen, BBK und BSI sowie weitere zuständige Behörden – zu einer effizienteren und abgestimmten Bearbeitung beitragen.
IV. Vorgesehene Risikoanalysen und Risikobewertungen
Bundes- und Landesministerien führen jeweils für die kritischen Dienstleistungen, für die eine Behörde ihres Geschäftsbereichs zuständig ist, Risikoanalysen und Risikobewertungen durch (§ 11 Abs. 1 KRITISDachG). Diese Risikoanalysen und -bewertungen verfolgen einen Alle-Gefahren-Ansatz. Nach ihrer länder- und sektorübergreifenden Auswertung bündelt das BMI sie zu einer nationalen Risikoanalyse und Risikobewertung (§ 11 Abs. 1 Satz 1 KRITISDachG). Das BMI erstellt sie im Bedarfsfall, jedoch mindestens alle vier Jahre (§ 11 Abs. 4 KRITISDachG) und übermittelt sie an die Betreiber kritischer Anlagen, soweit sie für diese relevant sind (§ 11 Abs. 6 KRITISDachG).
Auf den nationalen Risikoanalysen und Risikobewertungen aufbauend müssen Betreiber kritischer Anlagen eigene betreiberseitige Risikoanalysen und Risikobewertungen durchführen, und zwar ebenfalls im Bedarfsfall, mindestens jedoch alle vier Jahre. Erstmalig trifft diese Verpflichtung die Betreiber kritischer Anlagen neun Monate nach deren Registrierung (§§ 8 Abs. 7, 12 Abs. 1 KRITISDachG). Das KRITISDachG enthält in § 11 Abs. 2 einen Katalog an mindestens im Rahmen dieser Risikoanalysen zu berücksichtigenden Themen. Das BBK darf diese Anforderungen per Rechtsverordnung(en) noch inhaltlich und methodisch nachschärfen (§ 12 Abs. 3 KRITISDachG).
V. Vorgeschriebene Resilienz-Maßnahmen für betroffene Unternehmen
Die nationalen und betreiberseitigen Risikoanalysen sollen in konkreten Sicherheitsmaßnahmen resultieren, zu denen Unternehmen zehn Monate nach ihrer Registrierung als Betreiber einer kritischen Anlage verpflichtet sind. Diese Verpflichtungen beinhalten insbesondere die in § 13 KRITISDachG vorgeschriebenen Resilienz-Maßnahmen (dazu unter 1.) und für deren Umsetzung die Geschäftsführung persönlich haftet (dazu unter 2.).
1. Resilienz-Maßnahmen
Betreiber kritischer Anlagen sind nach § 13 Abs. 2 KRITISDachG zu verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Sicherheitsmaßnahmen nach dem Stand der Technik verpflichtet. Die Konkretisierung dieser unbestimmten Rechtsbegriffe steht noch aus. Prinzipiell ist das BMI ermächtigt, im Einvernehmen mit dem Bundesrat durch Rechtsverordnung sektorenübergreifende Mindestanforderungen zu bestimmen. Der aktuell vorliegende Referentenentwurf zur KRITIS-Verordnung konzentriert sich allerdings noch auf den Anwendungsbereich. Eine Konkretisierung der von den Betreibern kritischer Anlagen umzusetzenden Sicherheitsmaßnahmen steht noch aus. Anders als im Bereich der IT-Sicherheit, wo es mit den branchenspezifischen Sicherheitsstandards (B3S) eine Orientierung für betroffene Unternehmen gibt, fehlt es bislang an vergleichbaren Leitfäden für den Bereich des KRITISDachG. Eine entsprechende Möglichkeit für Branchenverbände, Konkretisierungen der Mindestanforderungen in den jeweiligen Branchen vorzuschlagen, ist auch in § 14 Abs. 2 Satz 1 KRITISDachG vorgesehen. Es bleibt zu hoffen, dass die Branchenverbände hier in Abstimmung mit den Behörden zeitnah mehr Klarheit schaffen.
Theoretisch könnte zusätzlich noch die Europäische Kommission die Anforderungen an die Resilienz-Maßnahmen konkretisieren und dazu vorrangig zu beachtende Mindeststandards vorgeben (§ 15 KRITISDachG). Soweit ersichtlich, gibt es hier aber bislang noch keine konkreten Vorhaben. Den durch das KRITISDachG adressierten Unternehmen bleibt zu wünschen, dass die für den Erlass von Standards in Betracht kommenden Stellen sich ihrer Verantwortung bewusst sind und keine sich widersprechenden Vorgaben erlassen werden. Denn ansonsten müssten die jeweiligen Compliance-Abteilungen voneinander abweichende Standards selbst in ein Rangverhältnis setzen. Aktuell kann den Betroffenen nur zur Implementierung eines laufenden Monitoringprozesses geraten werden, der etwaige Konkretisierungen und Empfehlungen von fachkundigen Stellen identifiziert und die verschiedenen regulatorischen Ebenen im Blick behält.
Betreiber kritischer Anlagen müssen zudem einen Resilienzplan erstellen, der die Erwägungen hinter den gewählten Sicherheitsmaßnahmen erläutert und Bezug auf die betreiberseitigen Risikoanalysen und Risikobewertungen nimmt (§ 13 Abs. 4 KRITISDachG). Es ist vorgesehen, dass das BBK Vorlagen und Muster zur Erstellung dieser Resilienzpläne auf seiner Internetseite bereitstellt. Bislang ist dies noch nicht geschehen.
Zusammengefasst dürften Betreiber kritischer Anlagen derzeit noch etwas „in der Luft hängen“, was die konkret von ihnen umzusetzenden Resilienz-Maßnahmen anbelangt. Es bleibt zu hoffen, dass hier zeitnah weitere Orientierungshilfen durch das BBK und die jeweiligen Branchenverbände zur Verfügung gestellt werden.
2. Die Haftung der Geschäftsleitung
Das KRITISDachG nimmt die Geschäftsleitung von Betreibern kritischer Anlagen für die Umsetzung und Überwachung der beschriebenen Resilienz-Maßnahmen in die Pflicht, die dafür geeignete Organisationsmaßnahmen treffen muss (§ 20 KRITISDachG). Geschäftsleitungen müssen dabei nicht jedes technische Detail selbst regeln, sondern über dafür geeignete Stellen im Unternehmen auf den Weg bringen sowie deren Umsetzung und Ausführung kontinuierlich überwachen.9 Sofern die bestehenden Strukturen dazu nicht in der Lage sind, kann dies auch bedeuten, dass zusätzliches Personal eingestellt oder vorhandenes Personal geschult werden muss. Auch bei der Einschaltung von Hilfspersonen bleibt das Leitungsorgan allerdings in jedem Fall letztverantwortlich.10 Gemäß § 20 Abs. 2 Satz 1 KRITISDachG soll die Geschäftsleitung dabei unter Einbeziehung der gesellschaftsrechtlichen Regeln für schuldhaft verursachte Schäden haftbar gemacht werden können. Dabei dürften grundsätzlich auch die gesellschaftsrechtlichen Haftungsprivilegien der sog. Business Judgement Rule greifen, nach der die Mitglieder eines Leitungsorgans nicht für vernünftige Entscheidungen auf Grundlage angemessener Informationen im Interesse der Gesellschaft haftbar gemacht werden können. Konkret bedeutet dies: Leitet die Geschäftsführung die nach dem KRITISDachG vorgesehenen Sicherheitsmaßnahmen in die Wege und trifft dabei eine sachlich nachvollziehbare Entscheidung für eine bestimmte Sicherheitsinfrastruktur, kann sie nicht in die persönliche Haftung genommen werden, wenn es gleichwohl zu Sicherheitsvorfällen mit Schäden für das Unternehmen kommt. Allerdings entlastet die Business Judgement Rule nur bei unternehmerischen Entscheidungen, sie befreit gerade nicht von der Pflicht, gesetzliche Anforderungen wie hier aus dem KRITISDachG einzuhalten. Würde sich die Geschäftsleitung also dafür entscheiden, einzelne Vorgaben aus dem KRITISDachG einfach vollständig zu ignorieren, bestände daher ein nicht unerhebliches persönliches Haftungsrisiko. Diese Haftungsrisiken dürften insbesondere auch die in § 24 KRITISDachG enthaltenen Bußgeldtatbestände für eine nicht ordnungsgemäße Umsetzung der gesetzlichen Anforderungen umfassen. Theoretisch wäre sogar eine Haftung für etwaige Folgeschäden von Vorfällen im Unternehmen denkbar.11
VI. Weiteres und Ausblick
Das KRITISDachG wird die Compliance-Anforderungen und damit verbundene Bürokratie für die Betreiber kritischer Anlagen erhöhen. Wenn damit am Ende ein deutlich höheres Schutzniveau für diese Unternehmen einhergeht, könnte sich dieser Aufwand am Ende trotzdem lohnen. Inwieweit dies so sein wird, lässt sich in Anbetracht der noch ausstehenden Konkretisierung der zu treffenden Resilienz-Maßnahmen aktuell nur schwer prognostizieren. Selbst im Referentenentwurf des BMI zur KRITIS-Verordnung heißt es deshalb unter dem einleitend zu nennenden Erfüllungsaufwand für die Wirtschaft noch: „Für die Wirtschaft entsteht Erfüllungsaufwand, der in seiner Gesamtheit zum jetzigen Zeitpunkt noch nicht geschätzt werden kann. Denn bislang ist der Umfang der Resilienzverpflichtungen der Betreiber kritischer Anlagen nicht festgelegt“. Es wäre deshalb zum aktuellen Zeitpunkt verfrüht, ein abschließendes Fazit zum KRITISDachG und dessen Umsetzung zu treffen. Betreiber einer kritischen Anlage müssen jetzt das Beste aus dieser Situation machen und sich noch innerhalb der Frist zum 17.07.2026 als solche registrieren. Da den Branchenverbänden eine nicht unerhebliche Rolle bei der Konkretisierung der Anforderungen aus dem KRITISDachG zukommen könnte, bietet es sich zudem an, dort für lebensnahe, umsetzbare und gewinnbringende Standards zu werben.
Trotz der aktuell noch bestehenden Unklarheiten und fehlenden Konkretisierung einzelner gesetzlicher Pflichten müssen Unternehmen und ihre Geschäftsleitungen den weiteren Prozess unverzüglich anstoßen. Nach der Registrierung als Betreiber einer kritischen Anlage gehört dazu insbesondere eine Analyse bestehender Risiken für die Resilienz des Unternehmens. Außerdem müssen weitere Konkretisierungen der zu treffenden Resilienz-Maßnahmen eng im Blick behalten werden. Gerade für die Geschäftsleitung gilt spätestens ab dem 17.07.2026 „Better Safe than Sorry!“
