Datenschutz und Cybersecurity

Physischer Schutz kritischer Infrastrukturen: Rat nimmt CER-Richtlinie an / Bundeskabinett verabschiedet Eckpunkte für KRITIS-Dachgesetz

Am 7. Dezember 2022 hat das Bundeskabinett die geänderten Eckpunkte für ein KRITIS-Dachgesetz (Link zu den Eckpunkten) angenommen. Die Verabschiedung des Dachgesetzes ist für kommendes Jahr geplant.

Mit dem KRITIS-Dachgesetz soll ein besserer physischer Schutz kritischer Infrastrukturen erreicht werden. Der Anfang November vorgestellte Entwurf wurde dabei nochmals deutlich überarbeitet. Maßnahmen sollen nun unter einem Finanzierungsvorbehalt stehen.

Inhaltlich soll das Gesetz klar regeln, wer unter den KRITIS-Begriff fällt. Jene, die vom KRITIS-Dachgesetz betroffen sind, sollen bei der Umsetzung unterstützt werden. KRITIS-Betreiber haben bei der Sicherung von Kritischen Infrastrukturen eine Abwägung zwischen Wirtschaftlichkeit und Risikoeintrittswahrscheinlichkeit durchzuführen. Neu ist u.a. auch der Ausbau des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) zur zentralen, übergreifenden Behörde zum physischen Schutz. Wobei dies unter dem angesprochenen Finanzierungsvorbehalt stehen soll. Von der Einführung einer zentralen Aufsicht wurde damit Abstand genommen. Vielmehr sollen die Vorgaben nach dem KRITIS-Dachgesetz ausdrücklich von den jeweiligen Aufsichtsbehörden wie der Bundesnetzagentur, der Bundesanstalt für Finanzdienstleistungen oder vergleichbaren Stellen beaufsichtigt werden, die dem BBK Sicherheitsvorfälle melden.

Mit dem KRITIS-Dachgesetz soll die kommende EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) umgesetzt werden, die der Europäische Rat am 8. Dezember 2022 angenommen hat (hier). Die CER-Richtlinie ergänzt wiederum die NIS-2-Richtlinie, die Cybersicherheit von KRITIS-Betreibern adressiert.