Der Entwurf eines KRITIS-Dachgesetzes

Der KRITIS-DachG-E zielt auf die Resilienz kritischer Anlagen und dabei auch auf die Umsetzung der Ende 2022 verabschiedeten europäischen sog. CER-Richtlinie (Richtlinie EU 2022/2557). Im Kern geht es im KRITIS-DachG-E um sektorenübergreifende Resilienzverpflichtungen für Betreiber kritischer Anlagen.

Welche kritischen Anlagen erfasst sind, ist im KRITIS-DachG-E nur grob umrissen und soll in einer Rechtsverordnung u. a. anhand eines Versorgungsgrades (ab 500.000 Personen) und dem Kriterium der kritischen Dienstleistungen spezifiziert werden. Nach § 4 Abs. 1 DachGE sind thematisch die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, öffentliche Verwaltung und Siedlungsabfallentsorgung betroffen.

Zu den Pflichten für Betreiber kritischer Anlagen zählen im Schwerpunkt die Registrierung der kritischen Anlage (§ 8 KRITIS-DachG-E), Risikoanalysen und Risikobewertungen (§ 10 KRITIS-DachG-E), physische Resilienzmaßnahmen (§ 11 KRITIS-DachG-E), also geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz, sowie das Meldewesen für Störungen (§ 12 KRITIS-DachG-E).

Bewertung

In der Analyse sollten einige Punkte des KRITIS-DachGE verbessert werden: Die Regelungen zum Cyberschutz werden in dem BSIG als IT-Gesetz separat geregelt. Aus rechtssystematischer Sicht sollte dagegen Cyberschutz und physische Sicherheit in dem KRITIS-DachG-E, also in einem Gesetz vereint werden, zumal beide Bereiche auch praktisch kaum getrennt werden können. So würde auch gesetzlich ein echtes „Dachgesetz“ entstehen.

Im Zusammenhang mit den Resilienzmaßnahmen ist unter dem Gesichtspunkt des Kooperationsprinzips positiv hervorzuheben, dass nach § 11 KRITIS-DachG-E Betreiber kritischer Anlagen und ihre Branchenverbände allgemeine Resilienzstandards erarbeiten und behördlich als geeignet anerkennen lassen können. Dies setzt auf unternehmerische Eigenverantwortung. Allerdings bleibt bei dem vorliegenden KRITIS-DachG-E unklar, warum bei der Erarbeitung nicht auch affine Unternehmen bzw. Verbände der Sicherheitswirtschaft und der Sicherheitstechnik eingebunden sind (man denke etwa an die Normenreihe DIN EN 17483).

Der Entwurf bleibt bei den Resilienzmaßnahmen außerdem hinsichtlich der Anforderungen für eigenes und externes Sicherheitspersonal vage. Mit Blick auf das externe Personal (Sicherheitsgewerbe) ist es zwar systematisch nachvollziehbar, wenn der KRITIS-DachG-E sich hier zurückhält, weil der heutige § 34 a Gewerbeordnung und das angestrebte SiGG-E qualitative und ggf. quantitative Anforderungen an das Sicherheitsgewerbe regeln sollten. Allerdings finden sich in § 34 a GewO/SiGG-E lediglich allgemeine Bewachungsstandards, die nicht speziell KRITIS-bezogen sind (einheitliche Schulungen/Sachkundeprüfungen). Dies ist zwar rechtskonform, entspricht wohl aber nicht der durch die CER-Richtlinie hervorgehobenen besonderen Bedeutung von KRITIS.
 

Der Entwurf eines Sicherheitsgewerbegesetzes

Mit dem erwähnten SiGG-E ist ein zweites wichtiges Gesetzgebungsprojekt angesprochen, das vor allem auf das Sicherheitsgewerbe zielt. Mit dem Entwurf eines „Sicherheitsgewerbegesetzes“ sollen die heutigen § 11 b und § 34 a der Gewerbeordnung abgelöst und es soll die Branche in einem eigenen Gesetz (mit rund 30 Paragrafen) geregelt werden.

Neu ist der der kategorien-basierte Ansatz des SiGG-E (§ 2 Abs. 3 SiGG-E) mit seinen gestuften Anforderungen an die Zuverlässigkeit und Fachkunde je nach Risikokategorie der Bewachungstätigkeit. Neu ist auch ein eigene „Erlaubnis für Sicherheitsmitarbeiter“ (§ 5 SiGG-E). Außerdem weitet der SiGG-E im Gegensatz zur heutigen Rechtslage den Anwendungsbereich des Sicherheitsgewerberechts auf einzelne Bereiche der sog. „Inhouse-Bewachung“ als erlaubnispflichtig aus. Dabei handelt es sich um Sicherheitsmitarbeiter, die nicht für Sicherheitsgewerbetreibende, sondern „Inhouse“ für ihre Unternehmen tätig sind, also für Unternehmen, die einen anderen Unternehmenszweck verfolgen (Inhouse-Bewachung bei Prostitutionsstätten, Diskotheken und Flüchtlingsunterkünfte). Im Übrigen bleibt es aber in dem Entwurf bei der Regelung des eigentlichen Sicherheitsgewerbes.

Bewertung

In der Analyse des Entwurfs bringt die „Erlaubnis für Sicherheitsmitarbeiter“ Klarheit hinsichtlich der bislang unklaren Rechtsfigur der behördlichen „Mitteilung“ für die Einsatzmöglichkeiten von Wachpersonen. Dies schafft auch Flexibilität, weil eine solche Erlaubnis nun unabhängig von einem Beschäftigungsverhältnis gilt. Unternehmen können als Bevollmächtigte auch weiterhin für ihre Sicherheitsmitarbeiter das Verfahren abwickeln.

Eine Erweiterung der Pflichten auf ausgewählte Bereiche der Inhouse-Bewachung ist in besonders gefahrgeneigten Bereichen wegen der Schutzpflichten des Staates nachvollziehbar. Dass der SiGG-E nur das Sicherheitsgewerbe erfasst, aber Bereiche der Sicherheitswirtschaft wie etwa das Bewachungsgewerbe auf Seeschiffen (weiterhin in § 31 Gewerbeordnung) oder Veranstaltungsordnungsdienste auslässt und keine spezifischen Anforderungen an die Bewachung Kritischer Infrastrukturen (KRITIS) formuliert, ist diskutabel. Legt man den verwaltungswissenschaftlichen Maßstab der Kodifikation an („ein Gesetz für die gesamte Sicherheitswirtschaft“), so bleibt der Entwurf insofern hinter seinen Möglichkeiten zurück.

Fazit

Für beide Gesetzgebungsprojekte – KRITIS-DachGE und SiGG-E – gilt, dass sie jeweils Licht und Schatten aufweisen. Eine Modernisierung beider Bereiche ist angesichts veränderter Bedrohungen sicher angezeigt und daher ist es zu begrüßen, dass die Projekte angestoßen sind. Allerdings besteht bei beiden Entwürfen Optimierungspotenzial.