Gesetze und Verordnungen des Bundes und Richtlinien der EU
Formen und Funktionen rechtlicher Regelungen
Ein ebenen-, sektor- und gefahrenübergreifendes „Gesetz zum Schutz Kritischer Infrastrukturen“ gibt es in Deutschland nicht. Allerdings wurden im Laufe der Zeit einzelne Aspekte des Schutzes Kritischer Infrastrukturen in Fachgesetzen festgeschrieben, zum Beispiel um europäische Vorgaben in deutsches Recht zu überführen oder um Regelungsbedarf auf nationaler Ebene zu decken.
Regelungskompetenzen zum Schutz Kritischer Infrastrukturen in Deutschland orientieren sich an den im Grundgesetz vorgesehenen Gesetzgebungszuständigkeiten von Bund und Ländern.
Rechtliche Regelungen mit explizitem Bezug zum Schutz Kritischer Infrastrukturen auf nationaler Ebene haben unterschiedliche Formen und Funktionen: Sie enthalten abstrakte Zielsetzungen, schreiben Befugnisse von Behörden fest oder gestalten konkrete Vorgaben für Betreiber.
So ist beispielsweise nach dem 2008 neu gefassten Raumordnungsgesetz (ROG) dem „Schutz kritischer Infrastrukturen […] Rechnung zu tragen
“. Dies bedeutet, bei Abwägungs- und Ermessensentscheidungen auch Belange des Schutzes Kritischer Infrastrukturen im Kontext raumbedeutsamer Planungen und Maßnahmen zu berücksichtigen (§ 2 Abs. 2 Nr. 3, § 4 ROG). Die Raumordnung ist demnach angehalten, sich mit den ihr zur Verfügung stehenden Mitteln am Schutz Kritischer Infrastrukturen zu beteiligen.
Nach § 18 Abs. 2 des Gesetzes über den Zivilschutz und die Katastrophenhilfe des Bundes (Zivilschutz- und Katastrophenhilfegesetz ─ ZSKG) berät und unterstützt der Bund „die Länder im Rahmen seiner Zuständigkeiten beim Schutz kritischer Infrastrukturen
“. In Umsetzung dieses Angebotes entwickelt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) unter anderem Handreichungen sowie Rahmen- und Schutzkonzepte für den Schutz Kritischer Infrastrukturen (KRITIS) im Zivilschutz. Sie dienen den Ländern gleichzeitig als Empfehlungen für ihre Aufgaben im Rahmen des Katastrophenschutzes.
Auf europäischer Ebene haben vor allem zwei übergreifende Richtlinien den Schutz Kritischer Infrastrukturen maßgeblich beeinflusst: Die EPSKI-Richtlinie, die künftig durch die "Richtlinie über die Resilienz kritischer Einrichtungen" (CER-Richtlinie) abgelöst werden soll, sowie die NIS-RichtlinieEU über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen, die in Deutschland durch das IT-Sicherheitsgesetz in nationales Recht überführt wurde.
Die EPSKI-Richtlinie von 2008
Bereits 2006 stellte die EU das „Europäische Programm für den Schutz Kritischer Infrastrukturen“ vor, welches verschiedene Instrumente zur Verbesserung dieses Schutzes in der EU umfasst. Eines dieser Instrumente ist die 2008 verabschiedete „Richtlinie über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern“, die sogenannte EPSKI-Richtlinie (RL 2008/114/EG ).
Mit Hilfe der EPSKI-Richtlinie sollen zunächst diejenigen Kritischen Infrastrukturen in den Sektoren Energie sowie Transport und Verkehr identifiziert werden, deren Beeinträchtigung erhebliche Auswirkungen in mindestens zwei Mitgliedstaaten hätte.
Diese identifizierten Infrastrukturen gelten somit als europäische kritische Infrastrukturen (EKI), die durch entsprechende Maßnahmen zu schützen sind.
Richtlinie über die Resilienz kritischer Einrichtungen (CER-RL)
Nach mehr als 10 Jahren und einer umfangreichen Evaluierung wurde die EPSKI-Richtlinie durch einen neuen Rechtsakt ersetzt. Die "Richtlinie über die Resilienz kritischer Einrichtungen" (CER) ist am 14. Dezember 2022 von der EU verabschiedet worden.
Die Richtlinie unterscheidet sich in vielen Punkten von ihrer Vorgängerin, unter anderem in Bezug auf die
- Kompetenzgrundlage: Die CER-Richtlinie beruht auf Art. 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und dient somit (auch) der Verwirklichung der Ziele des Binnenmarktes;
- Ausweitung auf wesentlich mehr kritische Sektoren: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Ernährung, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung sowie Raumfahrt;
- Ermittlung nationaler und für den europäischen Raum besonders relevanter Kritischer Infrastrukturen: Diese werden anhand gemeinsamer Kriterien in allen Mitgliedstaaten auf der Grundlage einer nationalen Risikobewertung erhoben;
- Verpflichtungen für die Mitgliedstaaten: Diese Verpflichtungen gelten auch für die von ihnen ermittelten kritischen Einrichtungen – einschließlich derjenigen, die von besonderer europäischer Bedeutung sind.
Von der CER-Richtlinie sind vor allem kritische Einrichtungen betroffen, die wesentliche Dienste für beziehungsweise in mehr als einem Drittel der Mitgliedstaaten erbringen und die einer besonderen Aufsicht unterliegen.
Darüber ist eine „Gruppe für die Resilienz kritischer Einrichtungen“ einzurichten, die als Sachverständigen-Gremium die Kommission beraten und die strategische Zusammenarbeit sowie den Informationsaustausch fördern soll. Auch Partnerländer der EU sollen in die Arbeit der Gruppe einbezogen werden, um wechselseitige Abhängigkeiten beispielsweise im Rahmen der Risikobewertung über die EU-Außengrenzen hinaus berücksichtigen zu können.
Zusätzlich wurde aufgrund der aktuellen Lage (Angriffskrieg RUS auf UKR, Sabotage der Nord-Stream-Pipelines) die - rechtlich nicht bindende - "Empfehlung des Rates für eine unionsweite koordinierte Vorgehensweise zur Stärkung der Resilienz kritischer Infrastruktur" angenommen.
Die NIS-Richtlinie
Mit der „Richtlinie 2016/11487/EU über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“ (NIS-Richtlinie) trat im August 2016 eine zweite europäische Regelung zum übergreifenden Schutz Kritischer Infrastrukturen in Kraft.
Ziel der Richtlinie ist es, den Schutz der Netzwerk- und Informationssysteme vor IT- und Cyber-Gefahren in der EU durch entsprechende Maßgaben zu verbessern. Damit wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten zur Gewährleistung der Cyber-Sicherheit in Bezug auf Kritische Infrastrukturen geschaffen.
Gleichzeitig fördert die Richtlinie die Zusammenarbeit der Mitgliedstaaten untereinander. Meldepflichten für öffentliche und private Betreiber Kritischer Infrastrukturen, die in der Richtlinie festgelegt wurde, gelten auch für bestimmte Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätze.
EU-Mitgliedsstaaten haben eine zentrale Stelle für NIS-Meldungen eingerichtet. Nationale NIS-Meldestellen wurden EU-weit vernetzt um sich gegenseitig und die Europäische Agentur für Netz- und Informationssicherheit (ENISA) über Vorfälle zu informieren. Die nationalen NIS-Meldestellen, die auf diesem Weg Informationen erhalten, werden diese an die Unternehmen in ihren Zuständigkeitsbereichen weitergeben. Reaktionen auf NIS-Bedrohungen werden von den NIS-Behörden und der ENISA EU-weit koordiniert.
Das IT-Sicherheitsgesetz
Die NIS-Richtlinie musste von den Mitgliedstaaten bis Mai 2018 umgesetzt werden.
Deutschland war insoweit vorbereitet, als dass der Bundestag bereits am 12. Juni 2015 das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) als Artikelgesetz verabschiedet hat. Mit dem IT-Sicherheitsgesetz wurde vor allem das BSI-Gesetz geändert und die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) den Vorgaben der NIS-Richtlinie entsprechend erweitert.
Begleitet wurden die Änderungen im BSI-Gesetz von der BSI-Kritisverordnung (BSI-KritisV), einem Instrument zur rechtsverbindlichen Identifizierung Kritischer Infrastrukturen.
Weitere Regelungsbestände der NIS-Richtlinie, insbesondere zu digitalen Diensten, wurden 2017 durch das „Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit“ umgesetzt.
Am 27. Mai 2021 ist das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0) in Kraft getreten, wodurch das BSI als Cyber-Sicherheitsbehörde neue Kompetenzen erhielt. So wurde das BSI in den Bereichen Detektion von Sicherheitslücken und der Abwehr von Cyber-Angriffen sowie auf dem Gebiet der Cyber-Sicherheit in den Mobilfunknetzen gestärkt. Weiterhin stehen der Ausbau des Verbraucherschutzes und der Sicherheit für Unternehmen sowie die Aufgaben als Nationale Behörde für Cybersicherheitszertifizierung im Fokus des Gesetzes.
- Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)
- Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung ─ BSI-KritisV)
- Fragen und Antworten zur BSI-Kritisverordnung
- Gesetz zur Umsetzung der europäischen Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netzwerk- und Informationssystemen in der Union (Gesetz zur Umsetzung der NIS-Richtlinie)
