Das Bundeskabinett hat im September das KRITIS-Dachgesetz (KRITIS-DachG) verabschiedet, mit dem die europäische CER-Richtlinie (EU) 2022/2557 in deutsches Recht überführt werden soll. Ziel des Gesetzes ist es, die Resilienz und Sicherheit kritischer Infrastrukturen (KRITIS) in Deutschland zu stärken und Betreiber zu wirksamen physischen und organisatorischen Maßnahmen zu verpflichten.
Die Dringlichkeit des Gesetzes ist unbestritten: Kritische Infrastrukturen geraten zunehmend ins Visier internationaler Spionage und Sabotage. Doch die Umsetzung ist bereits überfällig. Die nationale Frist vom 18. Oktober 2024 wurde nicht eingehalten, was dazu führte, dass die Europäische Kommission bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet hat.
Die Wirtschaft, vertreten durch Verbände wie Bitkom, unterstützt zwar die Notwendigkeit moderner Schutzmaßnahmen und klarer Zuständigkeiten, warnt jedoch vor den gravierenden negativen Folgen des aktuellen Gesetzesentwurfs für die betroffenen Unternehmen. Insbesondere die Gefahr der Doppelregulierung, unklare Kostenangaben und fehlende Rechtssicherheit stehen im Zentrum der Kritik.
Einer der zentralen Kritikpunkte aus Unternehmenssicht betrifft die mangelnde Harmonisierung mit der NIS2-Umsetzung. Trotz weitreichender inhaltlicher Überschneidungen bestehen Unterschiede zwischen den beiden Regelwerken, die in der Praxis zu Problemen führen. Abweichende Begriffsverwendungen und unterschiedlich ausgestaltete Anforderungen – etwa bei der personellen Sicherheit, Sicherheitsüberprüfungen oder alternativen Lieferketten – erschweren eine einheitliche Betroffenheitsprüfung und erhöhen die Komplexität unnötig.
Die Wirtschaft fordert nachdrücklich, eine Doppelregulierung konsequent auszuschließen. Viele Branchen unterliegen bereits etablierten Sicherheitskatalogen. Zusätzliche Regelungen aus dem KRITIS-DachG müssen diese bestehenden Vorgaben berücksichtigen, anstatt parallele Pflichten einzuführen. Die Überschneidungen beider Regulierungen (KRITIS-DachG und NIS-2) müssen konsequent angeglichen werden.
Für die betroffenen Unternehmen schafft der Entwurf erhebliche Unsicherheiten im Bereich des Erfüllungsaufwandes und der Planbarkeit:
1. Fehlende Transparenz beim Erfüllungsaufwand: Die Angaben zu den Kosten sind unzureichend. Der Entwurf stellt fest, dass der Erfüllungsaufwand in seiner Gesamtheit noch nicht geschätzt werden könne. Für die Unternehmen ist jedoch eine transparente und fortlaufend aktualisierte Aufwandsschätzung zwingend erforderlich, um die wirtschaftlichen Auswirkungen abschätzen zu können. Zudem bleibt offen, wie die Finanzierung der vorgesehenen Maßnahmen sichergestellt werden soll.
2. Umlagefähigkeit von Investitionen: Es wird gefordert, dass die Investitionen und Kosten der Wirtschaft zur Erhöhung der Resilienz und Sicherheit umlagefähig auf die Produkte und Dienstleistungen der betroffenen Unternehmen sein müssen.
3. Zu knappe Umsetzungsfristen: Durch die Verzögerung des Gesetzes und der zugrunde liegenden Rechtsverordnung verkürzt sich die zur Umsetzung erforderliche Zeit erheblich. Obwohl sich das Gesetz verzögert hat, bleibt die Registrierungsfrist für KRITIS-Betreiber im Entwurf auf Juli 2026 bestehen. Eine Anpassung der Frist ist notwendig, um Unternehmen eine ausreichende Zeit zur Vorbereitung und Implementierung zu gewährleisten.
Der aktuelle Entwurf wird als zu vage kritisiert. Für Betreiber entsteht keine verlässliche Rechtssicherheit. Die konkreten Pflichten ergeben sich erst später aus Rechtsverordnungen, deren Erlass das Gesetz im Wesentlichen festlegt. Um möglichst frühzeitig Klarheit und Planungssicherheit zu schaffen, wird gefordert, zentrale Regelungen weitestgehend direkt im Gesetz zu verankern und auf Rechtsverordnungen zu verzichten.
Zusätzlich sorgt die Möglichkeit, dass das Bundesministerium des Innern (BMI) im Einzelfall feststellen kann, ob eine Anlage erheblich ist – auch wenn die Kriterien der Rechtsverordnung nicht erfüllt sind (§ 5 Abs. 3) – für Kritik. Diese einseitige Bestimmung der Kritikalität kann zu rechtlicher Unsicherheit und Planungsproblemen für Unternehmen führen.
Um einen praxistauglichen Rechtsrahmen zu schaffen, ist die frühzeitige und kontinuierliche Einbindung von Wirtschaftsverbänden unverzichtbar. Auch im Meldewesen und bei der Registrierung kritischer Anlagen sehen Unternehmen Optimierungsbedarf:
• Zentrale Meldestelle: Meldungen im Ernstfall sollten ausschließlich an eine zentrale Stelle erfolgen und einheitlichen Kriterien folgen. Dies soll eine Zersplitterung zwischen Bundes- und Länderzuständigkeiten verhindern.
• Bestandsschutz: Unternehmen, die ihre Anlagen bereits beim BSI gemeldet haben, sollen kein erneutes Registrierungsverfahren durchlaufen müssen. Die Übernahme der bestehenden Daten würde unnötige Mehrbelastungen vermeiden.
• Zeitnahe Vorgaben: Es wird gefordert, dass Vorlagen, Muster und anderweitige Vorgaben des BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) möglichst frühzeitig vor Inkrafttreten der gesetzlichen Pflichten veröffentlicht werden, um Unternehmen Vorbereitungszeit zu geben.
Ein weiteres strukturelles Problem ist die unzureichende Einbeziehung der öffentlichen Verwaltung. Ein erheblicher Teil der Bundesverwaltung ist vom Gesetz ausgenommen und Landesverwaltungen werden nicht adressiert. Angesichts zahlreicher Angriffe auf die öffentliche Hand müssen Verwaltungseinrichtungen aller Ebenen systematisch im KRITIS-Dachgesetz berücksichtigt werden, da diese Infrastrukturen andernfalls weiterhin physischen Risiken ausgesetzt sind.
