Streit um das Kritis-Dachgesetz : Kommt das Gesetz zum Schutz Kritischer Infrastruktur zu spät?
SPD und Grüne mahnen angesichts der gestiegenen Bedrohungslage zum Handeln beim Dachgesetz zu Kritischen Infrastruktur. Die Union sieht sich nicht in der Pflicht.
Brennende Kabelschächte an Bahnstrecken, die den Zugverkehr teilweise tagelang zum Erliegen bringen. Blockierte IT-Systeme in Krankenhäusern, die dazu führen, dass Rettungswagen die Kliniken nicht mehr anfahren. Ein sabotierter Hochspannungsmast, der die Stromversorgung einer Region lahmlegt: Szenarien wie diese zeigen, wie verwundbar die sogenannten Kritischen Infrastrukturen (KRITIS) sind. Sie werden immer häufiger bedroht.
Einigkeit über das Ziel besteht: Für das Gemeinwesen wichtige Einrichtungen wie die Stromversorgung sollen besser geschützt werden.
Nicht erst seit den zuletzt bekannt gewordenen Sabotageakten gibt es Forderungen, KRITIS besser zu schützen. Welche Unternehmen und Einrichtungen unentbehrlich sind, um die Versorgung der Bevölkerung zu sichern und die Wirtschaft aufrechtzuerhalten, soll künftig im KRITIS-Dachgesetz zur Umsetzung der sogenannten CER-Richtlinie der EU und zur Stärkung der Resilienz kritischer Anlagen festgelegt werden. Der Entwurf der Bundesregierung sieht unter anderem Mindeststandards für Betreiber Kritischer Infrastrukturen, eine Meldepflicht für Vorfälle innerhalb von 24 Stunden und ein zentrales Meldesystem für Störungen vor. Zudem soll es künftig regelmäßig Risikoanalysen und -bewertungen geben.
Zusammenarbeit der Akteure soll besser organisiert werden
"Mit dem Gesetz führt die Bundesregierung erstmals bundeseinheitliche und sektorenübergreifende Vorgaben ein", sagte Johann Saathoff (SPD) bei der ersten Beratung des Gesetzentwurfs am Donnerstagabend. "Wir sind verwundbar - sei es durch die Corona-Pandemie, Naturkatastrophen wie die Flut im Ahrtal, den russischen Angriff auf die Ukraine oder Sabotage an Pipelines oder Unterseekabeln", zählte Saathoff auf.
Ziel soll es sein, die Zusammenarbeit der beteiligten Akteure besser zu organisieren und Deutschland so vor Sabotage, Terroranschlägen, Naturkatastrophen oder menschlichem Versagen zu schützen, führte Saathoff aus. Das Gesetz soll für KRITIS-Betreiber in zehn Sektoren gelten: Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung. Bestimmte Vorgaben gelten ebenfalls für die Bundesverwaltung. Halten sich Betreiber nicht an die Regeln, sind Bußgelder vorgesehen.
Die Critical Entities Resilience-Richtlinie auf einen Blick
📃 Die Critical Entities Resilience-Richtlinie (CER) verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken.
⚔️ Ergänzend zur Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2), die Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen ausweitet, umfasst die CER auch den Schutz vor Naturkatastrophen, Terror- und Sabotageakten.
⚖️ Die Richtlinie gilt seit dem 16. Januar 2023 und soll durch das KRITIS-Dachgesetz in nationales Recht umgesetzt werden.
Redner von SPD und Grünen warben dafür, das Gesetz nicht in die nächste Legislaturperiode zu verschieben. Konstantin von Notz (Grüne) sagte, Deutschland erlebe täglich neue Angriffe auf die Kritische Infrastruktur. Diese "Lebensadern unserer Demokratie" müssten mit einer anderen Entschlossenheit geschützt werden, betonte er. Die Grünen hätten sich ein deutlich ambitionierteres Vorgehen gewünscht, jetzt könne es aber nicht "zwölf Monate einen Stillstand der Rechtspflege" geben, sagte von Notz in Richtung der Unionsfraktion. Angesichts einer deutlich gestiegenen Bedrohungslage brauche es klare Zuständigkeiten zum Beispiel für die Infrastruktur unter Wasser, aber auch für die Sicherheit gegen Gefahren aus der Luft, etwa durch Drohnen.
Union: Verbleibende Zeit reicht nicht, um Mängel am Gesetzentwurf zu beheben
Die Opposition kritisierte, das Gesetz komme zu spät und enthalte keine Schätzung des Erfüllungsaufwands für die Wirtschaft. Detlef Seif (CDU) betonte für die Unionsfraktion, es sei "ein Trauerspiel, dass die Bundesregierung es nicht geschafft hat, einen tauglichen Gesetzentwurf vor Ablauf der europarechtlichen Frist im Oktober vorzulegen." Inhaltlich gebe es zwar einige Verbesserungen gegenüber dem ersten Entwurf vom Sommer 2023, etwa bei den Zuständigkeiten der Bundesbehörden, insgesamt bleibe aber zu viel "offen, unbestimmt und vage". Die verbleibende Zeit der Legislatur reiche nicht aus, um die Mängel nachzubessern.
Sandra Bubendorfer-Licht (FDP) sagte, bei allen neuen Maßnahmen müsse mitgedacht werden, was die Unternehmen und die Menschen umsetzen können. Ihrer Fraktion gehen zudem die Kompetenzen des Innenministeriums bei der nachgelagerten Rechtsverordnung zu weit; hier müsse der Bundestag beteiligt werden.
Auch Steffen Janich (AfD) sagte, dass zur Wahrung des Parlamentsvorbehalts der Bundestag selbst festlegen müsse, welche konkreten Maßnahmen die KRITIS-Betreiber umsetzen sollen. Nicht nachvollziehbar sei, „warum der Anwendungsbereich des Gesetzes so viel weniger KRITIS-Betreiber umfasst, als NIS2 dies tut“, sagte Janich. Er hoffe jedoch, dass der Gesetzentwurf noch zeitnah beschlossen werden könne.