Thought Leadership
TeleTrusT kritisiert den Referentenentwurf zur Kritisverordnung grundlegend: Definitionslücken, handwerkliche Fehler und eine methodisch fragwürdige Schwellenwertlogik.
Welche Anlagen gelten in Deutschland als kritisch? Das soll die neue Kritisverordnung (KritisV) regeln, die das Bundesministerium des Innern Ende Mai als Referentenentwurf vorgelegt hat. Die Verordnung löst die bisherige BSI-Kritisverordnung ab und soll künftig als „gemeinsame Rechtsverordnung für physische Resilienz und IT-Sicherheit“ fungieren. Das Grundprinzip findet beim Bundesverband IT-Sicherheit TeleTrusT Zustimmung: mehr Einheitlichkeit, mehr Rechtssicherheit. Die Umsetzung allerdings weniger.
In einer Stellungnahme vom heutigen Montag moniert der Verband nicht nur redaktionelle, sondern auch „semantische und methodische Schwächen“. Und fragt sich, warum die Verordnung nach einer „ungewöhnlich langen Vorbereitungszeit“ noch immer in einem „nicht abgestimmten Entwurfsstadium“ steckt. Für die betroffenen Unternehmen hat das Konsequenzen: Sie würden „ohne Übergangsfrist materiell verpflichtet sein“.
Begriffe unklar, Verweise fehlerhaft
Schon im Grundsatz hapert es. Paragraph 1 KritisV nutzt den Begriff „Anlage“ als zentralen Anknüpfungspunkt, ohne ihn zu definieren. In Paragraph 7 taucht dasselbe Wort in einer anderen Bedeutung auf: Gemeint ist dort keine technische Anlage, sondern das klassische Einlagen- und Kreditgeschäft. Das erschließt sich erst aus einem späteren Absatz.
In den Anlagen der Verordnung häufen sich Fehler: Querverweise laufen ins Leere, eine Nummerierung ist doppelt vergeben und springt ohne Erklärung von 2.12 auf 2.16. Ein besonders drastisches Beispiel: Bei Computerreservierungsdiensten nennt Anlage 7 einen Schwellenwert von 20 Millionen Flugbuchungen pro Jahr, die Begründung geht hingegen von 200.000 aus. Einer der beiden Werte muss schlicht falsch sein.
Ein Schwellenwert aus dem Jahr 2005
Der schärfste Vorwurf trifft die Methodik. Herzstück der Verordnung ist ein Regelschwellenwert von 500.000 versorgten Personen, der schon im IT-Sicherheitsgesetz von 2015 stand und wiederum auf einen Stromausfall im Münsterland im November 2005 zurückgeht. Damals wurde abgeleitet, wie viele Menschen THW, Bundeswehr und Feuerwehren im Notfall versorgen könnten. Über 20 Jahre später gilt diese Zahl unverändert für alle Sektoren, von der Stromversorgung bis zu Weltraum und Telekommunikation.
„Die Schwellenwert-Methode in der hergebrachten Weise ist nicht im Mindesten geeignet, die tatsächlichen Risiken in ein angemessenes Verhältnis zum Anwendungsrahmen des Gesetzes zu bringen. Die Bezugsgröße von 500.000 versorgten Personen hielt und hält keiner Überprüfung stand, ist methodisch widerlegt und leider ein Risiko für sich.“
RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstand, HK2 Rechtsanwälte
Dass schon deutlich kleinere Ausfälle massive Probleme verursachen können, haben der Stromausfall in Berlin-Köpenick 2019 und ein weiterer im Berliner Südwesten im Frühjahr 2026 gezeigt. Auch der Bundesrat hat den Schwellenwert bereits kritisiert und eine Absenkung auf 150.000 Personen angeregt. Kaskadeneffekte, also Szenarien, in denen der Ausfall einer Anlage weitere Ausfälle auslöst, berücksichtigt der Entwurf ohnehin nicht.
EU-Vorgaben zu eng ausgelegt
Artikel 7 der CER-Richtlinie, die die KritisV umsetzen soll, verlangt mehr als eine Kopfzählung: sektorübergreifende Abhängigkeiten, geografische Auswirkungen, Substituierbarkeit und mögliche Störungsdauer sollen ebenfalls einfließen. Der Entwurf schaut aber fast ausschließlich auf die Zahl versorgter Personen.
Für digitale Infrastrukturen fordert TeleTrusT zusätzlich anlassbezogene Evaluierungen. Der vorgesehene Fünfjahresrhythmus sei angesichts sich schnell wandelnder Cloud-Architekturen und Bedrohungslagen zu starr. Das Grundprinzip der Verordnung hält Bartels trotz aller Kritik für richtig: „Es ist sinnvoll wie naheliegend, durch eine einheitliche Kritisverordnung die Anwendbarkeit sowohl des KRITIS-Dachgesetzes als auch des BSI-Gesetzes auszugestalten. Wir wünschen uns Klarheit für die Unternehmen und hoffen deshalb auf ein zügiges Umsetzen der überfälligen Verordnung.“ In der aktuellen Fassung aber bleibe der Entwurf „hinter den Anforderungen an eine rechtssichere, praktisch handhabbare und methodisch überzeugende Regulierung zurück“.
(lb/TeleTrust)
