KRITIS-Dachgesetz
Parallel zur NIS-2 Richtlinie ist im Januar 2023 die EU CER Richtlinie (Critical Entities Resilience) in Kraft getreten. Die Fristen haben – wie bei der NIS-2 – eine Umsetzung durch die EU-Mitgliedsstaaten bis zum 17.10.2024 gefordert, und die CER soll innerhalb der EU ab dem 18.10.2024 angewendet werden. Das KRITIS-Dachgesetz ist das Umsetzungsgesetz der CER in Deutschland. Mit Datum vom 21.12.2023 ist zuletzt ein Referentenentwurf veröffentlicht worden, allerdings ist aus heutiger Sicht ein rechtzeitiges Inkrafttreten fraglich, ebenso wie bei der NIS-2. Es ist ein eigenständiges Gesetz, also kein Artikelgesetz wie z.B. das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Primäre Aufsichtsbehörde wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Mit dem KRITIS-Dachgesetz soll die Resilienz kritischer Anlagen nach dem All-Gefahrenansatz gestärkt werden. In Abgrenzung zumNIS2UmsuCG, welches die IT-Sicherheit kritischer Anlagen und entsprechender Einrichtungen stärken soll, soll das KRITIS-Dachgesetz den physischen Schutz dieser Anlagen und deren Widerstandsfähigkeit stärken. Es tritt damit ergänzend neben das NIS2UmsuCG. Allerdings sollen alle Rechtsverordnungen betreffs KRITIS-Dachgesetz und NIS2UmsuCG harmonisiert werden.
Betreiber kritischer Anlagen, die analog zum IT-Sicherheitsgesetz (IT-SiG) durch Rechtsverordnung festgelegt werden, müssen erstmals 9 Monate nach Registrierung einer Anlage und danach alle 4 Jahre eine Risikoanalyse und -bewertung durchführen. Diese Risikoanalyse soll auf einer nationalen Risikoanalyse aufsetzen, die von der BBK erstmalig bis zum 17.01.2026 zur Verfügung gestellt werden soll. Dabei sind alle, die Wirtschaftsstabilität beeinträchtigenden, naturbedingten, klimatischen und vom Menschen verursachten Risiken zu berücksichtigen. Auf Basis dieser Risikoanalysen müssen Betreiber kritischer Anlagen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz nach dem Stand der Technik umsetzen. Diese Maßnahmen umfassen die Bereiche BCM / Notfallmanagement, physische Sicherheit, Personal sowie Risiko- / Krisenmanagement, sind in einem Resilienzplan zu dokumentieren.
Störungen sind vom Betreiber kritischer Anlagen unverzüglich an die Aufsichtsbehörde zu melden. Darüber hinaus sieht das KRITIS-Dachgesetz Bußgelder vor, die im letzten Referentenentwurf aber noch nicht quantifiziert sind. Schließlich sind Pflichten und Haftung der Geschäftsleitung im KRITIS-Dachgesetz analog zum NIS2UmsuCG vorgesehen.
Die wesentlichen Pflichten für Betreiber kritischer Anlagen, z.B. Risikoanalysen und Maßnahmenumsetzung, sollen erst am 17.06.2026 in Kraft treten. Damit ist derzeit eine nicht unerhebliche Übergangszeit vorgesehen.
Die Anforderungen aus dem KRITIS-Dachgesetz gelten verpflichtend nur für Betreiber kritischer Anlagen. Die Rechtsverordnung, in der kritische Anlagen festgelegt werden, soll für das KRITIS-Dachgesetz und das NIS-2-Umsetzungsgesetz gleich sein, um einen einheitlichen Regulierungsrahmen zu schaffen.
Wir bieten Ihnen ein spezielles Leistungsspektrum an. Kontaktieren Sie uns.