Politik

Gesetzentwurf für Schutz kritischer Infrastruktur lässt Kostenfragen offen

  • Mittwoch, 19. Juli 2023
/Denys Rudyi, stock.adobe.com
/Denys Rudyi, stock.adobe.com

Berlin – Um die Versorgung der Bevölkerung mit Strom, Trinkwasser und anderen essenziellen Gütern wie der gesundheitlichen Versorgung jederzeit sicherzustellen, sollen künftig strengere gesetzliche Schutzvorschrif­ten für Einrichtungen der kritischen Infrastruktur gelten. Das sieht ein Referentenentwurf des KRITIS-Dachge­setzes aus dem Bundes­innenministerium (BMI) vor, der dem Deutschen Ärzteblatt vorliegt.

Der Entwurf ist in die Ressortabstimmung gegangen. Das Bundesministerium für Gesundheit (BMG) teilte auf Nachfrage mit, der Entwurf liege erst seit wenigen Tagen vor. Er werde derzeit geprüft.

Zur kritischen Infrastruktur im Sinne des Gesetzes zählen mehrere Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, öffentliche Verwaltung, Ernährung, Trinkwasser, Abwasser, Siedlungsabfall­ent­sorgung, Informationstechnik, Telekommunikation, Weltraum und auch das Gesundheitswesen.

Die Anforderungen aus dem geplanten neuen Gesetz müssen, wenn das KRITIS-Dachgesetz verabschiedet ist, alle großen Betreiber kritischer Infrastruktur erfüllen. Das Bemessungskriterium für die Identifizierung von kritischen Anlagen im Sinne des KRITIS-Dachgesetzes soll nach Informationen des BMI ein Richtschwellen­wert von 500.000 zu versorgenden Einwohnern sein. Die Rechtsverordnung muss aber noch erstellt werden.

„Für die einzelnen Branchen werden entsprechende Kriterien pro Jahr berechnet. Dies entspricht der bereits bestehenden Identifizierung von kritischen Infrastrukturen nach der BSI-Kritisverordnung“, erläuterte ein BMI-Sprecher dem Deutschen Ärzteblatt. „Nach der aktuellen Fassung der BSI-Kritisverordnung besteht der Schwellenwert für beispielsweise Krankenhäuser beim Bemessungskriterium „Vollstationäre Fallzahl / Jahr“ bei 30.000.“

Unscharf bleibt in dem Referentenentwurf, welche Aufgaben damit exakt auf die Krankenhäuser zukommen, um sich vor etwa Cyberangriffen zu schützen. Die Kliniken werden wie die anderen Betreiber von kritischer Infrastruktur im Entwurf verpflichtet „geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatori­sche Maßnahmen“ treffen müssen, um bestimmte Resilienzziele zu erreichen.

„Dazu zählt, Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherzustellen“, teilter der BMI-Sprecher mit. Er wies darauf hin, dass in einem Anhang zum Gesetz Maßnahmen aufgeführt sind. Dazu gehören etwa Objektschutz, Risiko- und Krisenmanagement, Maß­nahmen zur Aufrechterhaltung des Betriebs wie zum Beispiel die Notstromversor­gung.

„Welche Maßnahmen von einem Betreiber konkret und passgenau zu treffen sind, muss dieser aufgrund von gesetzlich verpflichtenden Risikoanalysen und -bewertungen für sein spezifisches Unternehmen ermitteln“, betonte der Sprecher weiter.

Im Referentenentwurf vorgesehen sei auch die Möglichkeit, dass die Betreiber und ihre Branchenverbände branchenspezifische Resilienzstandards erarbeiten, mit denen die Anforderungen des KRITIS-Dachgesetzes gewährleistet werden könnten. Bereits bestehende gesetzliche Regelungen blieben vom KRITIS-Dachgesetz unberührt.

Völlig offen ist derzeit noch, mit welchen Kosten die Krankenhäuser und anderen Betreiber künftig rechnen müssen – und ob diese ausgeglichen werden. Der BMI-Sprecher betonte, es könnten noch keine Zahlen mitge­teilt werden. „Der Erfüllungsaufwand für die Wirtschaft wird im Rahmen der Ressortabstimmung ermittelt.“

Der vom Bundesinnenministerium an die anderen Ressorts der Regierung verschickte Entwurf sieht außerdem Bußgelder für Betreiber kritischer Infrastruktur vor, die ihren Verpflichtungen zur Absicherung von Anlagen und Geschäftsbetrieb nicht rechtzeitig nachkommen. Dabei wird ein sehr breiter Sicherheitsbegriff zugrunde gelegt, der von Alarmketten über den Schutz von Anlagen gegen Starkregen oder Waldbrände bis hin zur Anschaffung von Notstromaggregaten reicht. Die Höhe der Bußgelder ist aber noch offen.

Noch nicht ausbuchstabiert sind auch die Vorgaben zum „Einsatz kritischer Komponenten“. Dabei geht es um Bauteile und Produkte, bei denen Störungen oder mangelnde Verfügbarkeit zu erheblichen Beeinträchtigun­gen der Funktionsfähigkeit der kritischen Infrastruktur oder gar zu Gefährdungen für die öffentliche Sicher­heit führen könnten.

Eine zentrale Rolle bei der Registrierung und Beratung ist für das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn vorgesehen. Hier soll auch ein Lagebild erstellt werden. Damit soll dann beispielsweise auffallen, wenn es in einem bestimmten Sektor oder in mehreren Regionen Ausfälle oder Sabotageakte geben sollte.

Teil der im Entwurf für das Gesetz vorgesehenen Vorgaben sind auch Maßnahmen zur Anpassung an den Kli­ma­wandel. Um Vorfälle abzuwehren und die Folgen solcher Vorfälle zu begrenzen, sind die KRITIS-Unterneh­men aufgefordert, feste Abläufe für den Alarmfall zu etablieren.

Das neue Gesetz ergänzt bereits vorhandene Vorschriften wie beispielsweise die Trinkwasserverordnung oder gewisse DIN-Normen. Es gilt für einen etwas größeren Kreis von Unternehmen als das IT-Sicherheitsgesetz, das Unternehmen der kritischen Infrastruktur bereits verpflichtet, Angriffe auf ihre IT-Systeme beim Bundes­amt für Sicherheit in der Informationstechnik (BSI) zu melden.

Das KRITIS-Dachgesetz, mit dem gleichzeitig eine EU-Richtlinie zum Schutz kritischer Infrastruktur umgesetzt würde, soll noch in diesem Jahr im Kabinett beschlossen werden. Um die EU-Vorgaben (CER-Richtlinie) zu erfüllen, müsste das KRITIS-Dachgesetz spätestens im Oktober 2024 in Kraft treten.

Die im Entwurf genannten Maßnahmen, die Einrichtungen der kritischen Infrastruktur wider­standsfähiger machen sollen, sollten demnach bis zum 1. Januar 2026 umgesetzt sein. Die Bußgeldvorschrif­ten würden dann ein Jahr später in Kraft treten.

„Die Risiken für die digitalen Lebensadern unserer Gesellschaft bleiben extrem hoch. Deshalb ist das von uns immer wieder angemahnte Dachgesetz, das den Schutz kritischer Infrastrukturen endlich einheitlich angeht, also IT-Sicherheit und physischen Schutz künftig zusammendenkt, überfällig“, sagte der stellvertretende Vorsitzende der Grünen-Bundestagsfraktion, Konstantin von Notz.

Er sieht das Gesetz als „zweifellos eines der wichtigsten Vorhaben dieser Legislaturperiode“. Angesichts im Zuge des russischen Angriffskriegs noch einmal stark gestiegener Bedrohungslagen brauche man es dringend. Kritik übte er daran, dass der Referentenentwurf nicht wie geplant vor der Sommerpause vorlag – und dass es in den Medien ist, bevor es den Fraktionen des Parlaments vorgelegen hatte.

Von Notz stellte klar, es sei unter anderem zwingend, das bestehende Zuständigkeitswirrwarr beim Schutz der kritischen Infrastrukturen „endlich aufzulösen, klare Verantwortlichkeiten zu schaffen und zu vermeiden, dass es durch noch mehr Akteure noch mehr Unklarheit gibt“. Außerdem brauche es „zwingend Kohärenz mit den parallel vorgelegten EU-Richtlinien“.

dpa/may

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung