Zürcher Nachrichten - Bis zu 1500 Firmen künftig bei Schutz kritischer Infrastruktur in der Pflicht

Der AFP vorliegende Entwurf für das sogenannte Kritis-Dachgesetz sieht dabei Bußgelder vor, wenn dies versäumt wird oder staatliche Vorgaben nicht eingehalten werden. Sie reichen je nach Verstoß von 50.000 bis 500.000 Euro.

Gleichzeitig werden in der Vorlage die erwarteten Kosten für die Wirtschaft vorläufig beziffert. Demnach geht die Bundesregierung von einer einmaligen Belastung der Wirtschaft von 1,7 Milliarden Euro aus. Im Anschluss werden die Kosten auf 500 Millionen Euro pro Jahr geschätzt. Allerdings verweist der Gesetzentwurf darauf, dass der gesamte Erfüllungsaufwand noch nicht benannt werden kann, weil der Umfang der Verpflichtungen erst noch im Detail in einer Rechtsverordnung festgelegt werden muss.

Mit dem Kritis-Dachgesetz setzt Deutschland eine EU-Richtlinie aus dem Jahr 2023 um. Sie geht von einem "All-Gefahren-Ansatz" aus, der alle möglichen Risiken umfassen soll. In dem Gesetz geht es dabei um physische Infrastruktur, Gefährdungen der IT-Sicherheit etwa durch Cyberangriffe werden bereits durch ein anderes Bundesgesetz geregelt.

Das Kritis-Dachgesetz legt fest, welche Infrastruktur-Einrichtungen unentbehrlich dafür sind, um die Versorgung der Bevölkerung zu sichern und die Wirtschaft aufrechtzuerhalten. Dies betrifft elf Sektoren: Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung und Öffentliche Verwaltung.

Umfasst sind dabei laut Gesetz grundsätzlich Unternehmen und Einrichtungen, die mehr als 500.000 Menschen versorgen. Das Ausmaß der Sicherungsmaßnahmen hängt dabei von der Branche oder auch der geografischen Lage ab. Ein Unternehmen, das etwa ein Werk an einem Fluss betreibt, müsste den Hochwasserschutz sicherstellen, beispielsweise durch ausreichend hohe Dämme. Denkbar ist auch die Sicherung der Energieversorgung von wichtigen Anlagen oder Versorgungseinrichtung durch zusätzliche Stromgeneratoren.

Nach dem Beschluss in Bundestag und Bundesrat soll das Gesetz Mitte kommenden Jahres in Kraft treten. Dann müssten sich zunächst die betroffenen Unternehmen und Einrichtungen bis zum 17. Juli 2026 registrieren. Sie sind dann verpflichtet, nach staatlichen Vorgaben sogenannte Resilienzpläne aufstellen, um ihre Schutzmaßnahmen darzustellen. Diese müssen dann bis spätestens Mai 2027 umgesetzt sein.

Verpflichtet werden die Betreiber fortan auch, sicherheitsrelevante Vorfälle spätestens nach 24 Stunden zu melden. Dazu soll ein gemeinsames Online-Portal des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) genutzt werden, das bereits Cybervorfälle erfasst.

B.Brunner--NZN