Bis zu 1.500 Betriebe künftig bei Schutz kritischer Infrastruktur in der Pflicht

Berlin – Das Bundeskabinett will morgen die Grundlagen für einen besseren Schutz wichtiger kritischer Infra­struktur in Deutschland auf den Weg bringen. Wie es aus dem Bundesinnenministerium hieß, sollen 1.400 bis 1.500 Unternehmen aus Bereichen wie Energie- oder Gesundheitsversorgung verpflichtet werden, sich gegen Ausfälle aufgrund von Naturkatastrophen beziehungsweise Sabotage- oder Terrorakten zu schützen.

Der Entwurf für das sogenannte Kritis-Dachgesetz sieht dabei Bußgelder vor, wenn dies versäumt wird oder staatliche Vorgaben nicht eingehalten werden. Sie reichen je nach Verstoß von 50.000 bis 500.000 Euro.

Gleichzeitig werden in der Vorlage die erwarteten Kosten für die Wirtschaft vorläufig beziffert. Demnach geht die Bundesregierung von einer einmaligen Belastung der Wirtschaft von 1,7 Milliarden Euro aus. Im Anschluss werden die Kosten auf 500 Millionen Euro pro Jahr geschätzt.

Allerdings verweist der Gesetzentwurf darauf, dass der gesamte Erfüllungsaufwand noch nicht benannt werden kann, weil der Umfang der Verpflichtungen erst noch im Detail in einer Rechtsverordnung festgelegt werden muss.

Mit dem Kritis-Dachgesetz setzt Deutschland eine EU-Richtlinie aus dem Jahr 2023 um. Sie geht von einem „All-Gefahren-Ansatz“ aus, der alle möglichen Risiken umfassen soll. In dem Gesetz geht es dabei um physische In­frastruktur, Gefährdungen der IT-Sicherheit etwa durch Cyberangriffe werden bereits durch ein anderes Bundes­gesetz geregelt.

Das Kritis-Dachgesetz legt fest, welche Infrastruktur-Einrichtungen unentbehrlich dafür sind, um die Versorgung der Bevölkerung zu sichern und die Wirtschaft aufrechtzuerhalten. Dies betrifft elf Sektoren: Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung, Gesundheitswesen, Wasser, Ernährung, Informa­tionstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung und Öffentliche Verwaltung.

Nach dem Beschluss in Bundestag und Bundesrat soll das Gesetz Mitte kommenden Jahres in Kraft treten. Dann müssten sich zunächst die betroffenen Unternehmen und Einrichtungen bis zum 17. Juli 2026 registrieren. Sie sind dann verpflichtet, nach staatlichen Vorgaben sogenannte Resilienzpläne aufstellen, um ihre Schutzmaßnah­men darzustellen. Diese müssen dann bis spätestens Mai 2027 umgesetzt sein.

Verpflichtet werden die Betreiber fortan auch, sicherheitsrelevante Vorfälle spätestens nach 24 Stunden zu mel­den. Dazu soll ein gemeinsames Online-Portal des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) genutzt werden, das bereits Cyber­vorfälle erfasst.

afp