Berlin (Reuters) -Die Bundesregierung will Betreiber von Netzen, Kraftwerke oder Wasserversorgung zu einem besseren physischen Schutz ihrer Anlagen verpflichten. Damit soll die Widerstandsfähigkeit gegen Gefahren wie Naturkatastrophen, Sabotage oder Terrorismus gestärkt werden, wie aus dem Gesetzentwurf hervorgeht, der der Reuters am Freitag vorlag. Das Gesetz schafft erstmals einen bundesweit einheitlichen Rahmen für den nicht-digitalen Schutz und tritt neben die bestehenden Regeln zur Cybersicherheit. Diese sind bereits in der kürzlich im Kabinett beschlossenen NIS-2-Richtlinie verankert. Die Bundesregierung übernimmt damit auch EU-Vorschriften in deutsches Recht.
Kern des sogenannten KRITIS-Dachgesetzes sind neue Pflichten für Unternehmen in Sektoren wie Energie, Verkehr, Finanzen, Gesundheit und Wasser. Sie müssen ihre Anlagen künftig registrieren, regelmäßig eigene Risikoanalysen vorstellen und auf dieser Basis einen Resilienzplan erstellen: Dazu zählen technische Sicherungen wie Zäune aber auch die Überwachung der Umgebung und der Einsatz von Detektoren. Ein zentraler Punkt ist zudem die strikte Kontrolle des Zugangs zu den Einrichtungen. Dazu zählen kommen Notstromversorgungen oder die Sicherung von Lieferketten. Erhebliche Störfälle müssen sie künftig an eine zentrale Meldestelle beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) melden. Bei Verstößen sind Bußgelder vorgesehen.
Organisatorisch müssen die Unternehmen Risiko- und Krisenmanagementverfahren etablieren und klare Abläufe für den Alarmfall definieren. Für den Ernstfall sind Maßnahmen zur Aufrechterhaltung des Betriebs, wie eine Notstromversorgung, und die Ermittlung alternativer Lieferketten vorgesehen, um die Dienstleistung schnell wiederherstellen zu können.
Der Entwurf konkretisiert zudem Punkte, die in früheren Diskussionen eine Rolle spielten. So wird eine Haftung der Geschäftsleitung für die Umsetzung verankert. Um der Wirtschaft Zeit zur Selbstregulierung zu geben, sollen die Bundesministerien zudem erst ab 2030 die Befugnis erhalten, sektorspezifische Mindestvorgaben per Verordnung zu erlassen. Diese richten sich auch nach der Bedeutung der Firmen: Wer etwa in mindestens sechs europäischen Ländern aktiv ist, muss entsprechend hohe Standards nachweisen.
Als kritisch gilt eine Anlage in der Regel, wenn sie mindestens 500.000 Einwohner versorgt, wobei die Schwellenwerte per Verordnung noch genau festgelegt werden.
Um Doppelbelastungen für die Unternehmen zu vermeiden, sind gemeinsame Melde- und Registrierungsplattformen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgesehen. Der Entwurf soll im September im Kabinett beschlossen werden.
(Bericht von: Markus Wacket, Christian Krämer; redigiert von Christian Rüttger Bei Rückfragen wenden Sie sich an unsere Redaktion unter berlin.newsroom@thomsonreuters.com (für Politik und Konjunktur) oder frankfurt.newsroom@thomsonreuters.com (für Unternehmen und Märkte).)
