Bereits im März 2022 berichtete der „Spiegel“ über einen Sonderlagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Demnach könnte Deutschland aufgrund der russischen Invasion in der Ukraine schon bald zum Ziel politisch motivierter Cyberangriffe werden. Konkret ging es um sogenannte Hochwertziele, also Schlüsselsektoren der deutschen Industrie. Spätestens seit den Sabotageangriffen auf die Nord-Stream-Pipelines und auf die Steuerungskabel der Deutschen Bahn ist der Schutz von KRITIS stärker in den Fokus gerückt: bei den KRITIS-Betreibern, in der Bevölkerung, aber auch in der Politik.

In der Folge legte das Deutsche Bundeskabinett am 7. Dezember 2022 „Eckpunkte für das KRITIS-Dachgesetz“ vor und machte damit deutlich: Bei KRITIS handelt es sich um Industriezweige, die der Staat durch besondere Maßnahmen – klassisch physisch sowie digital cybertechnisch – schützen muss, und durch begleitende Verordnungen und Gesetze absichern und regulieren wird.
 

„Lex Huawei“

Seit der Verabschiedung des IT-Sicherheitsgesetzes 2.0 im Mai 2021, das als Artikelgesetz unter anderem das BSI-Gesetz geändert hat, gelten für KRITIS-Betreiber neue, verschärfte Sicherheitsanforderungen. Davon betroffen sind auch der neu hinzugekommene KRITIS-Sektor „Siedlungsabfallentsorgung“ und die Gruppe „Unternehmen von besonderem öffentlichem Interesse (UBI)“. Auch der Kreis und die Anzahl der betroffenen und regulierten Unternehmen wurde durch neue Definitionen und Schwellenwerte erweitert.

Konkret werden mit dem § 9b BSIG erstmals auch Hersteller bzw. Vorlieferanten von kritischen Komponenten beim Einsatz in KRITIS in die gesetzliche Pflicht genommen, Stichwort „Prüfung auf Vertrauenswürdigkeit“ und „Garantieerklärung“. In der Öffentlichkeit ist dies besser bekannt als „Lex Huawei“ durch den Aufbau des 5G-Mobilfunknetzes in Deutschland. Der aktuelle Rechtsrahmen für KRITIS ist im BSI-Gesetz, insbesondere in den Paragrafen 8a ff., sowie in der KRITIS-Verordnung 2.0 kodifiziert.
 

Richtlinie auf EU-Ebene

Nach unserer Einschätzung hat Deutschland mit dem IT-Sicherheitsgesetz 2.0 eine Vorreiterrolle übernommen und ist seinen europäischen Kollegen und deren EU-NIS-2-Richtlinie (Netz- und Informationssicherheit) inhaltlich und zeitlich, wie bereits bei der NIS-1-Richtlinie, zuvorgekommen. Das strenge IT-Sicherheitsgesetz 2.0 dürfte große Teile der neuen NIS-2-Richtlinie bereits umgesetzt haben. Eventuell noch fehlende Teile würden möglicherweise durch das „IT-Sicherheitsgesetz 3.0“ und das geplante KRITIS-Dachgesetz in nationales Recht umgesetzt. Dasselbe Umsetzungsszenario gilt auch für die EU RCE-Richtlinie (Resilience of Critical Entities), auch CER-Richtlinie genannt. Das Thema Resilienz spiegelt sich dementsprechend auch im geplanten KRITIS-Dachgesetz wider.
 

Physische Resilienz fehlt noch

Nach unserer Einschätzung steht hinter dem geplanten KRITIS-Dachgesetz die politische Erkenntnis, dass für den Schutz und die Resilienz von KRITIS kein „fragmentierter und unkoordinierter“, sondern ein ganzheitlicher und hybrider Ansatz verfolgt werden muss. Nur eine Art ganzheitlicher Schutzschirm für KRITIS ist zielführend. Was heißt das konkret? Derzeit gibt es mit dem IT-Sicherheitsgesetz und dem BSI-Gesetz bereits einzelne Regelungen für KRITIS-Betreiber zur Cybersicherheit, aber eben nur zur Cybersicherheit. Auch für die physische Sicherheit gibt es Regelungen, allerdings nur für einzelne KRITIS-Sektoren wie im Luftsicherheitsgesetz. Bundesweite, sektoren- und gefahrenübergreifende „Dachregelungen“ zur physischen Sicherung kritischer Infrastrukturen gibt es bisher nicht.

Wir halten die geplanten Regelungen und den Schritt zu mehr physischer Sicherheit aus geopolitischer und sicherheitspolitischer Sicht für begrüßenswert – insbesondere im Hinblick auf die Versorgungsautonomie, Unabhängigkeit und „Business Continuity“ der kritischen Infrastrukturen. Darüber hinaus wäre ein solches Dachgesetz auch aus pragmatischen Gründen wünschenswert, wie z. B. rechtsverbindliche Definitionen von KRITIS-Einrichtungen und klare Zuständigkeiten.
 

Verbot von Videotechnikherstellern im Ausland

Bei Herstellern aus Drittstaaten können nach § 9b BSIG Hersteller oder Vorlieferanten kritischer Komponenten in die gesetzliche Pflicht genommen werden. Die USA gehen im Bereich der cyber- und geopolitischen Resilienz noch restriktiver vor: So verbietet das Bundesgesetz NDAA (National Defense Authorization Act) ab 2019 den Einsatz von Produkten zweier großer chinesischer Videotechnikhersteller in Projekten, die die öffentliche Sicherheit, die Sicherheit von Regierungseinrichtungen und die Sicherheit kritischer Infrastrukturen betreffen. Ähnliche Verbotstendenzen sind auch in Großbritannien und anderen Ländern zu beobachten. Auch die Nato und die EU haben im Januar 2023 eine engere Zusammenarbeit beim Schutz von KRITIS vereinbart, insbesondere vor dem Hintergrund geopolitischer Risiken durch autoritäre Akteure.
 

Videotechnik „Made in Germany“

Wir stellen in letzter Zeit fest, dass der Markt für Videotechnik die Gütesiegel „Made in Europe“ und „Made in Germany“ zunehmend als Zeichen für Qualität, Sicherheit und Vertrauen wahrnimmt. Errichter und Endkunden fragen verstärkt entsprechende Produkte nach. Es kann daher im Sinne der KRITIS-Gesamtsicherheit nur positiv sein, wenn zu diesem Markttrend „Made in Europe / Made in Germany“ auch eine mittelbar steuernde gesetzliche Regelung im BSI-Gesetz oder in einem kommenden KRITIS-Dachgesetz hinzukommt – mittelbar steuernd in Bezug auf vertrauenswürdige Hersteller, Produkte und Komponenten und damit letztlich unmittelbar steuernd zur Stärkung der physischen, cyber- und geopolitischen Resilienz.
 

Gut beraten mit Handlungsleitfäden

Im Entwurf des KRITIS-Gesetzes vom Dezember 2022 bietet der Staat an, KRITIS-Betreiber mit Handlungsleitfäden zu unterstützen. Zum Thema Videotechnik bietet beispielsweise Dallmeier in seinem kostenlosen Praxisleitfaden „Videotechnologie und Sicherheit für Kritische Infrastrukturen“ nützliche Informationen. Erhältlich per Mail: kritis@dallmeier.com
 

Die wichtigsten Eckpunkte für ein KRITIS-Dachgesetz

1. Die Physische Sicherheit soll erstmals gesetzlich reguliert werden

• verpflichtende Umsetzung einheitlicher technischer Mindestschutzstandards
• unter anderem mit Detektionssystemen und Systemen zur Umgebungsüberwachung, zum Beispiel durch Videoüberwachung

2. Definition und Erweiterung der betroffenen KRITIS-Unternehmen

• neuer Sektor (Raumfahrt/Weltraum)
• klare, einheitliche „Wer gehört zu KRITIS“-Definitionen nach qualitativen und quantitativen Kriterien

3. „Vertrauenswürdigkeitsprüfung“ von Herstellern

• bei kritischen IT-Komponenten: BSI-Gesetz (§ 9b Abs. 3 BSIG) fordert Garantieerklärungen über Vertrauenswürdigkeit des Herstellers
• bei sonstigen, kritischen Nicht-IT-Komponenten: Für einen umfassenden Schutz werden Regelungen geprüft, um KRITIS vor Einflüssen und Abhängigkeiten von bedenklichen Herstellern aus dem Ausland zu schützen

4. Ganzheitliche Resilienz als Ziel

• physische Sicherheit und Cybersicherheit gemeinsam und übergreifend „denken“, überwachen und prüfen („Security Convergence“)
• Erhöhung der geopolitischen Resilienz durch obigen optionalen Punkt „Prüfung bedenklicher Hersteller aus dem Ausland“
• Kohärenz beim Cyberschutz und beim physischen Schutz, auch durch enge Zusammenarbeit zweier Aufsichtsbehörden: BSI und BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)

5. Einbettung in den EU-Rechtsrahmen

• Umsetzung der EU CER-Richtlinie über die Resilienz kritischer Infrastrukturen
• Umsetzung der EU NIS-2-Richtlinie

6. Gesetz und gesetzgeberischer Umsetzungsprozess

• Weiterer geplanter Umsetzungsprozess: im Laufe des Jahres 2023