Kritis-Dachgesetz: Schutz wichtiger Infrastruktur bleibt trotz Inkrafttretens wirkungslos
Der Brandanschlag auf die Stromversorgung in Berlin mitten im Winter hat eindrücklich demonstriert, welche verheerenden Auswirkungen Angriffe auf die kritische Infrastruktur haben können. Trotz dieses Warnsignals entfaltet das neue Kritis-Dachgesetz einen Monat nach seinem Inkrafttreten noch keinerlei praktische Wirkung. Entscheidende staatliche Vorgaben und ein funktionierendes Meldeportal fehlen bislang vollständig.
Fehlende Verordnungen und technische Hürden
Das Gesetz zum Schutz wichtiger Infrastruktur vor Angriffen von Kriminellen, Extremisten und ausländischen Geheimdiensten trat zwar am 17. März offiziell in Kraft. Doch konkrete Maßnahmen lassen weiter auf sich warten, da sowohl notwendige Rechtsverordnungen als auch die technische Umsetzung eines Registrierungsportals noch nicht realisiert wurden. Ein Sprecher des Bundesinnenministeriums bestätigte, dass das Gesetz lediglich den Rahmen für die Stärkung der Resilienz kritischer Infrastruktur festlege und erst durch mehrere Rechtsverordnungen konkretisiert werden müsse.
Die Verzögerungen könnten sich noch deutlich verlängern, da ein Teil dieser Rechtsverordnungen zusätzlich der Zustimmung des Bundesrates bedarf. Die Länderkammer hatte bereits das ursprüngliche Gesetz im März nur nach erheblichen Diskussionen passieren lassen. Besonders kritisierten die Bundesländer den im Gesetz festgelegten Schwellenwert von 500.000 versorgten Personen für die Einstufung als kritische Infrastruktur. Sie plädierten vergeblich für eine Absenkung auf 150.000 Menschen, um mehr Einrichtungen unter den Schutz des Gesetzes zu stellen.
Physischer Schutz versus Cybersicherheit
Während der physische Schutz von Infrastruktur durch Zäune, Zugangsbeschränkungen und Identifizierung technischer Schwachpunkte noch in weiter Ferne liegt, zeigen sich im Bereich der Cybersicherheit bereits konkrete Fortschritte. Das Gesetz zur Umsetzung der NIS-2-Richtlinie trat bereits am 6. Dezember in Kraft und verpflichtet Unternehmen und Bundesbehörden, die für die Versorgung der Bevölkerung wichtig sind, zu verstärkten Schutzmaßnahmen gegen IT-Ausfälle und Cyberangriffe.
Mehr als 15.000 Betreiber von relevanten Anlagen und Institutionen haben sich seither auf einem eigens geschaffenen Meldeportal des Bundesamts für Sicherheit in der Informationstechnik registriert. Dieses Portal soll mittelfristig so ausgebaut werden, dass dort auch Angaben zum physischen Schutz von Infrastruktur hinterlegt und entsprechende Vorfälle gemeldet werden können. Das BSI setzt dabei auf einen kooperativen Ansatz, um diejenigen zu unterstützen, die ihre Registrierungspflicht bisher nicht erfüllt haben. Bei anhaltender Nichtbefolgung behält sich die Behörde jedoch bußgeldbewehrte Schritte vor.
Gemeinsame Meldestelle in Vorbereitung
Eine gemeinsame Meldestelle des Bundesamts für Sicherheit in der Informationstechnik und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe befindet sich derzeit in Vorbereitung. Laut einer BSI-Sprecherin wird diese Meldestelle zum Zeitpunkt des Inkrafttretens der Meldepflicht nach dem Kritis-Dachgesetz bereitstehen. Das Bundesinnenministerium betonte, dass die Betreiber kritischer Infrastruktur ausreichend Zeit für die Registrierung erhalten werden, sobald die notwendigen Rechtsverordnungen und technischen Voraussetzungen vorliegen.
Insgesamt zeigt sich eine deutliche Diskrepanz zwischen den ambitionierten Zielen des Kritis-Dachgesetzes und seiner bisherigen praktischen Umsetzung. Während der Schutz vor Cyberangriffen bereits konkrete Formen annimmt, bleibt der physische Schutz wichtiger Infrastruktur vor Sabotageaktionen und Angriffen weiterhin ein theoretisches Konzept, das auf seine praktische Umsetzung wartet.
