Artikel von unseren Mitgliedern

Anhörung zu 27. Sitzung des Ausschusses für Inneres, Sicherheit und Ordnung am 11.12.2023 im Abgeordnetenhaus von Berlin

Am 11. Dezember 2023 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung des Ausschusses für Inneres, Sicherheit und Ordnung im Abgeordnetenhauus von Berlin als Sachverständiger zum Thema „Schutz vor Cyberangriffen: Stand und Entwicklungen“ geladen. Die mündliche Stellungnahme im Ausschuss veröffentlichen wir hier.

„Wie steht es um die gesamte Sicherheit oder die Sicht der Sicherheit in Berlin? – Kurz und knapp: Gruselig und desolat wie in allen Bundesländern und auch auf der Bundesebene, weil alle von Befugnissen, Tätern oder Palantir und KI und Quellen-TKÜ reden, statt von Resilienz und Basissicherheitsmaßnahmen. Ich komme immer wieder auf diese zwei Punkte, weil das die wirkliche Abwehr von Angriffen ist, und dann verpuffen die wirkungslos.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Referentenentwurf des BMI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Hier stellt die AG KRITIS zur Transparenz allen Interessierten die öffentlich gewordenen Referentenentwürfe des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ bereit.

Über mehrere voneinander unabhängige Quellen wurde uns der derzeit aktuellste „Bearbeitungsstand: 22.12.2023 09:58“ des RefE NIS2UmsuCG zugespielt, so dass wir diese hier für den demokratischen Diskurs veröffentlichen.

Dem BMI ist durch die Festlegungen der gemeinsamen Geschäftsordnung der Ministerien bedauerlicherweise untersagt, Referentenentwürfe dieser Art zu veröffentlichen. Um dieses grundlegende Problem für frühzeitige zivilgesellschaftliche Einbindung zu beheben, hat das BMI zumindest das Diskussionspapier veröffentlicht und die AG KRITIS veröffentlicht im Sinne der zivilgesellschaftlichen Transparenz alle Versionen, die uns zugespielt werden.

Sollten zukünftig neue Versionen in Umlauf kommen, werden wir diese hier sammeln und veröffentlichen.

Du hast eine Version, die hier noch nicht gelistet ist? Gerne bei uns melden und bereitstellen. Danke im Voraus.

Timeline der NIS2UmsuCG Versionen:

22.12.2023 NIS2UmsuCG (164 Seiten)

27.09.2023 Diskussionspapier des BMI (Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland) (58 Seiten)

03.07.2023 NIS2UmsuCG (146 Seiten)

03.04.2023 NIS2UmsuCG (243 Seiten)

To be continued…

 

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

 

Alle Veröffentlichungen zu KRITIS Dachgesetz Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu IT-SiG 2.0 Referentenentwürfen findet ihr hier:

 

Stellungnahme zu KRITIS in der Enquetekommission „Krisen- und Notfallmanagement“ im Landtag NRW

Am 01. März 2024 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung der Enquetekommission „Krisen- und Notfallmanagement“ – durch die Lehren der Vergangenheit die Zukunft sicher gestalten zum Themenkomplex „KRITIS“ als Sachverständiger geladen. Neben der mündlichen Stellungnahme im Ausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

„Machen ist wie dran denken, nur krasser.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Stellungnahme zum Ref-E des KritisDachgesetz

Am 21.12.2023 kontaktierte uns das Bundesministerium des Inneren und bat um Stellungnahme zum aktuellen Referentenentwurf der Neufassung des Kritis-Dachgesetz.

Erstmalig bekamen wir die neue Version in einem offenen Format im Änderungsmodus geschickt – dieses Vorgehen möchten wir ausdrücklich loben. Im Vergleich zu allen anderen Kommentierungen und Stellungnahmen waren wir zum ersten Mal direkt in der Lage alle Änderungen direkt zu sehen – das hat viel Zeit gespart.

Ziel der Richtlinie soll sein, „einheitliche Mindestverpflichtungen für kritische Einrichtungen festzulegen und deren Umsetzung durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen zu garantieren.“

Dazu stellen wir fest: Der vorgelegte Gesetzesentwurf enthält keine Mindestverpflichtungen. Stattdessen regelt der Gesetzesentwurf, welche Behörde die Verordnungen erlassen müssen durch die wiederum Mindestverpflichtungen vorgeben würden.

Ob also die vorgesehenen Mindestverpflichtungen zum Ziel der Erhöhung der Resilienz der kritischen Anlagen und Systeme führen würden, lässt sich anhand des vorgelegten Referentenentwurfes nicht bewerten. Konkrete Handlungsanweisungen für KRITIS-Betreiber sind nicht enthalten.

Unsere Stellungnahme steht hier zum Download bereit:

Den bewerteten Referentenentwurf stellen wir hier zur Verfügung:

Herzlichen Dank für die Erlaubnis das Bild zu verwenden, es stammt von: C. Müller, und steht unter CC BY-SA 3.0 Lizenz – via Wikimedia Commons

schriftliche Stellungnahme für Anhörung im Thüringer Landtag

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 53. Sitzung am 30. November
2023 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum beratenen Gesetz zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes.

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/8909 von den drei Regierungsfraktionen DIE LINKE, SPD und BÜNDNIS90/DIE GRÜNEN eingebracht .

Teil der Anhörung ist auch ein Entwurf der FDP. Dieser Entwurf regelt ausschließlich die Altersversorgung von Feuerwehrangehörigen. Da die AG KRITIS diese Fragestellungen bisher nicht diskutiert hat, sehen wir von einer Stellungnahme zur entsprechenden Drucksache 7/8910 ab.

Der Regierungsentwurf will die alten analogen und unverschlüsselten Alarmierungsnetze der 14 Rettungsleitstellen durch moderne Technologie ersetzen. In unserer Stellungnahme geben wir Empfehlungen für daraus folgende technische Entscheidungen.

Unsere Stellungnahme findet sich hier zum Download.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

 

Aktualisierte BSI-Kritisverordnung tritt in Kraft

Zum 1.1.2024 ist die „Vierte Verordnung zur Änderung der BSI-Kritisverordnung“ in Kraft getreten. Sie bringt zwei positive Neuerungen bei Schwellwerten, spart aber die Sektoren Staat & Verwaltung, sowie Medien & Kultur weiterhin aus.

Mit der neuesten Änderung vom 29.11.2023 (https://www.recht.bund.de/bgbl/1/2023/339/VO.html) werden für den Sektor Siedlungsabfallentsorgung erstmals die Schwellenwerte definiert. Für Verwaltungs- und Zahlungssystem der
gesetzlichen Kranken- und Pflegeversicherung wird der Schwellenwert von 3 Millionen auf 500.000 Versicherte abgesenkt. Die Gas- oder Kapazitätshandelssystem werden zusätzlich zu gehandelten Gasmengen um gehandelte Gastransportkapazitäten erweitert.

Das Bundesministerium des Inneren (BMI) hat bei der AG KRITIS um Stellungnahme zum Entwurf gebeten. Leider konnten unsere Mitglieder diesen nicht rechtzeitig bewerten, denn unser Engagement erfolgt vollständig im Ehrenamt.

Wermutstropfen bleibt auch bei der vierten Änderung, dass die KRITIS Sektoren Staat & Verwaltung, sowie Medien & Kultur immer noch keine Beachtung finden. So sind jegliche staatliche Strukturen und deren Verwaltungen weiterhin nicht von den Regeln für KRITIS erfasst. Die Sektordefinition existiert, die dazugehörige Verordnung allerdings nicht. Cyberkriminelle lassen sich allerdings nicht abschrecken genau diese Verwaltungssysteme anzugreifen, weswegen diese besonders gut geschützt sein müssten.

Der komplette Text der BSI-Kritisverordnung in der aktuellen Fassung kann hier abgerufen werden: https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html

offener Brief: Vertrauen lässt sich nicht verordnen

Die Gesetze zur Gesundheitsdatendigitalisierung, die diese Woche im Deutschen Bundestag verabschiedet werden sollen, sind äußerst kritisch. Diese sollen, im Schatten der großen Haushaltsdebatte kurz vor Weihnachten noch diese Woche verabschiedet werden.

Mit dem offenen Brief des Innovationsverbunds öffentliche Gesundheit wendet sich ein breites Bündnis der digitalen Zivilgesellschaft an die Öffentlichkeit und Politik, um dieses Vorhaben in letzter Minute konstruktiv aufzuhalten. Unter großer Eile und größerer Intransparenz versucht das Bundesministerium der Gesundheit zwei Gesetze – das Digitalisierungsgesetz (DigiG) und das Gesundheitsdatennutzungsgesetz – noch diese Woche durchs Parlament zu bringen.

Normalerweise fordert die AG KRITIS die Regulierung von kritischer Infrastruktur. Enge regulative Vorgaben, die auf die Ziele der Authentizität, Verfügbarkeit, Vertraulichkeit und Integrität der kritischen Infrastrukturen abzielen, sind der Weg um der Wirtschaft vorzugeben, welche Maßnahmen unumgänglich sind.

In diesem Fall bestand die Chance, eine Architektur zu schaffen, die von vornherein den vier Schutzzielen genügt – diese Chance hat das BMG leider nicht ergriffen. Die Entwürfe, die diese Woche im Deutschen Bundestag verabschiedet werden, entsprechen nicht dem Stand der Technik.

Die Prüfsteine, die im offenen Brief genannt werden sind unbedingt einzuhalten. Keiner davon ist verhandelbar – denn IT-Sicherheit ist wie eine Ingenieursleistung. Kein Politiker würde auf die Idee kommen, einen Kompromiss zur Traglast einer Brücke zu schließen, denn die Traglast wird von einem Ingenieur berechnet und festgelegt.

Ob ein Schutzniveau angemessen ist, muss von Experten auf wissenschaftliche Weise bewertet werden. Die staatlichen Stellen, die wir uns geschaffen haben, um solche Fragen verbindlich zu bewerten müssen nun nach diesem Gesetzesentwurf zu Fragen der elektronischen Patientenakte nicht mehr berücksichtigt werden.

Das BMG hat es versäumt, trotz mehrfacher Aufforderung aus Zivilgesellschaft und Politik, eine robuste Architektur in einem offenen Konsultationsprozess vorzulegen. Stattdessen wurde die Systemarchitektur unter Verschluss gehalten, mutmaßlich bis das Gesetz durch den Bundestag verabschiedet wurde. Die wenigen belastbaren Daten die es zur Systemarchitektur gibt, lassen nichts gutes vermuten. Das Konzept „confidential computing“ auf das sich der Gesundheitsminister bezieht, ist vage, nicht definiert und kein Ersatz für hochwertige, patientenindividuelle Verschlüsselung.

Wir unterstützen diese breite zivilgesellschaftliche Initiative, die im offenen Brief „Vertrauen lässt sich nicht verordnen“ ausgeführt werden. Die Erstunterzeichner dieses offenen Briefs sind in alphabetischer Reihenfolge:

  1. AG KRITIS
  2. Chaos Computer Club e. V.
  3. D64 – Zentrum für Digitalen Fortschritt e. V.
  4. Deutsche Aidshilfe e. V.
  5. Digitale Gesellschaft e. V.
  6. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V.
  7. FrauenComputerZentrumBerlin e. V. (FCZB)
  8. Innovationsverbund Öffentliche Gesundheit (InÖG) e. V.
  9. Komitee für Grundrechte und Demokratie e. V.
  10. LAG Selbsthilfe von Menschen mit Behinderungen und chronischen Erkrankungen RLP e. V.
  11. LOAD e. V.
  12. Superrr Lab
  13. Topio e. V.
  14. Verbraucherzentrale Bundesverband e.V. (vzbv)

Wir fordern die Bundesregierung auf, das Gesetzesvorhaben zu stoppen. Der Text des öffentlichen Brief ist hier verlinkt:

 

Foto von Chris Liverani auf Unsplash

Bundesweiter Warntag 2023: AG KRITIS fordert bundesweite Gesetzesreform für Katastrophenschutz

Bundesweiter Warntag am 14.09.2023: AG KRITIS fordert Stärkung der Warnsysteme und bundeseinheitliche Gesetzgebung

Morgen, am 14. September 2023 werden um 11:00 im Rahmen des bundesweiten Warntages die Katastrophenwarnsysteme in ganz Deutschland getestet.

Unser Sprecher Manuel Atug dazu: „Katastrophenschutz ist keine kommunale Spielwiese!“ –

Johannes Rundfeldt mahnt: „Katastrophenwarnung und deren Übung darf nicht optional sein!“

Wir fordern dringend eine bundeseinheitliche Harmonisierung der Landesgesetze für Brand- und Katastrophenschutz. Die Verantwortung für den Betrieb und die Beschaffung der Warnmittel soll explizit in die Hände der Länder gelegt werden. Derzeit delegieren die Länder diese wichtige Aufgaben an die Kommunen, statten die Kommunen dann aber nicht mit den notwendigen Finanzmitteln aus. Im Ergebnis gibt es nicht überall Sirenen und z.B. die Anbindung von Stadtinformationssystemen ist äußerst heterogen.

Im Rahmen des bundesweiten Warntages erwarten wir, dass in allen drei Mobilfunknetzen 4-stellige Message ID Warnnachrichten per Cell Broadcast ausgesendet werden. Der Stichtag für die Umsetzung dieses Standards wurde bereits im Februar 2023 erreicht. Bedauerlicherweise unterliegt der Stichtag für die Umsetzung von 3-stelligen Message IDs, eine weitere Übergangsfrist, bis 24. Februar 2024.
Dies bedeutet, dass ältere Handys, insbesondere 2G-Geräte und Senioren-Handys – auch bekannt als „Tastentelefone“ – weiterhin nicht von Cell Broadcast Warnungen erreicht werden.
Möglicherweise wird, wie schon im Dezember 2022, immerhin die Telekom Cell Broadcast-Nachrichten für ältere Geräte aussenden.

Die AG KRITIS kritisiert die Tatsache, dass Kommunen die Teilnahme am bundesweiten Warntag freiwillig wählen können, jedoch nicht verpflichtet sind. Ein effektiver Warntag kann nur gewährleistet werden, wenn alle Beteiligten aktiv mitwirken.
Generell begrüßen wir jedoch den Warntag und sehen in ihm eine wichtige Möglichkeit, die Funktionsweise der Warnmittel zu testen und sicherzustellen, dass möglichst viele Bürgerinnen und Bürger erreicht werden. Alle Menschen in Deutschland können durch den Warntag die Funktionsweise der verschiedenen Systeme erfahren und so im Ernstfall noch schneller reagieren.

Beim letzten Warntag konnten nach einer repräsentativen Umfrage des BBK  90,8% der Bevölkerung mit mindestens einem Warnmittel erreicht werden. Das sind schon sehr gute Werte, damit die Durchdringung des Warnmittelmixes auch dieses Mal geprüft werden kann, empfehlen wir allen Bürgerinnen und Bürgern, die eigenen Erfahrungen am diesjährigen Warntag an das BBK zurückzumelden.

 

Foto von Etienne Girardet auf Unsplash 

Schriftliche Stellungnahme für den Landtag Thüringen

Wir wurden eingeladen, zu dem von der CDU-Fraktion eingebrachten Antrag 7/6817 trägt den Titel „Gewappnet für den Ernstfall? Reform des Thüringer Katastrophenschutzes endlich angehen!“ als AG KRITIS Stellung zu nehmen. Der Antrag aus der Opposition versucht mit offensiven Einzelmaßnahmen den Katastrophenschutz in Thüringen zu verbessern.

Außer acht gelassen wird dabei, dasss nur mehr Geld und mehr Ausrüstung nicht helfen, die Wirksamkeit des Katastrophenschutzes zu erhöhen: stattdessen braucht es systemische und strukturelle Veränderungen, Standardisierung und stärkere Digitalisierung, gerade in dem eher tradierten Feld des Katastrophenschutzes. Auch auf die Bereiche Ausbildung und Übung gehen wir in unserer Stellungnahme ein.

Unsere Schlußfolgerung zu dem Antrag:

Der föderale Staat stellt ein strukturelles Problem im Katastrophenschutz dar, denn Katastrophen und deren Bewältigung halten sich nicht an Landesgrenzen. Es ist dem Bürger nicht erklärbar, wenn zwischen Ländern der Katastrophenschutz unterschiedlich ausgerüstet ist, funktioniert oder reagiert.

Sowohl die Vorgehensweisen, als auch die eingesetzten Technologien und Strukturen des Katastrophenschutzes müssen so einheitlich wie irgendwie möglich aufgestellt sein, um nahtlose gegenseitige Unterstützung jederzeit gewährleisten zu können. Eine solche Harmonisierung ist daher auch innerhalb der Bundesländer dringend zu verwirklichen.

Hier muss viel Verantwortung von den Kreisen und Kommunen zurück auf das Land übertragen werden, denn Kreise und Kommune haben oft nicht die Ressourcen, dieser Verantwortung gerecht zu werden.

Download der Stellungnahme als PDF

Drucksache_7-6817_Stellungnahme_AG_KRITIS_20230825

 

Image: Landtag Thüringen

 

Kommentar zum Referentenentwurf des KRITIS-Dachgesetz (KRITIS-DachG)

Die beiden Leiter der AG KRITIS, Manuel Atug und Johannes Rundfeldt zum von der AG KRITIS veröffentlichten Entwurfs des KRITIS-DG von Juni 2023:

Der geleakte Entwurf des KRITIS-Dachgesetz (KRITIS-DachG) wirkt auf den ersten Blick überschaubar, aber bei genauerem Hinsehen ist er sehr unabgestimmt und unvollständig und es gibt viel zu viele Ausnahmen und sehr späte Fristen, die erst in vielen Jahren initial greifen oder wirken werden. Zu viele Punkte sind leider ein Stillstand oder gar Rückschritt und halten bestehende Gefahren und Risiken über Jahre weiterhin offen.

Manuel Atug dazu: „Schade, mit den vielen Ausnahmen und Verantwortungsdiffusion wird das keine ganzheitliche Resilienz für Deutschland werden. Mit den späten Fristen wird da auch vor 2028 nicht wirklich viel wirken, daher passiert auf der aktuellen Basis erst mal 5 Jahre lang wenig bis gar nichts. Haben wir so viel Zeit und können wir so entspannt sein?“

Johannes Rundfeldt dazu: „Der vorliegende Entwurf, der direkt nach den Anschlägen auf Nordstream 2 angekündigt wurde, entpuppt sich, wie bereits befürchtet, als politischer Opportunismus. Das KRITIS-Dachgesetz wird den hochtrabenden Versprechungen des BMI nicht gerecht und ist unvollständig.“

Analyse und Kommentierung der AG KRITIS zum Entwurf des KRITIS-DachG

Einleitung

Ein Dachgesetz soll, so sagt schon der Name, das gesamte Thema vollständig abdecken und einen verbindlichen regulatorischen Rahmen bilden. Die Ministerin hatte dazu erklärt: „Wir werden die besonders zu schützenden Bereiche definieren, Risiken und Bedrohungslagen besser erkennen und verpflichtende Schutzstandards festlegen.“ Da durch die bevorstehende Umsetzung der NIS2 Direktive und der DORA Richtlinie in den kommenden Monaten doch noch einiges an Änderungen zu erwarten sind, definiert das KRITIS-DachG entgegen der Behauptungen das Thema höchstens vorläufig.

Bewertung von Sicherheitsrisiken, Bedrohungen und Vorfällen § 3 Abs 2

Das BBK soll zukünftig von BSI und der BnetzA u.a. Infos zu IT-Sicherheitsrisiken, -bedrohungen, -vorfällen erhalten. Derzeit ist jedoch für die sinnvolle Auswertung und Bewertung dieser Daten im BBK kein fachlich kompetentes Personal vorhanden – im BSI jedoch schon. Einen Personalaufwuchs beim BBK würden wir begrüßen, ob es aber sinnvoll ist, diese Daten dann zweimal, sowohl im BSI als auch im BBK zu bewerten erscheint vor dem Hintergrund des Fachkräftemangels im IT-Bereich wenig sinnvoll. Falls das BMI trotzdem nur einen Grund sucht, dem BBK ein erhebliches Aufstocken der Belegschaft zu ermöglichen, würden wir empfehlen dieses im Zuge des „Neustart im Bevölkerungsschutz“ des BMI zu tun, der bisher leider eher einen Stillstand aufrecht hält. § 3 Abs 2

Neudefinition der Sektoren – § 2 Abs 12b, § 4 Abs 1

Das KRITIS Dachgesetz definiert die Sektoren der kritischen Anlagen neu. Im KRITIS Dachgesetz ist die öffentliche Verwaltung erstmalig aufgenommen, nachdem diese bisher im BSIG nicht vorhanden war. Gleichzeitig wird der Sektor „Wasser“ aufgeteilt in zwei Sektoren: „Trinkwasser“ und „Abwasser“. „Weltraum“ kommt als neuer Sektor hinzu. Auch im NIS2-Umsetzungsgesetz wird der Sektor „Weltraum“ aufgenommen – der Sektor „öffentliche Verwaltung“ ist jedoch nicht Teil der kritischen Anlagen. Der Sektor „Medien und Kultur“, unter den auch die Katastrophenschutzinformationssysteme der öffentlich-rechtlichen Medien fallen würden, ist weiterhin nicht definiert. Bemerkenswert ist außerdem, dass die Sektoren „Wissenschaft und Forschung“ und „Chemie“ fehlen. Diese sind nur unter der neuen Kategorie „wichtige Einrichtungen“ zu finden, nicht aber unter „kritische Anlagen“. § 2 Abs 12b, § 4 Abs 1

Leider bleiben die neuen Kategorien der „wichtigen Einrichtungen“ und der „besonders wichtigen Einrichtungen“ für das KRITIS Dachgesetz irrelevant, da diese Kategorien dort gar nicht reguliert werden. (Begründung Teil B §2 zu Nr. 10)

Im Endeffekt betrifft das KRITIS Dachgesetz also nur eine Teilmenge der kritischen Infrastruktur, die sich zudem von der Teilmenge kritischer Infrastruktur im NIS2-Umsetzungsgesetz unterscheidet.

Branchenspezifische Resilienzstandards – § 6 Abs 2

Betreiber von KRITIS können branchenspezifische Resilienzstandards (BSRS) erstellen, vergleichbar der branchenspezifischen Sicherheitsstandards (B3S in BSI-Gesetz § 8a Abs 2). Grundsätzlich ist dies eine gute Idee, allerdings wird es, genau wie bei den branchenspezifischen Sicherheitsstandards wieder viele Jahre dauern, bis diese neuen Resilienzstandards entwickelt und umgesetzt worden sind. § 6 Abs 2

Registrierung beim BBK – § 8 Abs 1,2

Schon jetzt müssen KRITIS Betreiber sich beim BSI registrieren. Unsere Befürchtungen, dass eine doppelte Registratur notwendig wird, haben sich nicht bewahrheitet – Es wird eine gemeinsame Registrierung der KRITIS Betreiber bei BBK und BSI geben, statt einer separaten neue Registrierung beim BBK. Auch die Ersatzvornahme der Registrierung bei Verweigerung selbiger ist durch die gemeinsame Registrierung elegant gelöst. Die neue Regelung ist daher vergleichbar der BSI Ersatzvornahme B3S in BSI-Gesetz § 8b Abs 3. Die dringende Empfehlung der AG KRITIS, keine doppelten und parallelen Strukturen aufzubauen wurden hier offenbar erhört. § 8 Abs 1,2

Erreichbare Kontaktstelle – § 8 Abs 3,4

Wir begrüßen ausdrücklich, dass die KRITIS Betreiber nun dem BBK eine jederzeit erreichbare Kontaktstelle benennen müssen. Hoffentlich wird das BBK stichprobenartige Kontrollen durchführen, um festzustellen, ob diese Kontaktstelle auch rund um die Uhr besetzt ist. § 8 Abs 3,4

Betreiberliste im BBK – § 8 Abs 5

Zur Pflicht, die sich aus Absatz 5 ergibt, alle 4 Jahre eine Liste der KRITIS Betreiber im BBK zu erstellen fragen wir uns, wieso das nicht aus dem gemeinsamen Registrierungsportal von BSI und BBK extrahiert werden kann. Dies dürfte Arbeit sparen. § 8 Abs 5

Sektorübergreifende Risikoanalysen und –bewertungen BBK – § 9 Abs 2

Das BBK wertet die durch die verantwortlichen Bundesministerien durchzuführenden Risikoanalysen und –bewertungen sektorübergreifend aus. Es wird also ein sektorübergreifendes Lagebild erstellt. Dies sollte öffentlich verfügbar gemacht werden. Wenn es wieder mal ein Dokument ist, das in den zuständigen Behörden vergilbt und nur in Auszügen den Betreibern zur Verfügung gestellt wird, nützt das weder KRITIS Betreibern, noch der Versorgungssicherheit der Bevölkerung. § 9 Abs 2

Sektorübergreifende Risikoanalysen und –bewertungen der Betreiber § 10 Abs 1

KRITIS Betreiber führen auf Basis der durchgeführten staatlichen Risikoanalysen und -bewertungen nach § 9 und anderer Informationsquellen initial 9 Monate nach Registrierung und dann spätestens alle 4 Jahre Risikoanalysen und -bewertungen durch. Inkl. „Wirtschafsstabilität beeinträchtigenden, naturbedingten, klimatischen und vom Menschen verursachten Risiken berücksichtigen, darunter solche sektorübergreifender oder grenzüberschreitender Art, Unfälle, Naturkatastrophen, gesundheitliche Notlagen, sowie hybride Bedrohungen oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten“ sowie „Wirtschafsstabilität beeinträchtigenden, Risiken berücksichtigen, die sich aus dem Ausmaß der Abhängigkeiten anderer Sektoren von der kritischen Dienstleistung, die von der kritischen Anlage – auch in benachbarten Mitgliedstaaten und Drittstaaten – erbracht wird“. Das alles findet leider sehr spät und selten statt, aber immerhin soll was passieren. § 10 Abs 1

Begrüßenswert ist, dass endlich auch eine Analyse der Abhängigkeiten zwischen den verschiedenen Sektoren selbst, sowohl durch die zuständigen Bundesministerien als auch durch die Betreiber durchgeführt werden muss. Wir halten zwar den Turnus von 4 Jahren für zu lang, begrüßen aber den grundsätzlichen Ansatz. Insbesondere möchten wir hier anmerken, dass der Vorschlag die Abhängigkeiten der Sektoren untereinander und mögliche Szenarien, bei denen kaskadierende Ausfälle verschiedene Sektoren gleichzeitig betreffen, von uns bereits 2019 im Rahmen des IT-SiG2 gemacht wurden. Damit diese Risiken nicht nur bei der physischen Sicherheit betrachtet werden, halten wir es für notwendig, dieselben Auflagen und Analysen auch in der NIS2-Umsetzung vorzugeben.

Ausnahmen von den Risikoanalysen und -bewertungen – § 10 Abs 3

Ausgenommen von den verpflichtenden Risikoanalysen und -bewertungen sind KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Vier wesentliche Branchen werden vollständig ausgeklammert, was weder sinnvoll noch nachvollziehbar ist. Ein Dachgesetz, das nur für sechs von elf Sektoren anwendbar ist, kann vieles sein, aber kein Dachgesetz. § 10 Abs 3

Stand der Technik – soll oder muss? § 11 Abs 1,2

KRITIS Betreiber müssen innerhalb von 10 Monaten nach Registrierung (§ 11 Abs 13) „geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz“ treffen. „Dabei soll der Stand der Technik eingehalten werden“ (nicht muss?!?). „Technische, sicherheitsbezogene und organisatorische Maßnahmen sind verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer Beeinträchtigung der kritischen Dienstleistung zu den Folgen ihres Ausfalls oder ihrer Beeinträchtigung angemessen erscheint“. Dazu gibt es auch einen Anhang 1 mit mehr Details. Warum der Stand der Technik nur eingehalten werden soll, statt das verpflichtend vorzugeben erschließt sich uns nicht. Hier halten wir es für notwendig, den Stand der Technik als „Muss“-Vorschrift zu formulieren § 11 Abs 1,2

Welche Maßnahmen zählen dazu? Solche, die erforderlich sind, um:

  1. das Auftreten von Vorfällen zu verhindern,
  2. einen angemessenen physischen Schutz der Räumlichkeiten der kritischen Anlagen zu gewährleisten,
  3. auf Vorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen,
  4. nach Vorfällen die Wiederherstellung zu gewährleisten,
  5. ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten, einschließlich des Personals externer Dienstleister und
  6. das entsprechende Personal für die unter den Nummern 1 bis 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen zu sensibilisieren. § 11 Abs 3

Resilienzplan § 11 Abs 6

KRITIS Betreiber müssen die durchzuführenden Maßnahmen in einem Resilienzplan darstellen. Der ist dem BBK spätestens zu einem vom BBK (mit BSI abgestimmt) bei Registrierung festgelegten Zeitpunkt und anschließend alle 2 Jahre nachzuweisen. § 11 Abs 6

KRITIS Betreiber müssen dem BBK Dokumente zur Stärkung der Resilienz zum festgelegten Zeitpunkt bereitstellen. Das BBK bestimmt dann, ob diese Maßnahmen dann vollständig oder teilweise den Verpflichtungen entsprechend gelten. Legt der KRITIS Betreiber Bescheide, Genehmigungen, Zertifizierungen oder ähnliche Nachweise zur Resilienzsteigerung von anderer zuständiger Behörde vor, gelten die darin beschriebenen Maßnahmen ohne weitere Überprüfung als erfüllt. § 11 Abs 7

BBK und zuständige Aufsichtsbehörde des Bundes können bei Verstößen gegen die Anforderungen KRITIS Betreiber anweisen, erforderliche und verhältnismäßige Maßnahmen zu ergreifen, um festgestellte Verstöße innerhalb einer angemessenen Frist zu beheben. Nach unserer Lesart des Gesetzes können hier auch Bußgelder nach § 19 verhängt werden. § 11 Abs 10

Ausgenommen davon sind KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Vier wesentliche Branchen werden hier erneut vollständig ausgeklammert, was nicht sinnvoll ist. § 11 Abs 14

Meldepflicht für Vorfälle § 12 Abs 1,3

KRITIS Betreiber sind spätestens 10 Monate nach Registrierung verpflichtet, Vorfälle, die die Erbringung ihrer kritischen Dienstleistungen erheblich stören könnten, unverzüglich über ihre Kontaktstelle an eine gemeinsame BBK und BSI Meldestelle zu melden. Für tatdächlich stattgefundene Vorfälle muss eine erste Meldung bis spätestens 24 Stunden nach Kenntnisnahme des Vorfalls übermittelt werden, es sei denn, dies ist in operativer Hinsicht nicht möglich. Spätestens einen Monat danach muss ein ausführlicher Bericht übermittelt werden. § 12 Abs 1,3

Ausgenommen davon sind wieder KRITIS Betreiber aus den Sektoren „Finanz- und Versicherungswesen“ und „Informationstechnik und Telekommunikation“. Abermals werden hier vier wesentliche Branchen vollständig ausgeklammert. § 12 Abs 9

Verordnungsermächtigung für kritische Komponenten – § 13

Einsatz kritischer Komponenten: Die Verordnungsermächtigung wäre ein spannender Teil, der wird aber offenbar noch diskutiert. Der Paragraph ist daher noch komplett ohne Inhalt, weil derzeit noch unabgestimmt zwischen den Ressorts. § 13

In der hierzu kommenden – aber noch nicht existierenden – Rechtsverordnung können „Stichtage festgelegt und Teile der Bundesverwaltung als kritische Infrastruktur bestimmt“ werden. Dass hier wieder nur Teile der Bundesverwaltung KRITIS werden könnten und Kommunen und Bundesländerebene schon wieder nicht vorkommen zeigt, wie unvollständig das ganze durch all die vielen Ausnahmen und Abgrenzungen sein wird. § 15

Befreiung von den KRITIS-Pflichten – § 16 Abs 1

Das BMI kann auf Vorschlag von Bundeskanzleramt, BMVG oder auf eigenes Betreiben KRITIS Betreiber von Verpflichtungen nach diesem Gesetz teilweise (einfacher Ausnahmebescheid) oder insgesamt (erweiterter Ausnahmebescheid) befreien, wenn der KRITIS Betreiber gleichwertige Vorgaben einhält. Warum sollte sowas möglich sein? Und wieso können nicht alle KRITIS Betreiber den Nachweis durch Einhaltung des Stand der Technik bringen – der wirkungsvolle Alternativen ja bereits zulässt? Diese vielen unsinnigen Ausnahmeregelungen und alternativen Vorgehensweisen verkomplizieren die Umsetzung und Einhaltung enorm. Das BMI will anscheinend ein DACH mit Löchern und einem integrierten Wimmelbild der Verantwortungsdiffusion bauen. § 16 Abs 1

KRITIS Betreiber, die

  1. in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten (relevante Bereiche) tätig sind oder Dienste erbringen, oder
  2. ausschließlich für Behörden, die Aufgaben in relevanten Bereichen nach Nummer 1 erfüllen, tätig sind oder Dienste erbringen,

können für diese Tätigkeiten oder Dienste von den Maßnahmen nach § 10 und § 11 und Meldepflichten nach § 12 befreit werden. Die Resilienz dieser Betreiber kritischer Anlagen muss in diesen Fällen anderweitig gewährleistet sein und beaufsichtigt werden. Es werden wieder große Teile kritischer Infrastruktur aus dem Sektor „Staat und Verwaltung“ ausgeklammert, was aufgrund dieser vielen Ausnahmeregelungen keinem ganzheitlichen Resilienzansatz entspricht. Ebenso ist völlig offen, wie eine solche Beaufsichtigung umgesetzt werden soll. § 16 Abs 2

Evaluation – § 18

Das BMI wird das Gesetz regelmäßig, spätestens nach Ablauf von fünf Jahren nach Inkrafttreten des Gesetzes auf wissenschaftlich fundierter Grundlage evaluieren. Hier macht es sich das BMI wieder einfach, denn schon die Evaluierung des IT-SiG 2.0 war nicht wissenschaftlich und eher minderqualitativ. Dort wurden primär subjektive Einschätzung zur Maßnahmengüte, Effektivität und Komplexität der Umsetzung abgefragt, jedoch keine wissenschaftliche Evaluierung der Gesamtsituation vorgenommen. Eine seltene, erst in fünf Jahren stattfindende Evaluierung wird keinen effektiven Verbesserungsprozess gewährleisten. Stattdessen sollten die Kritierien für eine fortlaufende Evaluation schon mit der Verabschiedung des Gesetzes festgelegt werden. § 18

Bußgelder – § 19

Bußgeldvorschriften sind definiert, aber die Höhe der Bußgelder für die Ordnungswidrigkeiten ist noch nicht formuliert worden. Die Abstimmung mit dem BMJV läuft wohl noch und wird mit Spannung erwartet. § 19

Das Gesetz tritt am Tag der Verkündung in Kraft. Soweit sogut, wann auch immer das sein wird. Laut EU muss das spätestens im Oktober 2024 erfolgen, aber Frau Faeser hat ja angekündigt, dass das noch dieses Jahr kommen soll, weil es eilt. Wir sind gespannt.

Inkrafttreten

Alle Maßnahmen und Vorgaben sollen voraussichtlich am 01.01.2026 in Kraft treten. Diese ungewöhnlich lange Frist wird also weitere Jahre der Verzögerungen bei der Umsetzung verursachen.

Die Bußgeldvorschriften hingegen sollen erst am 01.01.2027 in Kraft treten. Hier wird es also noch ein Jahr oben drauf als Schonfrist gegeben, weil wir offenbar wirklich viel Zeit haben, diese wichtigen Maßnahmen zu ergreifen?

Anhang 1

Anhang 1 (insbesondere zu berücksichtigende Maßnahmen nach § 11 Absatz 1):

Zu den bei einer Abwägung durch den Betreiber kritischer Anlagen zu berücksichtigenden Maßnahmen können insbesondere zählen:

  1. a) um das Auftreten von Vorfällen zu verhindern:

– Maßnahmen der Notfallvorsorge

– Maßnahmen zur Anpassung an den Klimawandel

  1. b) um einen angemessenen physischen Schutz ihrer Räumlichkeiten und Kritischen Infrastrukturen zu gewährleisten:

– Maßnahmen des Objektschutzes, u.a. das Aufstellen von Zäunen und Sperren

– Instrumente und Verfahren für die Überwachung der Umgebung

– Detektionsgeräte

– Zugangskontrollen

  1. c) um auf Vorfälle zu reagieren, sie abzuwehren und die Folgen solcher Vorfälle zu begrenzen:

– Risiko- und Krisenmanagementverfahren und –protokolle

– vorgegebene Abläufe im Alarmfall

  1. d) um nach Vorfällen die Wiederherstellung zu gewährleisten:

– Maßnahmen zur Aufrechterhaltung des Betriebs (z.B. Notstromversorgung)

– Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen

  1. e) um ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeiter zu gewährleisten:

– Festlegung von Kategorien von Personal, das kritische Funktionen wahrnimmt,

– Festlegung von Zugangsrechten zu Räumlichkeiten, kritischen Infrastrukturen und zu sensiblen Informationen

– Berücksichtigung von Verfahren für Zuverlässigkeitsüberprüfungen und Benennung von Kategorien von Personal, die solche Zuverlässigkeitsüberprüfungen durchlaufen müssen; dabei bleiben die Vorschriften der Fachgesetze hinsichtlich der Zuverlässigkeitsüberprüfungen unberührt

– Festlegung angemessener Schulungsanforderungen und Qualifikationen

  1. f) um das entsprechende Personal für die unter den Buchstaben a bis e genannten Maßnahmen zu sensibilisieren:

– Schulungen

– Informationsmaterial

– Übungen

Zur Unterstützung der KRITIS Betreiber stellt das BBK Vorlagen und Muster zur Verfügung. Die Maßnahmen sind eine Liste von Ideen, wir befürchten nur, dass sich genau an diesen ausgerichtet wird und alles andere kaum Berücksichtigung finden wird, schade. Wir bezweifeln nicht, dass diese Vorlagen und Muster letztlich hilfreich sein werden (wie auch beim BSI), jedoch wird die Entwicklung viel Zeit beanspruchen und Zeit haben wir in Fragen KRITIS einfach nicht mehr.

Und hier findet Ihr noch den von der AG KRITIS veröffentlichten Entwurfs des KRITIS-DG von Juni 2023.

Foto von Sam LaRussa auf Unsplash

Diese Stellungnahme wurde auch als PDF erstellt und steht hier zum Download bereit.