VKU spricht von überfälligem Durchbruch: Bundesrat beschließt Kritis-Dachgesetz

Der Bundesrat hat dem Kritis-Dachgesetz zugestimmt. Damit werden erstmals einheitliche Standards für den physischen Schutz kritischer Infrastrukturen erlassen. Energie-, Wasser- und Telekommunikationsversorger sowie Abwasser- und Abfallbetriebe sollen künftig Risikoanalysen erstellen, Sicherheitsmaßnahmen umsetzen und schwere Störungen melden. Ziel ist, die Versorgung besser gegen Sabotage, extreme Wetterereignisse und Terrorangriffe zu schützen.

Der Verband kommunaler Unternehmen (VKU) begrüßte die Entscheidung. VKU-Hauptgeschäftsführer Ingbert Liebing sagt: „Das jahrelange Warten hat ein Ende. Die Einigung ist ein wichtiger Schritt für den Schutz kritischer Infrastrukturen. Die Unternehmen haben damit endlich Rechts- und Planungssicherheit für ihre Investitionen.“ Die Zustimmung des Bundesrats sei überfällig.

Nationale Risikoanalyse

Trotz des Beschlusses sieht der Verband weiteren Handlungsbedarf. Die Bundesregierung müsse „nun schnell die Nationale Risikoanalyse und -bewertung vorlegen“, sagt Liebing. Diese sei bereits seit Januar fällig und eine wichtige Grundlage für die Analysen der Unternehmen. Auch neue Meldepflichten, etwa für kritische Komponenten, müssten praxistauglich ausgestaltet werden. „Resilienz gibt es nicht zum Nulltarif“, so Liebing. „Der Bund ist gefordert, nun sämtliche Spielräume zur Unterstützung der notwendigen Investitionen auszuschöpfen.“

100-prozentige Sicherheit gibt es nicht

Liebing verwies zudem auf die Grenzen der Betreiber. „100-prozentige Sicherheit gibt es nicht“, sagt er. „Die Abwehr von Terrorangriffen bleibt Aufgabe von Bund und Ländern. Stadtwerke, Wasserversorger und Müllabfuhren sind nicht die Polizei.“

Gleichzeitig erneuert der VKU seine Vorschläge für den Schutz kritischer Infrastrukturen:

• Schutz kritischer Infrastrukturen zum überragenden öffentlichen Interesse erklären, um Abwägungen zu beschleunigen und Sicherheitsinteressen zu priorisieren.
• Neubewertung und Anpassung von Transparenzpflichten
• Infrastrukturbetreiber müssen heute viele Daten offenlegen, zum Beispiel durch Transparenzregeln, das Informationsfreiheitsgesetz oder Open-Data-Vorgaben. Dort, wo solche Offenlegungen aber die physische und/oder IT-Sicherheit gefährden, sollten die Regeln überprüft und angepasst werden. Der VKU begrüßt, dass dieser Aspekt in der Protokollerklärung der Bundesregierung aufgegriffen wurde.
• Nationale Gesamtstrategie und Risikoanalyse vorlegen, wie es die CER Richtlinie bereits seit Januar verlangt.
• Nationale Notfallreserve aufbauen, u. a. mit Großgeräten für Inselnetzversorgung binnen 24 Stunden.
• Finanzierung sichern, u. a. über die Ausnahme von der Schuldenbremse (Art. 109 GG) und das SVIK.

Hintergrund

Das Kritis-Dachgesetz soll erstmals Mindeststandards für den Schutz kritischer Infrastrukturen vor physischen Angriffen festlegen. Betreiber werden verpflichtet, Risikoanalysen und Resilienzpläne zu erstellen, Krisenmanagementsysteme einzuführen und größere Störungen an Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu melden.

Konkrete Schutzmaßnahmen schreibt das Gesetz nicht vor. Diese sollen später durch Verordnungen des Bundesinnenministeriums, der zuständigen Fachressorts oder durch branchenspezifische Sicherheitsstandards festgelegt werden. Betroffen sind insgesamt elf Sektoren, darunter Energie-, Wasser-, Abfall- und Telekommunikationswirtschaft.

Cyberangriffe werden durch die separate NIS2-Richtlinie adressiert.