Gesetz zum Schutz wichtiger Infrastruktur greift noch nicht

Denn bestimmte staatliche Vorgaben, wie die Betreiber wichtiger Anlagen und Institutionen diesen Schutz sicherstellen sollen, fehlen bislang ebenso wie ein entsprechendes Meldeportal. Besser läuft es dagegen beim Schutz der kritischen Infrastruktur vor Cyberangriffen.

Das Kritis-Dachgesetz trat am 17. März in Kraft. Es lege den Rahmen und die weiteren Prozesse zur Stärkung der Resilienz kritischer Infrastruktur fest und solle noch "durch mehrere Rechtsverordnungen konkretisiert werden", teilte ein Sprecher des Bundesinnenministeriums auf Nachfrage mit. Bis das so weit ist, könnte allerdings noch einige Zeit vergehen, denn ein Teil dieser Rechtsverordnungen bedürfen auch noch der Zustimmung des Bundesrates. Und die Länderkammer hatte schon das Gesetz im März erst nach einigem Geruckel passieren lassen.

Sabotage verhindern

Mit Zäunen, Zugangsbeschränkungen und einer Identifizierung technischer Schwachpunkte sollen Risiken begrenzt werden, auch um Sabotageaktionen ausländischer Mächte vorzubeugen. Das Kritis-Gesetz setzt eine EU-Richtlinie um. Die Länder kritisierten insbesondere, dass nach dem Gesetz zur kritischen Infrastruktur nur Einrichtungen zählen, die mehr als 500.000 Personen versorgen. Aus ihrer Sicht ist dieser Schwellenwert viel zu hoch - sie plädierten vergeblich für eine Absenkung auf 150.000 Menschen.

Auf die Frage, wann die Kritis-Betreiber die Registrierung abgeschlossen haben müssen, heißt es aus dem Ministerium, sobald die Rechtsverordnungen zur Identifizierung von kritischen Anlagen sowie die technischen Voraussetzungen für die Registrierung vorlägen, würden die Betreiber ausreichend Zeit dafür erhalten. Es werde ein gemeinsames Registrierungs- sowie Meldeportal für das BSI-Gesetz sowie das Kritis-Dachgesetz geben, kündigte der Sprecher an.

Bei Cybersicherheit ist man schon weiter

Das Gesetz zur Umsetzung der NIS-2-Richtlinie verpflichtet Unternehmen und Bundesbehörden, die für die Versorgung der Bevölkerung wichtig sind, mehr zu tun, um sich vor IT-Ausfällen und Cyberangriffen zu schützen. Es trat am 6. Dezember in Kraft. Mehr als 15.000 Betreiber von Anlagen und Institutionen, die für das Gemeinwesen relevant sind, haben sich seither auf einem dafür geschaffenen Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) registriert. Dieses Portal soll mittelfristig so ausgebaut werden, dass dort dann eines Tages auch die Angaben zum physischen Schutz von Infrastruktur hinterlegt und entsprechende Vorfälle gemeldet werden können.

Gemeinsame Meldestelle wird vorbereitet

Die gemeinsame Meldestelle des BSI und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) befinde sich in Vorbereitung, sagt eine BSI-Sprecherin. Sie werde zum Zeitpunkt des Inkrafttretens der Meldepflicht nach dem Kritis-Dachgesetz bereitstehen.

Bei den Registrierungen nach der NIS-2-Richtlinie setzt das BSI nach eigenen Angaben "weiterhin auf einen kooperativen Ansatz", um diejenigen, die ihre Pflicht bisher nicht erfüllt haben, zu unterstützen. "Sollte dies nicht zum gewünschten Erfolg führen, behält sich das BSI bußgeldbewehrte Schritte weiter vor", sagt die BSI-Sprecherin. Schätzungen gehen von etwa 29.500 registrierungspflichtigen Einrichtungen aus.