Kritische Infrastrukturen besser zu schützen ist ein erklärtes Ziel der Gesetzgeber, und so wurden mit der für IT-Sicherheit maßgeblichen NIS2- und der Richtlinie über den physischen Schutz kritischer Einheiten (CER) schon vor Jahren zwei wesentliche Überarbeitungen auf den Weg gebracht, die der Gesetzgeber inzwischen auch in nationales Recht überführt hat.
Doch das Nebeneinander von Vorschriften für den physischen Schutz und IT-Sicherheits-Vorgaben sorgt auch gehörig für Verwirrung. Einige der Branchen fielen früher nur unter die NIS-Richtlinie mit ihren damaligen Versorgungsschwellenwerten. Jetzt gilt für sie sowohl das NIS2-Regime, das in Deutschland ins BSI-Gesetz (BSIG) transformiert wurde, als auch das Regime des Kritis-Dachgesetzes (KritisDachG).
Das betrifft etwa die „Kritischen Entitäten“ nach CER, die zugleich auch über die Sektorenregelung des Annex I zur NIS2 reguliert werden. Mit einer Verordnung zum Kritis-Dachgesetz soll das Nebendurcheinander nun in Deutschland beseitigt werden – und klarer geregelt werden, was für wen unter welchen Voraussetzungen gilt – und damit auch: für wen nicht.
„Betreiber kritischer Anlagen“ würden „nach Inkrafttreten dieser Verordnung nur noch durch das KRITISDachG und diese Verordnung bestimmt, und zwar auch im Hinblick auf Verpflichtungen zur IT-Sicherheit nach dem BSIG“, heißt es in dem Referentenentwurf für die neue Kritis-Verordnung („KritisV“) aus dem Bundesinnenministerium. Praktisch soll das bedeuten: Wer dem Dachgesetz für kritische Infrastrukturen unterliegt, muss auch bestimmte NIS2-Teile des BSI-Gesetzes beachten – denn NIS2 betrifft einen viel größeren Kreis an „Verpflichteten“, wenn wohl auch weniger als ursprünglich vorausgesagt.
