Die veränderte Sicherheitslage und die Dynamik hybrider Bedrohungen sind eine zunehmende Herausforderung für die staatlichen Sicherheitsakteure und die verantwortlichen Betreiber kritischer Anlagen, die im Rahmen der unternehmerischen Sicherheitsvorsorge zunächst eigene Maßnahmen zur Gewährleistung der Sicherheit treffen müssen. Im aktuellen Koalitionsvertrag der Bundesregierung ist als Zielstellung festgeschrieben: „Wir werden im Einklang mit europäischem Recht den staatlichen Einfluss auf kritische Infrastruktur sicherstellen, wenn Sicherheitsinteressen berührt sind.“[1]
Europäische Perspektiven
Mit der Europäischen Richtlinie über die Resilienz kritischer Einrichtungen (im Weiteren: CER-Richtlinie)[2] verpflichtete der europäische Verordnungsgeber den nationalen Gesetzgeber, Mindeststandards für ein einheitliches Sicherheitsniveau bis zum 17.10.2024 umzusetzen.
Die CER-Richtlinie ist von der NIS-2-Richtlinie[3] abzugrenzen, welche sich auf bessere Maßnahmen zur Cybersicherheit bezieht und in Artikel 1 definiert: „In dieser Richtlinie werden Maßnahmen festgelegt, mit denen in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, um das Funktionieren des Binnenmarktes zu verbessern.“
Die NIS-2-Richtlinie nimmt Bezug auf die Cybersicherheit, die CER-Richtlinie regelt den physischen Schutz Kritischer Infrastruktur und Anlagen. Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz und der Umsetzung der CER-Richtlinie soll ein ganzheitlicher und hybrider Schutz von kritischen Anlagen sowie wesentlichen und wichtigen Einrichtungen erzielt werden.[4]
Definition von kritischer Infrastruktur
Die CER-Richtlinie ist in sieben Kapitel gegliedert. Im ersten Kapitel greift der Verordnungsgeber die Notwendigkeit der genauen Definition auf und bestimmt „Kritische Infrastruktur“ in Art. 2 Nr. 4 als „Objekte, Anlagen, Ausrüstung, Netze oder Systeme oder Teile eines Objekts, einer Anlage, Ausrüstung, eines Netzes oder eines Systems, die für die Erbringung eines wesentlichen Dienstes erforderlich sind.“[5]
Ein „wesentlicher Dienst“ ist nach Art. 2 Nr. 5 „ein Dienst, der für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, wichtiger wirtschaftlicher Tätigkeiten, der öffentlichen Gesundheit und Sicherheit oder der Erhaltung der Umwelt von entscheidender Bedeutung ist.“[6]
In den weiteren Kapiteln wird der europäische und nationale Rahmen für die Resilienz kritischer Einrichtungen festgelegt. Artikel 4 normiert, dass jeder Mitgliedstaat bis spätestens zum 17.01.2026 eine „Strategie zur Verbesserung der Resilienz“ zu verabschieden hat.[7]
Gemeinsame Risikobewertung
Neben der Strategie zur Verbesserung der Resilienz verpflichtet die CER-Richtlinie die Mitgliedstaaten bis zum 17.01.2026 zu einer gemeinsamen Risikobewertung, welche auf Grundlage einer gemeinsamen Bewertung der Sicherheitslage zu erstellen ist.
Die Risiken müssen menschlich verursachte Risiken berücksichtigen, „darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten.“[8]
Schließlich verpflichtet der europäische Gesetzgeber die Mitgliedstaaten in Artikel 9 der CER-Richtlinie zur Benennung einer zuständigen Behörde und zentralen Anlaufstelle.
Zwischenbefund
Der europäische Gesetzgeber hat mit der CER-Richtlinie den Rahmen definiert und die Mitgliedstaaten verpflichtet, einheitliche Sicherheitsstandards zur Erhöhung der Resilienz kritischer Anlagen bis zum 17.10.2024 zu erlassen.
Die Mitgliedstaaten müssen neben der nationalen Umsetzung auch eine Strategie zur Verbesserung der Resilienz vorlegen. Einheitliche Sicherheitsstandards können die „Resilienz des Gesamtsystems der Kritischen Infrastrukturen“[9] stärken und sind eine Reaktion auf die hybride und dynamische Sicherheitslage.
Nationale Perspektive
Die Bundesregierung definierte diese Absicht bereits in dem aktuellen Koalitionsvertrag und in dem Entwurf zu den „Eckpunkten für ein KRITIS-Dachgesetz“.[10] In diesen Eckpunkten ist u. a. festgehalten, dass „der Schutz kritischer Infrastruktur eine akteursübergreifende und gesamtstaatliche Aufgabe“ ist.[11] Diese gesamtstaatliche Ausrichtung beinhaltet einen ganzheitlichen Ansatz.
Die zuständigen Behörden sollen ihre Zusammenarbeit intensivieren. Gesetzliche Zuständigkeiten sind zu berücksichtigen, denn die unternehmerische Sicherheitsvorsorge liegt zunächst bei den jeweiligen Betreibern der kritischen Anlage.
Gleichwohl ist bspw. der Informationsaustausch zwingend erforderlich, um die „Resilienz des Gesamtsystems der Kritischen Infrastruktur (…) durch einheitliche Mindestvorgaben für Resilienzmaßnahmen in allen Sektoren zu stärken“ und einen staatlichen Rahmen für ein Meldewesen für Sicherheitsvorfälle und Kontrollen zu implementieren.[12]
Vereinfachung der Rechtsanwendung
Im Ergebnis ergeben sich folgende wesentlichen Regelungsinhalte: „KRITIS klar identifizieren, Risiken besser erkennen, Schutzniveau verbindlich erhöhen, Störung des Gesamtsystems erkennen und beheben sowie Schaffung eines institutionellen Rahmens.“[13]
Aus nationaler Perspektive ist festzuhalten, dass die Regelungen zum Thema „KRITIS“ zurzeit fragmentarisch und in verschiedenen Gesetzen auf Bundes- und Landesebene normiert sind, z. B. im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), in verschiedenen Gesetzen zum Katastrophenschutz in den Ländern (z. B. § 15 Sächsisches Katastrophenschutzgesetz[14]) oder im Raumordnungsgesetz[15] (vgl. § 2 Abs. 2 Nr. 3 ROG).[16]
Ein übergreifender und zusammenführender Rahmen fehlt, sodass die Anwendung einzelner Vorschriften im Einzelfall schwierig sein kann. Die CER-Richtlinie und das KRITIS-Dachgesetz können einen Beitrag zur Vereinfachung der Rechtsanwendung leisten.
(…)
Den vollständigen Beitrag lesen Sie im Deutschen Polizeiblatt 3.2024, S. 7 ff.
[1] Mehr Fortschritt wagen: Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit, S. 61.
[2] Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates v. 14.12.2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates, Amtsblatt der Europäischen Union v. 27.12.2022, L 333/164. CER-Richtlinie (CER: Critical Entities Resilience).
[3] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates v. 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie).
[4] Vgl. Kipker, in: Beck-Community, Der neueste Referentenentwurf für ein KRITSI-Dachgesetz ist da. Das BMI legt zum Jahresende nochmals ordentlich vor.
[5] Ebd., L 333/176.
[6] Ebd., L 333/176.
[7] Ebd., L 333/177.
[8] Ebd., L 333/178.
[9] Vgl. BMI (2022), Entwurf – Eckpunkte für ein KRITIS-Dachgesetz, S. 2.
[10] Vgl. ebd.
[11] Vgl. ebd., S. 2.
[12] Vgl. ebd., S. 2, 3.
[13] Vgl. ebd., S. 2 – 5.
[14] Sächsisches Katastrophenschutzgesetz in der Fassung der Bekanntmachung v. 24.03.1999 (SächsGVBl. S. 145), das durch Artikel 23 des Gesetzes v. 28.06.2001 (SächsGVBl. S. 426) geändert worden ist.
[15] Raumordnungsgesetz v. 22.12.2008 (BGBl. I S. 2986), das zuletzt durch Artikel 1 des Gesetzes v. 22.03.2023 (BGBl. I Nr. 88) geändert worden ist.
[16] Vgl. Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) – unter Berücksichtigung der EU-Resilienz-Richtlinie, in: NVwZ 2023, S. 1204 f.
