Worst of two Worlds : Wenn zwei Welten sich treffen: Der Schutz von kritischer Infrastruktur vor hybriden Bedrohungen
Die allgegenwärtigen Gefahren einer hoch vernetzten Digitalisierung lassen leicht in den Hintergrund treten, dass auch Informationstechnik und die von ihr gesteuerten Systeme vor Ort über ganz klassische „analoge“ Wege angegriffen werden können. Bislang spielte dieser Aspekt in der Regulierung kaum eine Rolle. Der vorliegende Beitrag beleuchtet die aktuellen rechtspolitischen Vorstöße auf nationaler und europäischer Ebene, um den digitalen und den analogen Schutz kritischer Infrastruktur künftig besser miteinander in Einklang zu bringen.
In den vergangenen knapp zehn Jahren lag der Fokus des nationalen und europäischen IT-Sicherheitsrechts zunächst vornehmlich auf dem Schutz kritischer Infrastrukturen (KRITIS). Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) sowie der zweiten Netzwerk- und Informationssicherheits-Richtlinie nebst Umsetzungsgesetz (NIS-2 und NIS2UmsuCG) erfolgte der Schritt zu einer allgemeinen Compliance-Vorgabe für die Wirtschaft. Der Entwurf für einen Cyber-Resilience-Act (CRA) markiert nun den Weg zu einer konkreten produktbezogenen Regulierung.
Eine neu eingeführte Komponente ist die rechtliche Erfassung der „hybriden Bedrohungslage“. Der Schutz vor „analogen“ Bedrohungen für kritische Infrastrukturen ist dabei nicht erst seit Oktober 2022 relevant, sondern wurde bereits seit den terroristischen Anschlägen des 11. September 2001 auf das World Trade Center in New York in Sicherheitskonzepten behandelt.
Bedeutung der KRITIS-Regulierung
Das Cybersicherheitsrecht, so wie wir es heute kennen, ist im Wesentlichen ein Ergebnis der Regulierung kritischer Infrastrukturen. In Ermangelung von cybersecurityspezifischen Rechtsgrundlagen ist 2015 das erste deutsche IT-Sicherheitsgesetz in Kraft getreten, das erstmals konkrete Pflichten und Anforderungen für KRITIS-Betreiber enthielt, um ihre digitale Infrastruktur zu schützen sowie physische Auswirkungen mit präventiven Konzepten und Maßnahmen zu verhindern.
Der europäische Regulierer zog sodann 2016 mit der ersten NIS-Richtlinie nach und erweiterte den Anwendungsbereich der bis dato bestehenden nationalen Regelungen um die Anbieter digitaler Dienste, wozu Cloud-Computing, Online-Suchmaschinen und Online-Marktplätze gehören. Schon hier wurde deutlich, dass der Schutz vor Cybergefahren gleichermaßen eine wirtschaftsbezogene Aufgabe darstellt. Schließlich entschied sich der deutsche Gesetzgeber dazu – quasi im Vorgriff auf EU NIS-2 – konkrete Compliance-Anforderungen an die Cybersicherheit nicht nur für KRITIS, sondern auch für die sogenannten „Unternehmen im besonderen öffentlichen Interesse“ (UBI) zu bestimmen, die inklusive ihrer Zulieferer weite Teile unseres täglichen Wirtschaftslebens umfassen.
Diesen Ansatz hat die EU mit der NIS-2-Richtlinie vom Dezember 2022 konsequent weiterverfolgt, sodass Europa und Deutschland – den Entwurf für einen neuen Cyber-Resilience-Act (CRA) einbezogen – derzeit vor der umfassendsten rechtlichen Regulierung von Cybersicherheit stehen, die wir jemals hatten. Insoweit darf man mit Spannung auf 2024 und die Folgejahre blicken, wenn es an die Umsetzung dieses „Ökosystems der Cybersecurity-Compliance“ geht.
Bei allem Fokus auf die digitale Infrastruktur wurde jedoch bislang weitestgehend außer Acht gelassen, dass die digitale Infrastruktur nur richtig funktionieren kann, wenn auch die physischen – vulgo: „analogen“ – Grundlagen dafür gegeben sind. Der seit Februar 2022 andauernde Russland-Ukraine-Krieg hat die Fragen rund um den analogen Infrastrukturschutz mehr und mehr in den Blick der rechtspolitischen Betrachtungen gerückt. Beispielsweise wurde als Folge des Krieges zu Beginn dieses Jahres die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV) um Seekabelanlandestationen ergänzt, die essenziell für das Funktionieren unter anderem der transatlantischen Digitalkommunikation sind.
Doch damit ist es nicht getan: Auch die NIS-2-Richtlinie und in der Folge das nationale „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) referenzieren klar den Schutz der (digitalen) Lieferkette. Dennoch wurde rechtlich für den analogen Infrastrukturschutz vor den nicht unbedingt neuen, aber in ihrem Ausmaß mittlerweile deutlich relevanteren hybriden Bedrohungen bislang noch zu wenig getan.
CER-Richtlinie der EU
Das wird sich in Zukunft signifikant ändern, denn die aktuelle Cybersicherheitsstrategie der EU von 2020 hat nicht nur zum Ende des letzten Jahres die Verabschiedung von NIS-2 zur Folge, sondern schuf auch eine weitere neue europäische Richtlinie zur Resilienz kritischer Einrichtungen [1] (Critical Entities Resilience, CER- bzw. RCE-Richtlinie), die den Ausgangspunkt für zusätzliche nationale KRITIS-Regelungen bildet. NIS-2 und CER sind beide bis zum 17. Oktober 2024 in das Recht der Mitgliedstaaten umzusetzen – und stehen somit im chronologischen Gleichlauf zueinander. Das macht Sinn, da wie bereits dargestellt der hybride Schutz vor sowohl digitalen als auch analogen Bedrohungslagen Hand in Hand gehen muss.
Ein erster offizieller Referentenentwurf für die Umsetzung von NIS-2 wurde im Juli 2023 publiziert [2]. Aktuellster Stand in dieser Hinsicht ist das Ende September dieses Jahres durch das Bundesministerium des Innern und für Heimat (BMI) veröffentlichte Diskussionspapier [3] zu den wirtschaftsbezogenen Regelungen der Umsetzung von NIS-2.
Ebenfalls im Juli 2023 wurde auch ein erster noch nicht abgestimmter Referentenentwurf zur Umsetzung von EU CER [4] bekannt: Dies soll durch ein selbstständiges KRITIS-Dachgesetz (KRITIS-DachG) geschehen. Bereits hierin zeigt sich ein deutlicher regelungssystematischer Unterschied zur Umsetzung von NIS-2: Wo letztgenannter EU-Rechtsakt durch ein Artikelgesetz in die nationale Umsetzung gelangt, das lediglich bestehende Vorschriften wie das BSI-Gesetz (BSIG) umfassend anpasst, soll die CER-Richtlinie auf einer eigenständigen gesetzlichen Grundlage national konzipiert werden. Ob dies für einen an sich wünschenswerten Gleichlauf von digitalem und analogem KRITIS-Schutz hilfreich sein wird, muss sich erst noch erweisen.
Die nationale Gesetzgebungskompetenz für den Erlass des neuen KRITIS-DachG wird gemäß Art. 74 Abs. 1 Nr. 11 in Verbindung mit Art. 72 Abs. 2 Grundgesetz (GG) auf das Recht der Wirtschaft gestützt mit der Begründung, dass unterschiedliche rechtliche Anforderungen bei der Behandlung gleicher Lebenssachverhalte störende Schranken für die Wirtschaftstätigkeit zur Folge haben könnten. Das wäre beispielsweise dann der Fall, wenn innerhalb der jeweiligen Länder verschiedene Anforderungen für den Betrieb von kritischen Anlagen gelten würden. Zu beachten ist bei diesem an sich wünschenswerten Regelungsziel aber auch, dass der Katastrophenschutz grundsätzlich in Länderhand liegt. Hier wird es politisch durchaus heikel werden, Parallelstrukturen zu vermeiden, um zum Ergebnis einer bestmöglichen Krisenvorbereitung zu gelangen.
Neue Zuständigkeiten und teilweise bekannte Anwendungsbereiche
Mit dem neuen KRITIS-DachG wird das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) einen erheblichen Befugnisausbau erfahren und zur national zuständigen Behörde für die Umsetzung des analogen Bedrohungsschutzes im Sinne von EU CER aufrücken. Insoweit ist das BBK nicht nur eine spiegelbildliche Einrichtung zum BSI, sondern arbeitet auch mit den bislang im Bereich Cybersicherheit zuständigen Behörden wie der Bundesnetzagentur (BNetzA), der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und natürlich dem BSI intensiv zusammen.
Wenig überraschend sind der Anwendungsbereich und damit der Horizont betroffener Einrichtungen ähnlich komplex wie die vergleichbaren Vorgaben aus dem Entwurf des NIS2UmsuCG. In Anlehnung an selbiges nimmt der Entwurf für das KRITIS-DachG kritische Infrastrukturen sowie kritische Anlagen in die Pflicht – für Letztere auch solche mit einer besonderen Bedeutung für Europa. Nach der Definition in § 2 Nr. 2 KRITIS-DachG sind kritische Infrastrukturen Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der wirtschaftlichen Tätigkeit, der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.
Hierbei ist nach den schon aus dem NIS2UmsuCG bekannten Qualifikationsstufen zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen zu differenzieren. Für die „wichtigen“ Einrichtungen ist § 2 Nr. 11f KRITIS-DachG-RefE einschlägig. Erfasst sind vor allem Großunternehmen und mittlere Unternehmen aus den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten sowie Weltraum. Die Betreiber einer kritischen Anlage sind gleichermaßen eine besonders wichtige Einrichtung: Eine kritische Anlage ist gemäß § 2 Nr. 3 KRITIS-DachG-RefE eine Anlage, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens hat, da durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für wirtschaftliche Tätigkeiten, die öffentliche Sicherheit oder Ordnung eintreten würden. Das Nähere hierzu regelt § 4 KRITIS-DachG-RefE.
Welche Einrichtung eine kritische Anlage darstellt, bestimmt sich nach einer zu erlassenden Rechtsverordnung nach § 15 KRITIS-DachG-RefE. Als Besonderheit bleibt festzuhalten: Die durch den Entwurf des KRITIS-DachG geregelten „kritischen Anlagen“ und deren Betreiber stellen in ihren Sicherheitsanforderungen nur einen qualifizierten Teilbereich der kritischen Infrastrukturen dar.
Die insgesamt im Entwurf für ein KRITIS-DachG zurzeit noch fehlende begriffliche Kohärenz zwischen europäischem und nationalem Recht einerseits sowie zwischen KRITIS-DachG und NIS2UmsuCG andererseits legt schon jetzt nahe, dass sich betroffene Betreiber zum Inkrafttreten der neuen Regelungen mit einer nicht unerheblichen Rechtsunsicherheit konfrontiert sehen dürften. Wünschenswert wäre hier deshalb eine begriffliche Anpassung an das europäische Recht beziehungsweise zumindest eine weitestgehend mögliche Beschränkung der Einführung neuer Begriffe und Definitionen.
Erforderliche Maßnahmen
Für die nach KRITIS-DachG betroffenen Einrichtungen wird zukünftig die Pflicht gelten, Resilienzmaßnahmen umzusetzen, die in § 11 des Referentenentwurfs bestimmt werden. Danach sind die Betreiber kritischer Anlagen verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen. Solche Maßnahmen sind verhältnismäßig, wenn der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls oder einer Beeinträchtigung der kritischen Dienstleistung zu den Folgen ihres Ausfalls oder ihrer Beeinträchtigung angemessen erscheint.
Insoweit orientiert man sich durchaus an abstrakt gefassten rechtlichen Vorgaben, die bereits aus dem IT-Sicherheitsrecht bekannt sind. Anhang 1 des KRITIS-DachG-RefE konkretisiert die zu treffenden Maßnahmen (nicht abschließend) wie folgt:
- Verhinderung des Auftretens von Vorfällen, unter anderem durch Maßnahmen der Notfallvorsorge und zur Anpassung an den Klimawandel
- Gewährleistung eines angemessenen physischen Schutzes der Räumlichkeiten und kritischen Infrastrukturen, unter anderem durch Detektionsgeräte oder Zugangskontrollen
- Reaktion, Abwehr und Begrenzung der Folgen von Vorfällen, unter anderem durch Risiko- und Krisenmanagementverfahren und -protokolle sowie vorgegebene Abläufe im Alarmfall
- Gewährleistung der Wiederherstellung der Funktionsfähigkeit nach einem Vorfall, unter anderem durch Maßnahmen zur Aufrechterhaltung des Betriebs sowie zur Ermittlung alternativer Lieferketten, zusammenzufassen unter dem Management-Prozess der Business-Continuity
- Gewährleistung eines angemessenen Sicherheitsmanagements hinsichtlich der Mitarbeiter, unter anderem durch die Festlegung von Kategorien von Personal in kritischen Funktionen sowie von Zugangsrechten zu Räumlichkeiten und Informationen
- Sensibilisierungsmaßnahmen des Personals, unter anderem durch Schulungen, Informationsmaterial und Übungen
Ebenfalls ein „alter Bekannter“ aus dem IT-Sicherheitsrecht ist der unbestimmte Rechtsbegriff „Stand der Technik“ – auch diese Sollformel findet sich im KRITIS-DachG wieder. Die Herausforderung dürfte hier (wie seinerzeit für die Sachverhalte aus der Cybersicherheit) sein, das gesetzlich geforderte Maß an Maßnahmen rechtssicher zu ermitteln. Zwar werden im Dachgesetz Methoden zur Risikoanalyse und -bewertung vorgeschlagen. Jedoch sind, wie bereits für den komplexen Anwendungsbereich dargestellt, Einrichtungen aus den unterschiedlichsten Sektoren und Branchen mit verschiedener Größenordnung betroffen. Dies legt ebenso nahe, dass es schlichtweg unmöglich ist, einen einheitlichen gesetzlichen Stand an Anforderungen zu bestimmen. Hier müssen sich in den kommenden Jahren für viele Bereiche erst noch belastbare Best Practices entwickeln, wobei man jedoch durchaus optimistisch sein darf, da ähnliche Debatten auch schon kurz nach Inkrafttreten des ersten IT-Sicherheitsgesetzes im Jahr 2015 losgetreten wurden.
Über die getroffenen Resilienzmaßnahmen müssen die Betreiber kritischer Anlagen einen Plan erstellen, der gegenüber dem BBK in einem Zwei-Jahres-Rhythmus vorzulegen ist. Last, but not least besteht auch im KRITIS-DachG wie im IT-Sicherheitsrecht die Möglichkeit für die Betreiber kritischer Anlagen und ihrer Branchenverbände, sogenannte „branchenspezifische Resilienzstandards“ vorzuschlagen. Die Feststellung erfolgt unter anderem im Benehmen mit dem BSI. Auch daran zeigt sich, dass analoge und digitale Bedrohungslage nicht losgelöst voneinander existieren, sondern ganzheitliche Konzepte gefragt sind, die diese hybride Perspektive in den Blick nehmen.
Meldepflichten bei Störungen an die gemeinsame Meldestelle von BSI und BBK
Aus dem Recht der IT-Sicherheit mittlerweile bekannt ist die Meldepflicht für cybersicherheitsbezogene Störungen. Auch der Entwurf für das KRITIS-DachG sieht wenig überraschend vergleichbare Pflichten bei Störungen vor: Meldepflichtig sollen demgemäß Vorfälle sein, welche die Erbringung der kritischen Dienstleistungen erheblich stören könnten. Wie bereits aus § 8b Abs. 4 BSIG bekannt, wird hier eine Erheblichkeitsschwelle vorgesehen, die den Unternehmen einen gewissen Einschätzungsspielraum einräumt – aber auch zumutet. Meldepflichtig sind sowohl tatsächliche Störfälle als auch solche, die die Funktionsfähigkeit der Einrichtung nur potenziell hätten stören können.
Eine Legaldefinition, was eine Störung – oder gar eine erhebliche – sein soll, lässt der Entwurf bislang vermissen. Hilfreich wäre zudem ein nicht abschließender Vorgabenkatalog, der jedoch auch im NIS2UmsuCG für das Meldewesen noch keinen Eingang gefunden hat. Da mit der Organisation und Durchführung des Meldewesens weiterer betrieblicher Aufwand verbunden ist, sollten die zusätzlichen, durch das KRITIS-DachG entstehenden Aufwände möglichst gering gehalten werden. Ein inhaltlich weitestgehend möglicher Gleichlauf zwischen Cyber-Meldepflichten und analogen Meldepflichten sollte deshalb das Ziel sein. Dies ist schon deshalb sinnvoll, da die Meldungen jeweils an die neue, vom BSI und BBK gemeinsam eingerichtete Meldestelle abgegeben werden müssen.
Diese Simultanität fehlt aber bislang in den Entwürfen. Schon jetzt wird in der Praxis allein für den Cyberschutz kritisiert, dass das Meldewesen behördlich nicht einheitlich gehandhabt wird. Das führt nicht nur zu Mehraufwand, sondern ist auch mit inhaltlichen Reibungsverlusten verbunden, die der Erreichung des gesetzlichen Ziels letztlich schaden.
Sanktionen
Eine ebenfalls mittlerweile aus dem europäischen Recht bekannte Formulierung betrifft das Sanktionsmaß bei Verstößen gegen das KRITIS-DachG: So sieht die CER-Richtlinie vor, dass die Mitgliedstaaten „wirksame, verhältnismäßige und abschreckende“ Sanktionen vorzusehen haben. Zwar ist die endgültige Höhe der Bußgelder im Referentenentwurf des KRITIS-DachG noch offen, jedoch ist basierend auf dieser deutlichen EU-Vorgabe davon auszugehen, dass zukünftig mit dem Cyberschutz vergleichbare Maßstäbe festgesetzt werden.
Die Tatbestände für Verstöße werden in einem Ordnungswidrigkeitenkatalog bestimmt. Das betrifft etwa die Registrierung, die Benennung einer Kontaktstelle, die Durchführung der Risikoanalysen und -bewertungen, die Vorlage von Resilienzplänen und anderen Nachweisen sowie eine mangelhafte Wahrnehmung von Mitwirkungspflichten gegenüber dem BBK.
Die Bußgeldvorschriften treten allerdings erst am 1. Januar 2027 in Kraft. Daran wird deutlich, dass das BBK zukünftig nicht nur als Bußgeldstelle fungieren soll, sondern auch diese Behörde – genau wie das BSI – auf eine gute Zusammenarbeit mit den betroffenen Einrichtungen auf Augenhöhe angewiesen ist, um die gesetzlichen Schutzziele tatsächlich zu erreichen.
Ausblick
Bei intensiver Befassung mit dem Entwurf für ein neues KRITIS-DachG wird deutlich: Handwerklich ist das Gesetz nicht besonders auffällig. Ganz im Gegenteil hat sich der deutsche Gesetzgeber offensichtlich zahlreicher Elemente bedient, die bereits aus dem seit mehreren Jahren regulierten IT-Sicherheitsrecht bekannt sind und sich dort weitestgehend bewährt haben. Überraschend ist das nicht, denn letztlich ist auch das KRITIS-DachG ein Sonderfall des Technikrechts.
Auffällig ist jedoch, dass NIS2UmsuCG und KRITIS-DachG in Zukunft nicht isoliert betrachtet werden können, denn zu eng sind die Verschränkungen von digitaler und analoger Bedrohungslage sowie die Betroffenheit möglicher Betreiber. Daher wird es zur effektiven Umsetzung auch des KRITIS-DachG in nicht unerheblicher Weise darauf ankommen, wie die durch das NIS2UmsuCG adressierten Betreiber und Einrichtungen Vorgaben in der Praxis realisieren. Das zeigt sich gerade auch bei den Meldepflichten, die zukünftig durch eine zwischen BSI und BBK gemeinsam koordinierte Meldestelle betreut werden.
Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence
Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Mitglied im Advisory-Board von Nord VPN (https://denniskenjikipker.de/).
Literatur
[1] Europäische Union, Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates, in: Amtsblatt der Europäischen Union, L 333, S. 164, Dezember 2022, (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2557)
[2] Bundesministerium des Innern und für Heimat, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG), Juli 2023, (https://ag.kritis.info/wp-content/uploads/2023/07/NIS2UmsuCG-Referentenentwurf-BMI-CI1-Bearbeitungsstand-03072023.pdf)
[3] Bundesministerium des Innern und für Heimat, Diskussionspapier für wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland, September 2023, [www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/diskussionspapier-NIS-2-umsetzung.html)
[4] Bundesministerium des Innern und für Heimat, Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen, Juli 2023, (www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/KRITIS-DachG.html)