Nach der Einigung mit dem Bundesrat hat der Bundestag Ende Januar das KRITIS-Dachgesetz, mit dem die europäische CER-Richtlinie in deutsches Recht überführt wird, beschlossen. Ziel des Gesetzes ist es, die physische Resilienz kritischer Infrastrukturen in Deutschland zu stärken. Erstmals werden damit verbindliche sektorenübergreifende Mindeststandards sowie einheitliche Kriterien zur Identifizierung kritischer Anlagen festgelegt. Der Digitalverband Bitkom und der Verband der Elektro- und Digitalindustrie, ZVEI, begrüßen das neue Gesetz, sehen aber einige Details kritisch.

KRITIS-Dachgesetz: Bitkom und ZVEI kritisieren bürokratischen Aufwand

„Deutschland muss seine kritischen Infrastrukturen besser schützen. Der tagelange Stromausfall in Berlin Anfang Januar hat erneut gezeigt, wie verletzlich Deutschland ist. Das KRITIS-Dachgesetz bildet die rechtliche Grundlage für ein deutlich verbessertes Schutzniveau. Neben den gesetzlichen Vorgaben ist die Politik aber auch gefordert, die Unternehmen bei der Umsetzung konkret zu unterstützen, etwa mit Förderprogrammen“, erklärte Bitkom-Präsident Dr. Ralf Wintergerst:

Mit Blick auf die angespannte Sicherheitslage bleibe laut dem Digitalverband unverständlich, dass ein erheblicher Teil der Bundesverwaltung vom Gesetz ausgenommen sei und die Landesverwaltungen gar nicht erst adressiert würden. Staat und Verwaltungen dürften in diesen für das Gemeinwesen zentralen Bereichen nicht hinter das Schutzniveau privater Anlagen zurückfallen. Zudem hätten Bundestag und Bundesrat kurzfristig vereinbart, dass die Bundesländer zusätzliche Anlagen unterhalb des eigentlichen Schwellenwerts von 500.000 versorgten Personen definieren könnten. Dies führe zu einem föderalen Flickenteppich und hohem bürokratischem Aufwand. Die Bundesländer sollten auf regionale Sonderwege verzichten und so dafür sorgen, dass bundesweit einheitliche Regeln gelten.

Das sieht auch der ZVEI so. Entscheidend sei nun aus Sicht des Verbands, dass die Betreiber kritischer Anlagen zeitnah und in allen Bundesländern nach denselben Kriterien erfasst werden. Es brauche bundesweit einheiltiche Maßstäbe, andernfalls droht ein stark divergierendes Vorgehen der Bundesländer, das die Wirksamkeit des KRITIS‑Dachgesetzes erheblich beeinträchtigen könnte.

Resilienzmaßnahmen der Betreiber müssen auf etablierten Normen aufbauen

Zudem setzt sich der ZVEI dafür ein, dass Resilienzmaßnahmen der Betreiber verpflichtend auf Basis etablierter Normen und Standards entwickelt werden – unter anderem aus den Bereichen Einbruchschutz, Zutrittskontrolle, Videotechnik und Perimeterschutz. Diese bieten eine bewährte Grundlage, um kritische Anlagen realistisch, effizient und nachhaltig zu schützen.

Peter Krapp, Geschäftsführer des ZVEI Fachverbands Sicherheit, erklärt dazu:„ Mit dem KRITIS-Dachgesetz wird ein zentraler Baustein für den Schutz kritischer Infrastrukturen endlich umgesetzt. Für die Betreiber ist jetzt besonders wichtig, klare und verlässliche Vorgaben zu erhalten – und das bundesweit einheitlich. Nur wenn alle Länder dieselben Kriterien anwenden, können Unternehmen ihre Schutzmaßnahmen effizient planen und umsetzen. Unser Ziel ist es, gemeinsam mit Politik und Wirtschaft einen praxisnahen und ganzheitlichen Sicherheitsrahmen zu schaffen.“

Das KRITIS‑Dachgesetz bildet gemeinsam mit dem NIS‑2‑Umsetzungsgesetz, das die digitale Resilienz kritischer Anlagen regelt, den nationalen Rahmen zur Umsetzung der EU‑Richtlinie über die Resilienz kritischer Einrichtungen (CER‑Richtlinie).

Weitere Informationen gibt es unter www.bitkom.org und www.zvei.org.