KRITIS-Dachgesetz

Der Referentenentwurf einer Verordnung zur Bestimmung kritischer Anlagen nach dem KRITIS-Dachgesetz verfolgt das Ziel, den Anwendungsbereich des KRITIS-Dachgesetzes zu konkretisieren und den Kreis der Betreiber festzulegen, die künftig wesentliche Pflichten im Bereich physischer Resilienz und IT-Sicherheit erfüllen müssen. Die Anknüpfung an die bekannte Methodik der bestehenden Kritisverordnung ist grundsätzlich zu begrüßen, da kritische Dienstleistungen, Anlagenkategorien, Schwellenwerte und Versorgungsgrade weiterhin zentrale Orientierungspunkte bilden und damit zu Rechtsklarheit beitragen können. Ebenfalls sachgerecht ist das Ziel, Vorgaben zur physischen Resilienz und zur IT-Sicherheit kohärent auszugestalten.

Gleichzeitig enthält der Entwurf Regelungen, die eine praxistaugliche, verhältnismäßige und rechtssichere Anwendung teilweise gefährden. Insbesondere weit gefasste Anlagenbegriffe, unklare Aggregationsregeln und fehlende Abgrenzungen können vor allem bei Cloud-, Hosting-, Plattform- und Multi-Tenant-Strukturen zu einer nicht intendierten Ausweitung des Anwendungsbereichs führen. Zudem bestehen sektorspezifische Präzisierungsbedarfe, etwa bei zentralen IT-Systemen in der Stromversorgung, internen IT-Systemen im IKT-Sektor, Herstellungstätigkeiten im Gesundheitsbereich, messbaren Kriterien im Finanzwesen, Serviceeinrichtungen und intelligenten Verkehrssystemen im Verkehrssektor sowie der besonderen Kritikalitätslogik im Sektor Weltraum. Darüber hinaus sollten Evaluierungsfristen verkürzt, Übergangs- und Umsetzungsfristen klar geregelt und redaktionelle Unklarheiten bereinigt werden. Der Bitkom fordert daher eine rechtssichere, risikoorientierte und verhältnismäßige Ausgestaltung der Verordnung, klare Kriterien für Anlagenkategorien und Schwellenwerte, eine enge fachliche Abstimmung mit den betroffenen Unternehmen und Verbänden sowie praxistaugliche Leitfäden, Berechnungsbeispiele und Übergangsregelungen.