Die Regelwerke zur Beaufsichtigung sog. kritischer Infrastrukturen werden immer feinmaschiger. Im Kern geht es hier um den Schutz der IT- und Cybersicherheit sowie die Implementierung virtueller und physischer Resilienzmaßnahmen von Unternehmen, die in besonders sensiblen Sektoren tätig sind. Normadressaten haben es hier zukünftig mit materiellen Anforderungen unterschiedlicher Rechtsmaterien und verschiedenen Aufsichtsbehörden zu tun.
Beaufsichtigte Unternehmen
Adressaten der verschiedenen Regelungsbereiche zur Beaufsichtigung kritischer Infrastrukturen sind – grob gesagt – Einrichtungen und Anlagen, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Abfallentsorgung angehören und von Bedeutung für das Funktionieren des Gemeinwesens sind – zumal dortige Ausfälle oder Beeinträchtigungen Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit bedingen könnten. Eine genaue technische Erfassung relevanter Anlagen und Dienstleistungen ergibt sich hier regelmäßig aus nachrangigen Rechtsverordnungen, die in den verschiedenen Sektoren u.a. Schwellenwerte festlegen, nach Maßgabe derer sich die genauen Pflichtenkreise der Adressaten sowie die gebotene aufsichtsrechtliche Eingriffsintensität im Einzelfall ermitteln lässt.
Wesentliche Pflichten und Aufsichtsämter
Betreibern kritischer Infrastrukturen obliegen eine Reihe materieller Pflichten, die aufsichtsrechtlich überwacht werden. Insbesondere sind hier behördliche Registrierungen vorzunehmen und angemessene organisatorische und technische Vorkehrungen zum Schutz der Anlagen sowie zur Störungs- und Gefahrenerkennung vorzuhalten. Hinzu kommen Meldepflichten im Falle von IT- und sonstigen Störungen oder „Angriffen“ sowie entsprechende Dokumentations- und Nachweispflichten. „Beteiligte“ Aufsichtsbehörden sind bislang insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Weitere Zuständigkeiten ergeben sich für das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und die Bundesnetzagentur.
Gesetzgeberische „Pipeline“
Während das hiesige BSI-Gesetz nebst nachfolgender – und materiell maßgeblicher – BSI-Kritisverordnung (BSI-KritisV) bereits seit einiger Zeit anwendbar sind, liegt auf europäischer Ebene nunmehr zudem eine „Magna Charta“ für die Stärkung der operationellen Resilienz im Bereich des Finanzsektors vor, die darauf abzielt, die digitalen Fähigkeiten der Unternehmen im Falle etwaiger Cyberangriffe sicherzustellen bzw. aufrecht zu erhalten (Digital Operational Resilience Act, DORA); diese Verordnung gilt nach einer Übergangsfrist ab Januar 2025 unmittelbar und bedarf mithin keiner weiterer mitgliedstaatlicher Umsetzungsakte. Inwieweit sich Anwendungsbereiche von BSIG/BSI-KritisV einerseits und DORA andererseits dann künftig voneinander abgrenzen lassen und ob hier Überschneidungen oder aufsichtsrechtliche Redundanzen zu Lasten der von beiden Regelungswerken erfassten Adressatenkreise zu erwarten sind, wird sich letztlich erst im Praxistest erweisen. – Auch weitere „flankierende“ Rechtsmaterien sind in Vorbereitung: So laufen aktuell Umsetzungsfristen für zwei weitere EU-Richtlinien, die ebenfalls die Resilienz kritischer Einrichtungen („CER-Richtlinie“) und die Verbesserung des Sicherheitsniveaus von Netz- und Informationssystemen („NIS-2-Richtlinie“) zum Ziel haben und mittels entsprechender Umsetzungsgesetze in nächster Zeit in mitgliedstaatliches Recht zu transformieren sind. Was die Umsetzung der genannten CER-Richtlinie betrifft, wird insoweit vom Bundesministerium des Innern und für Heimat aktuell der Entwurf eines sog. KRITIS-Dachgesetzes konsultiert – das weitere Gesetzgebungsverfahren dürfte hier zügig von statten gehen. Dieses Gesetz dient in Abgrenzung zum BSI-Regime dem Schutz nicht IT-bezogener bzw. physischer Maßnahmen und soll hier ein angemessenes Aufsichtsniveau implementieren (sog. All-Gefahren-Ansatz). Auch hier zeichnen sich wesentliche materielle Regelungen zu Risikobewertungen, anstehenden Resilienzmaßnahmen und maßgeblichen Schwellenwerten einzelner Sektoren bislang nicht im Einzelnen ab und bleiben bis auf Weiteres noch einer abzustimmenden untergesetzlichen Rechtsverordnung vorbehalten. Abgrenzungsprobleme auch dieses Regelungswerkes zum Bereich BSIG/KritisV scheinen vorprogrammiert. Was die Umsetzung der NIS-2-Richtlinie betrifft, beabsichtigt der hiesige Gesetzgeber diese unmittelbar mit weiteren Regelungen eines Cybersicherheitsstärkungsgesetzes zu verbinden.
Praxistipp
Es bleibt zu hoffen, dass sich aus den verschiedenen Rechtsmaterien ein einheitliches Ganzes formen lässt und etwaige Redundanzen sowohl hinsichtlich der materiellen Anwendungsbereiche als auch der behördlichen Zuständigkeiten vermieden werden. Vielleicht hilft hierbei die ebenfalls gemeinschaftsrechtlich geforderte Implementierung einer übergeordneten sog. Nationalen KRITIS-Resilienzstrategie. Werden die anstehenden Gesetze bereits „ganzheitlich“ im Lichte einer solchen Strategie erlassen, ließen sich auf diesem Wege ggf. unnötige Doppelzuständigkeiten und ein regulatorischer „Overload“ vermeiden. – Jedenfalls sollten Unternehmen, die in den genannten Sektoren tätig sind, frühzeitig prüfen, ob und in welchem Umfang sie den verschiedenen gesetzlichen Anwendungsbereichen unterliegen (wobei es maßgeblich auf die jeweiligen technischen Gegebenheiten der betreffenden Einrichtungen/Anlagen und die Erreichung bestimmter Schwellenwerte in den verschiedenen Sektoren ankommen dürfte). Sodann ist zu bedenken, dass selbst bei den Regelungswerken, bei denen noch Übergangszeiten bestehen, zweckmäßigerweise schon frühzeitig entsprechende Ermittlungen und vorbereitende Implementierungsmaßnahmen in die Wege geleitet werden sollten. Unternehmen, für die bereits jetzt das BSI-Kritis-Regime gilt, sollten sich darüber im Klaren sein, dass sie ggf. auch Adressaten der weiteren Gesetzgebung sind und ihnen auch insoweit künftig weitergehende materielle Pflichten auferlegt werden dürften.