In der heutigen Stellungnahme zum KRITIS-Dachgesetz wurden durch CII-Research Director Prof. Dr. Dennis-Kenji Kipker zentrale Punkte der Stellungnahme vorgetragen.

Danach bleibt der aktuelle Entwurf hinter den europäischen Anforderungen zurück und adressiert zentrale Herausforderungen nur unzureichend. Laut der Stellungnahme gelingt insbesondere nicht, die erforderliche Verzahnung von digitaler und physischer Resilienz herzustellen, obwohl viele KRITIS-Betreiber zugleich von beiden Richtlinien erfasst werden. Die Folge sind potenzielle Doppelstrukturen, divergierende Melde- und Nachweispflichten sowie ein erheblicher Verwaltungsaufwand, der Ressourcen bindet, die für den tatsächlichen Schutzbedarf benötigt werden.

Ein integriertes KRITIS-Dachgesetz, das physische und digitale Schutzanforderungen kohärent bündelt, ist jedoch ein wesentlicher Baustein einer umfassenden Sicherheitsstrategie gegen hybride Bedrohungen und Voraussetzung dafür, dass Deutschland seiner Verantwortung zum Schutz seiner kritischen Infrastrukturen tatsächlich gerecht werden kann; nur ein solches konsistentes und einheitliches Gesamtgefüge vermag die Resilienz Kritischer Infrastrukturen nachhaltig zu stärken und den bestehenden Bedrohungen angemessen zu begegnen.

Im Lichte dessen, dass die Umsetzung in nationales Recht bereits seit geraumer Zeit möglich und geboten ist, weist die Stellungnahme auf eine Reihe von Schwächen und Unklarheiten im Entwurf hin. Fachliche Hinweise und Kritikpunkte sind danach bislang nur eingeschränkt aufgegriffen worden. In der Folge finden sich im aktuellen Gesetzesentwurf in weiten Teilen die bereits bekannten Problemlagen wieder.

Mit dem Anspruch, die Resilienz kritischer Infrastrukturen in Deutschland nachhaltig zu erhöhen und diese gegenüber aktuellen wie zukünftigen hybriden Bedrohungen angemessen zu schützen, ist dieser Zustand nur schwer vereinbar.

Hintergrund zum Gesetz

Kritische Infrastrukturen – die zentralen Versorgungs- und Funktionssysteme unseres Gemeinwesens – sind seit Jahren einer erheblich zunehmenden Gefährdungslage ausgesetzt. Die Zahl und Intensität von Angriffen auf Energie- und Wasserversorgung, Verkehrs- und Kommunikationsnetze sowie öffentliche Verwaltungsstrukturen haben deutlich zugenommen. Sabotageakte gegen Umspannwerke, Angriffe auf Bahninfrastruktur, IT-basierte Störungen kommunaler Verwaltungsleistungen und systematische Ausspähungen mittels Drohnentechnologie zeigen, dass abstrakte Risikoannahmen längst in konkrete sicherheitsrelevante Ereignisse umgeschlagen sind. Diese Entwicklungen sind Ausdruck einer hybriden Bedrohungslage, die durch staatliche und nichtstaatliche Akteure gleichermaßen befeuert wird.

Die CER-Richtlinie, deren Umsetzung durch das KRITIS-Dachgesetz erfolgt, verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Resilienz gegenüber Naturgefahren, Terroranschlägen und Sabotage zu erhöhen, während die NIS-2-Richtlinie die Cybersicherheitsanforderungen auf weitere Sektoren und Betreiber ausdehnt. Beide Instrumente verfolgen ausdrücklich das Ziel eines einheitlichen, sektorenübergreifenden Schutzstandards – physisch wie digital.