Kritis-Dachgesetz geht in Umsetzung

Drei Jahre ist es her, dass die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie 2022/2557) in Kraft getreten ist. Im Oktober 2024 hätte sie bereits in nationales Recht umgesetzt werden sollen. Jetzt ist hierzulande immerhin der Anfang gemacht. Am 6. März hat nun auch der Bundesrat dem Kritis-Dachgesetz zugestimmt. „Der Gesetzesbeschluss ist ein Startschuss“, kommentiert Kerstin Andreae das Votum. Die Vorsitzende der Hauptgeschäftsführung des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) sieht darin „ein wichtiges – wenn auch überfälliges – Signal.“

Ein Signal, dem bis zuletzt politisches Ringen vorangegangen ist – und das noch eine Weile weitergehen dürfte. Zeit für die Umsetzung der Maßnahmen ist bis 17. Juli 2026. Auch wenn sie zugestimmt haben, zufrieden sind die Länder mit dem Papier nicht. Moniert wird etwa, dass der Schwellenwert für kritische Infrastruktur nicht wie von ihnen vorgeschlagen auf 150.000 versorgte Einwohner abgesenkt wird.

Zudem kommt Kritik wegen Unklarheiten mit Blick auf die praktische Umsetzung bei der Öffnungsklausel, die es den Ländern individuell ermöglichen soll, weitere kritische Anlagen zu identifizieren. Gerade im Energiebereich könne die Regelung zu Problemen führen, da Strom- und Gasnetze als Verbundsysteme ausgestaltet seien, deren Stabilität nicht an Landesgrenzen haltmache, heißt aus der Länderkammer.

VKU: Resilienz nicht zum Nulltarif

Differenziert wertet die Regelung der Verband kommunaler Unternehmen (VKU). „Die Einigung ist ein wichtiger Schritt für den Schutz kritischer Infrastrukturen. Die Unternehmen haben damit endlich Rechts- und Planungssicherheit für ihre Investitionen“, wird VKU-Hauptgeschäftsführer Ingbert Liebing in einer Mitteilung seines Hauses zitiert. Die Bundesregierung müsse „nun schnell die nationale Risikoanalyse und -bewertung vorlegen“, fordert er. 

Auch neue Meldepflichten, etwa für kritische Komponenten, müssten praxistauglich ausgestaltet werden. Der Bund sei gefordert, nun sämtliche Spielräume zur Unterstützung der notwendigen Investitionen auszuschöpfen, betont der Verbandschef. „Resilienz gibt es nicht zum Nulltarif“.
 Zügiges Handeln vom Bund fordert auch seine Kollegin vom BDEW. „Betreiber brauchen schnell Klarheit und belastbare Vorgaben, um Risiken realistisch bewerten und wirksame Schutzmaßnahmen ergreifen zu können“, so Andreae. Dazu gehörten die Umsetzung der Verordnung, klare und verbindliche Anforderungen und eine Verzahnung mit der NIS-2-Umsetzung. Es brauche abgestimmte, effektive Maßgaben – einschließlich sachlich differenzierter Schwellenwerte. 

BDEW: Weitere Schritte zur Drohnenabwehr

Zudem weist Andreae auf die Notwendigkeit tragfähiger Finanzierungsregelungen für Schutzmaßnahmen, weitere Schritte zur Drohnenabwehr und eine Neubewertung von Transparenzpflichten hin. „Insbesondere dort, wo staatliche Systeme nicht vor Ort verfügbar sind, braucht es die Möglichkeit einer sogenannten freiwilligen Beleihung von Betreibern oder Dritten“, betont Andreae. Der BDEW meint damit „die Übertragung hoheitlicher Aufgaben und Befugnisse auf privatwirtschaftliche Akteure, um sie zum Umgang mit verdächtigen Drohnen zu befähigen“. Wichtig sei, dass „vollständige Kostenneutralität und klare Haftungsregelungen gelten.“

Das Kritis-Dachgesetz definiert Mindeststandards für den Schutz kritischer Infrastrukturen vor physischen Angriffen, verpflichtet zur Erstellung von Risiko- und Resilienzplänen sowie zur Einführung von Krisenmanagementsystemen und zur Meldung größerer Störungen oder Vorfälle an Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Was Unternehmen konkret tun müssen, wird erst in entsprechenden Gesetzen und Verordnungen des Bundesinnenministeriums oder der Fachministerien oder durch branchenspezifische Sicherheitsstandards geregelt.