Welche gesetzlichen Anforderungen kommen auf Netzbetreiber zu bei der Umsetzung des KRITIS DachG?
Das KRITIS Dach Gesetz ist noch nicht verabschiedet, zuletzt war es im Bundeskabinett am 6. November 2024, der Tag, an dem die Ampel zerfiel. Durch den Bundestag sowie den Bundesrat kam der letzte Referentenentwurf nicht mehr. Nach den Neuwahlen zum Bundestag jetzt stehen zunächst Koalitionsverhandlungen der Parteien an, nach der Regierungsbildung dann die Verteilung sowie die neuen „Ressort-Zuschnitte“ der Bundesministerien. Etwas zeitlicher Aufschub für die betreffenden KRITIS-Unternehmen, sich auf das Thema Schutz und Resilienz ihrer Infrastrukturen und Anlagen zu konzentrieren.
Das betrifft auch Unternehmen, die Mitglied im VST sind. So wird allerorten untersucht, wie man die möglichen Anforderungen durch das KRITIS Dach Gesetz (aber auch die Vorgaben von NIS 2) umsetzt. Doch so einfach ist es nicht – der Gesetzgeber selbst schreibt im Referentenentwurf, dass Regelungsinhalte noch nicht alle erkannt und deren Auswirkungen noch nicht abgeschätzt werden können.
Zitat aus dem Gesetzesentwurf:
„Das KRITIS-DachG ist als […] Regelungsvorhaben anzusehen. Mit dem Ziel, erstmalig sektorenübergreifende physische Resilienzmaßnahmen für Betreiber kritischer Anlagen vorzusehen […], werden Regelungsinhalte getroffen, deren Auswirkungen sowohl für die Wirtschaft als auch für den Verwaltungsvollzug noch nicht vollständig bekannt sind und zum aktuellen Zeitpunkt auch noch nicht vollständig abgeschätzt werden können. […]
Mit der Evaluierungsklausel soll ein kontinuierlich wirkendes qualitatives Überprüfungsinstrument etabliert werden, ob die Zielsetzung des KRITIS-DachG, der Aufrechterhaltung der Wirtschaftsstabilität […] erreicht wird.“
Stand heute stehen Betreiber von KRITIS also vor der Aufgabe, die Sicherheitsaspekt ihrer Unternehmen selbst zu definieren, anhand einiger bereits bestehenden Regelwerke zu analysieren und so geeignete Vorkehrungen zu Schutz und Resilienz der Netzinfrastrukturen zu entwickeln. Um hier einmal einen wissenschaftlich fundierten Status Quo zu schaffen, haben VST und die NBS-Northern Business School in Hamburg beschlossen, mit dem Studiengang „Sicherheitsmanagement“ eine Studie aufzusetzen, um einen Überblick zu gewinnen, welche Anforderungen und Maßnahmen auf die unterschiedlichen Netzbetreiber zukommen und was bereits geplant ist.
Ende Februar kamen deswegen der NBS Studiengangsleiter Prof. Dr. André Röhl und der politische Vertreter des VST in Berlin, Jan Syré, auf dem Campus in Hamburg zusammen, um über die Eckpunkte einer solchen breitangelegten Studie zu beraten. In den kommenden Wochen wird dann ein mögliches Design der Studie seitens der Hochschule entwickelt und mit dem VST abgestimmt. Der Startschuss für die Studie wird dann im Frühjahr erfolgen.