Formen und Funktionen rechtlicher Regelungen

Ein ebenen-, sektoren- und gefahrenübergreifendes „Gesetz zum Schutz Kritischer Infrastrukturen“ gibt es in Deutschland bislang nicht. Allerdings wurden im Laufe der Zeit einzelne Aspekte des Schutzes Kritischer Infrastrukturen in Fachgesetzen festgeschrieben, zum Beispiel um europäische Vorgaben in deutsches Recht zu überführen oder um Regelungsbedarf auf nationaler Ebene zu decken. Erstmalig soll nun das KRITIS-Dachgesetz ein „Dach“ über die erfassten Sektoren legen, um eine Harmonisierung über die Sektoren hinweg zu erreichen und somit zusätzliche Abhängigkeiten und Interdependenzen erfassen und abbilden zu können. Zusammen mit der Überarbeitung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI-Gesetz) entstehen aufeinander abgestimmte Regelwerke für eine ganzheitliche Stärkung der Resilienz Kritischer Infrastrukturen.

Bereits bestehende rechtliche Regelungen mit explizitem Bezug zum Schutz Kritischer Infrastrukturen auf nationaler Ebene haben unterschiedliche Formen und Funktionen: Sie enthalten abstrakte Zielsetzungen, schreiben Befugnisse von Behörden fest oder gestalten konkrete Vorgaben für Betreiber.

So ist beispielsweise nach dem 2008 neu gefassten Raumordnungsgesetz (kurz: ROG) dem „Schutz kritischer Infrastrukturen […] Rechnung zu tragen“. Dies bedeutet, bei Abwägungs- und Ermessensentscheidungen auch Belange des Schutzes Kritischer Infrastrukturen im Kontext raumbedeutsamer Planungen und Maßnahmen zu berücksichtigen (§ 2 Absatz 2 Nummer 3, § 4 ROG). Die Raumordnung ist demnach angehalten, sich mit den ihr zur Verfügung stehenden Mitteln am Schutz Kritischer Infrastrukturen zu beteiligen.

Nach § 18 Absatz 2 des Gesetzes über den Zivilschutz und die Katastrophenhilfe des Bundes (Zivilschutz- und Katastrophenhilfegesetz, kurz: ZSKG) berät und unterstützt der Bund „die Länder im Rahmen seiner Zuständigkeiten beim Schutz kritischer Infrastrukturen“. In Umsetzung dieses Angebotes entwickelt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (kurz: BBK) unter anderem Handreichungen sowie Rahmen- und Schutzkonzepte für den Schutz Kritischer Infrastrukturen im Zivilschutz. Sie dienen den Ländern gleichzeitig als Empfehlungen für ihre Aufgaben im Rahmen des Katastrophenschutzes.

Auf europäischer Ebene befassen sich zwei aktuelle Richtlinien mit der Steigerung der Resilienz Kritischer Infrastrukturen. Zum einen löst die Richtlinie über die „Resilienz kritischer Einrichtungen" (kurz: CER-Richtlinie) die EPSKI-Richtlinie ab. Zum anderen schreibt die NIS2-Richtlinie über „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ die NIS-Richtlinie fort.

Die EPSKI-Richtlinie von 2008

Bereits 2006 stellte die Europäische Union (kurz: EU) das „Europäische Programm für den Schutz Kritischer Infrastrukturen“ vor, das verschiedene Instrumente zur Verbesserung dieses Schutzes in der EU umfasst. Eines dieser Instrumente ist die 2008 verabschiedete „Richtlinie über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern“, die sogenannte EPSKI-Richtlinie (RL 2008/114/EG).

Mit Hilfe der EPSKI-Richtlinie sollen zunächst diejenigen Kritischen Infrastrukturen in den Sektoren Energie sowie Transport und Verkehr identifiziert werden, deren Beeinträchtigung erhebliche Auswirkungen in mindestens zwei Mitgliedstaaten hätte.

Diese identifizierten Infrastrukturen gelten somit als europäische kritische Infrastrukturen (kurz: EKI), die durch entsprechende Maßnahmen zu schützen sind.

Richtlinie über die Resilienz kritischer Einrichtungen (CER-RL)

Nach mehr als 10 Jahren und einer umfangreichen Evaluierung wurde die EPSKI-Richtlinie durch einen neuen Rechtsakt ersetzt. Die "Richtlinie über die Resilienz kritischer Einrichtungen" (kurz: CER) ist am 14. Dezember 2022 von der EU verabschiedet worden.

Die Richtlinie unterscheidet sich in vielen Punkten von ihrer Vorgängerin, unter anderem in Bezug auf die

1. Kompetenzgrundlage: Die CER-Richtlinie beruht auf Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union (kurz: AEUV) und dient somit (auch) der Verwirklichung der Ziele des Binnenmarktes;
2. Ausweitung auf wesentlich mehr kritische Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Ernährung, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung sowie Raumfahrt;
3. Ermittlung nationaler und für den europäischen Raum besonders relevanter Kritischer Infrastrukturen: Diese werden anhand gemeinsamer Kriterien in allen Mitgliedstaaten auf der Grundlage einer nationalen Risikobewertung erhoben;
4. Verpflichtungen für die Mitgliedstaaten: Diese Verpflichtungen gelten auch für die von ihnen ermittelten kritischen Einrichtungen – einschließlich derjenigen, die von besonderer europäischer Bedeutung sind.

Darüber hinaus ist eine „Gruppe für die Resilienz kritischer Einrichtungen“ einzurichten, die als Sachverständigen-Gremium die Kommission beraten und die strategische Zusammenarbeit sowie den Informationsaustausch fördern soll.

Zusätzlich wurde im Zusammenhang mit der veränderten Sicherheitslage in Deutschland und Europa die - rechtlich nicht bindende - "Empfehlung des Rates für eine unionsweite koordinierte Vorgehensweise zur Stärkung der Resilienz kritischer Infrastruktur" angenommen.

Die NIS-Richtlinien

Mit der „Richtlinie 2016/11487/EU über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ (kurz: NIS-Richtlinie) trat im August 2016 eine zweite europäische Regelung zum übergreifenden Schutz Kritischer Infrastrukturen in Kraft.

Die Richtlinie zielt auf den Schutz der Netzwerk- und Informationssysteme vor IT- und Cyber-Gefahren in der EU durch entsprechende Maßgaben. Mit der NIS-Richtlinie wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit geschaffen. Insbesondere sieht die NIS-Richtlinie eine stärkere Zusammenarbeit der Mitgliedstaaten sowie Mindestsicherheitsanforderungen und Meldepflichten für Betreiber Kritischer Infrastrukturen sowie für bestimmte Anbieter digitaler Dienste vor. EU-Mitgliedsstaaten haben eine zentrale Stelle für NIS-Meldungen eingerichtet, um eine EU-weite Vernetzung unter anderen zu Vorfällen zu ermöglichen.

Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (kurz: NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Die aktuelle NIS-2-Richtlinie stellt eine Weiterentwicklung der (ersten) NIS-Richtlinie aus dem Jahr 2016 dar.

Das IT-Sicherheitsgesetz

In Deutschland existierte mit dem IT-Sicherheitsgesetz (kurz: IT-SiG) bereits seit Juli 2015 ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen für mehr Cybersicherheit bei KRITIS. Mit dem IT-Sicherheitsgesetz wurde vor allem das BSI-Gesetz geändert und die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (kurz: BSI) entsprechend erweitert. Begleitet wurden die Änderungen im BSI-Gesetz von der BSI-Kritisverordnung (kurz: BSI-KritisV), einem Instrument zur rechtsverbindlichen Identifizierung Kritischer Infrastrukturen.

Weitere Regelungsbestände der NIS-Richtlinie, insbesondere zu digitalen Diensten, wurden 2017 durch das „Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit“ umgesetzt.

Am 27. Mai 2021 ist das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (kurz: IT-Sicherheitsgesetz 2.0) in Kraft getreten, wodurch das BSI als Cyber-Sicherheitsbehörde neue Kompetenzen erhielt.