Es gibt einen neuen Referentenentwurf des KRITIS-Dachgesetzes mit vom 21.12.23.
- Referentenentwurf, Bearbeitungsstand 21.12.2023 (veröffentlicht von der ag.kritis)
Die neue Version beinhaltet zahlreiche Änderungen zum bisher bekannten Entwurf vom 17.07.23. Das BMI hat eine Vergleichsversion erstellt, welche die Anpassungen darstellt.
- Vergleichsversion, Bearbeitungsstand 21.12.2023 (veröffentlicht von der ag.kritis)
Die genaue Auswertung der Änderungen Bedarf einer größeren Analyse. Nachfolgend stellen wir die wichtigsten Neuerungen dar. Wir werden den Artikel in den kommenden Tagen weiter ergänzen.
Wichtige Änderungen:
Identifizierung von Betreibern kritischer Anlagen: Es wahrscheinlich keine BSI-KritisV mehr. Der neue Entwurf sieht vor, dass die Identifizierung von Betreibern kritischer Anlagen künftig nur noch durch eine Zusatzverordnung zum KRITIS-Dachgesetz erfolgen soll und nicht mehr anhand der bekannten BSI-KritisV. Eine entsprechende Kritis-Dachgesetz Zusatzverordnung besteht derzeit noch nicht.
Meldepflichten: Meldungen erfolgen an eine zentrale Stelle. Es wurde weiter konkretisiert, dass Meldungen aus Kritis-Dachgesetz und BSIG nur an eine Stelle erfolgen sollen. Das BSI und das BBK sollen dazu eine gemeinsame Plattform schaffen.
Geschäftsführerhaftung: Konkretisierung der Regelung zur Geschäftsleiterhaftung aufgenommen (§ 14): Hier wurden die Formulierungen aus § 38 Abs. 1 BSIG-E übernommen. (u. a. Überwachungspflichten, Verzicht auf Ersatzansprüche, Schulungspflichten für Risikomanagement – Nachweis erforderlich!)
Maßnahmen für Unternehmen die in mehreren EU-Mitgliedsstaaten tätig sind: Bereits bekannt, aber nochmals konkretisiert: Betreiber kritischer Anlagen, die kritische Dienstleistungen in oder für mindestens sechs Mitgliedstaaten betreiben, werden als kritische Anlagen / Einrichtungen von besonderer Bedeutung für Europa identifiziert und unterliegen besonderen Maßnahmen.
Fristen: Resilienzmaßnahmen müssen 10 Monate nach Registrierung umgesetzt sein (§10). Dabei entfällt die bisherige Formulierung, dass die betreiberseitigen Resilienzmaßnahmen auf Basis der staatlichen Risikoanalysen erfolgen sollen. –> Betreiber sollten also nicht auf die staatliche Risikoanalyse warten.
Zuständigkeiten (Behörden): Mehr Kompetenzen für Landesbehörden(u. a. Festlegen von Resilienzmaßnahmen, Benehmen bei branchenspezifischen Resilienzstandards, ) ; zuständige Begörde der Länder geregelt in (§ 3 Absatz 4,5 ).
– Zusätzlich: „Die Landesregierungen werden ermächtigt, (…) sektorspezifische Mindestvorgaben für Resilienzmaßnahmen (…) festzulegen, solange und soweit kein entsprechender branchenspezifischer Resilienzstandard (…) als geeignet anerkannt wurde.“(§ 10 Absatz 7)
–> Betreiber und Branchenverbände sollten zeitnah mit der Erstellung von Resilienzstandards beginnen. Eine mögliche Regelung der Branchenanforderungen auf Landesebene würde die Komplexität und den Umsetzungsaufwand enorm erhöhen.