Thought Leadership
Der Bundestag hat am Donnerstag das Gesetz zur Stärkung der Resilienz kritischer Anlagen beschlossen. Damit werden EU-Vorgaben in nationales Recht umgesetzt.
Mit dem heute verabschiedeten Kritis-Dachgesetz setzt Deutschland die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um. Die Bundesregierung will damit die Widerstandsfähigkeit der Wirtschaft und die Versorgungssicherheit der Bevölkerung stärken. Die Verabschiedung erfolgt mit erheblicher Verzögerung: Die EU-Frist zur Umsetzung der Richtlinie war bereits im Oktober 2024 abgelaufen. Wegen der Versäumnisse hatte die EU-Kommission ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet.
Mit den Stimmen von Union, SPD und AfD erhielt das Gesetz nach einstündiger Aussprache klar die nötige Mehrheit. Bündnis 90/Die Grünen und Die Linke stimmten dagegen. Einen Antrag der Grünen-Fraktion lehnte der Bundestag ab. Dieser hatte unter anderem eine einheitliche Meldestelle, die Aufnahme der öffentlichen Verwaltung in den Schutzbereich und die Stärkung der Unabhängigkeit des BSI gefordert.
Registrierung und Meldepflichten für Betreiber
Das Gesetz regelt die Identifizierung und Registrierung von Betreibern kritischer Anlagen sowie von Einrichtungen mit besonderer Bedeutung für Europa. Künftig müssen Betreiber nationale Anforderungen für Resilienzmaßnahmen erfüllen. Zudem wird ein Meldewesen für Vorfälle eingeführt. Geplant sind außerdem nationale Risikoanalysen und Risikobewertungen für kritische Dienstleistungen.
Schwellenwert bei 500.000 Einwohnern
Das Gesetz sieht einen Regelschwellenwert von 500.000 versorgten Einwohnern vor. Erst wenn eine Anlage diesen Wert überschreitet, unterliegt der Betreiber den gesetzlichen Anforderungen. Der Bundesrat hatte in seiner Stellungnahme eine Absenkung auf 150.000 Personen gefordert, da die Mehrheit der Bevölkerung von kleineren Betreibern versorgt werde. Die Bundesregierung lehnte dies ab, zeigte sich aber offen für Regelungen, die den Ländern Spielräume bei der Identifizierung von Kritis-Anlagen unterhalb des Schwellenwerts einräumen.
Bitkom: Grundsätzliches Lob und deutliche Kritik
Der Digitalverband Bitkom begrüßte derweil grundsätzlich die Verabschiedung des Gesetzes. Die Dringlichkeit habe sich Anfang Januar durch den tagelangen Stromausfall in Berlin erneut gezeigt, erklärte Bitkom-Präsident Dr. Ralf Wintergerst. Das Gesetz bilde “die rechtliche Grundlage für ein deutlich verbessertes Schutzniveau”. Allerdings forderte er die Politik auf, Unternehmen bei der Umsetzung konkret zu unterstützen, etwa durch Förderprogramme.
Wintergerst kritisierte scharf, dass ein erheblicher Teil der Bundesverwaltung vom Gesetz ausgenommen ist und Landesverwaltungen überhaupt nicht adressiert werden. “Staat und Verwaltungen dürfen in diesen für unser Gemeinwesen zentralen Bereichen nicht hinter das Schutzniveau privater Anlagen zurückfallen”, mahnte der Bitkom-Präsident.
Cyber Intelligence Institute: “Erster Schritt auf langem Weg”
Auch das Cyber Intelligence Institute (CII) bewertete die Verabschiedung des Gesetzes als überfälligen Schritt zur Stärkung der Resilienz in Deutschland. CII-Research-Direktor Prof. Dr. Dennis-Kenji Kipker erklärte, das Gesetz schaffe erstmals grundlegende Klarheit, wie Energieversorger, Wasserwerke und andere Betreiber ihre kritischen Infrastrukturen künftig zu schützen haben.
Unverständlich seien jedoch auch für ihn die Ausnahmen der öffentlichen Verwaltung, die der gegenwärtigen Bedrohungslage in keinster Weise gerecht würden. “Jetzt kommt es darauf an, dass Unternehmen und Staat bei der Umsetzung an einem Strang ziehen”, so Kipker.
Er mahnte zudem an, dass sich noch erweisen müsse, ob die Regelungen den zunehmenden hybriden Risiken standhalten und wo künftig Anpassungen erforderlich sind. In vielen Sektoren und Branchen fehlten noch einheitliche Umsetzungsstandards. “Damit ist das Kritis-Dachgesetz vor allem als erster Schritt auf einem langen Weg in Richtung hybrider Resilienz zu sehen, den wir jetzt zu gehen begonnen haben”, resümierte Kipker.
