Bei einer Anhörung im Innenausschuss des Bundestags am Montagnachmittag übten Sachverständige deutliche Kritik am geplanten Gesetz zur Stärkung der physischen Sicherheit kritischer Anlagen, dem KRITIS-Dachgesetz. Gegenstand der Beratungen waren der Gesetzentwurf der Bundesregierung zur Umsetzung der EU-Richtlinie 2022/2557 sowie ein Antrag der Grünen-Fraktion zum ganzheitlichen Schutz kritischer Infrastruktur.
Scharfe Kritik von IT-Sicherheitsexperten
Manuel Atug, Gründer und Sprecher der AG KRITIS, äußerte sich besonders kritisch. Er bemängelte, dass Deutschland mit dem vorliegenden Entwurf deutlich hinter den EU-Vorgaben zur physischen und Cyber-Resilienz zurückbleibe. Die Verantwortlichen scheinen nach seiner Einschätzung bewusst keine Konsequenzen aus den hybriden Bedrohungen der vergangenen Monate ziehen zu wollen. Dem Bundesinnenministerium warf Atug vor, vorsätzlich die notwendige Arbeit zu verweigern und damit Menschenleben zu gefährden.
Kommunen fordern längere Fristen und mehr Geld
Alexander Averhoff vom Deutschen Städte- und Gemeindebund bemängelte, dass die Kommunen im Gesetzentwurf vollständig ausgeklammert worden seien. Die vorgesehenen Umsetzungsfristen seien aus kommunaler Sicht viel zu knapp bemessen – gewünscht werde eine Verlängerung auf 24 Monate. Zudem müssten Bund und Länder den Kommunen angemessene finanzielle Mittel zur Verfügung stellen, um die Resilienzstrategien und den Bevölkerungsschutz bewältigen zu können.
Auch Christian Stuffrein, der für den Deutschen Landkreistag und den Deutschen Städtetag sprach, forderte eine bessere finanzielle Ausstattung der Kommunen. Eine Finanzierung über höhere Kommunalabgaben sei nicht angemessen. Problematisch sei zudem der im Gesetz vorgesehene Schwellenwert von 500.000 versorgten Einwohnern, der viel zu hoch angesetzt sei. Dadurch würde das Gesetz in der deutlichen Mehrheit der Kommunen keine Anwendung finden. Als Alternative schlug er den vom Bundesrat eingebrachten Schwellenwert von 150.000 versorgten Einwohnern vor.
Energiewirtschaft mahnt staatliche Drohnenabwehr an
Mathias Böswetter vom BDEW Bundesverband der Energie- und Wasserwirtschaft begrüßte grundsätzlich, dass der Gesetzentwurf erstmals einen sektorenübergreifenden Rechtsrahmen für den physischen Schutz kritischer Anlagen schaffe und damit das bestehende IT-Sicherheitsrecht ergänze. Die wirtschaftliche Umsetzung der Maßnahmen sei jedoch entscheidend für eine nachhaltige Resilienzsteigerung. Der Bund dürfe die Betreiber bei der akuten Bedrohung durch Drohnen nicht allein lassen – die Drohnenabwehr müsse hoheitliche Aufgabe bleiben.
Transparenzpflichten gefährden Sicherheit
Sylvia Borcherding von 50Hertz Transmission wies auf ein grundsätzliches Problem hin: Der aktuelle Rechtsrahmen verpflichte Betreiber kritischer Infrastruktur in zahlreichen Verfahren zur umfassenden Offenlegung von Planungs- und Infrastrukturunterlagen. Detaillierte Karten, technische Parameter und Standortinformationen müssten häufig öffentlich zugänglich gemacht werden. Diese Transparenzpflichten müssten angesichts der aktuellen Bedrohungslage dringend neu bewertet und angepasst werden – ein Aspekt, den das Kritis-Gesetzgebungsvorhaben nicht aufgreife. Zudem forderte sie einen bundesweit einheitlichen Rahmen zur Anerkennung und Refinanzierung von Resilienzkosten.
Mittelstand braucht finanzielle Unterstützung
Clemens Gause vom Verband für Sicherheitstechnik warnte, dass die Umsetzung des Gesetzes für große Konzerne zwar ein Kraftakt sei, für viele kleine und mittlere Unternehmen jedoch mangels finanzieller Mittel nicht umsetzbar erscheine. Diese Unternehmen bildeten aber das Rückgrat der deutschen Wirtschaft und seien zunehmend ein Schlüssel zur inneren Sicherheit. Er forderte klare Unterstützungsmaßnahmen wie zinsgünstige KfW-Kredite, gezielte Steuerentlastungen und direkte Förderprogramme.
Auch Jürgen Harrer von der Universität der Bundeswehr München mahnte an, kleine und mittlere Betriebe nicht zu überlasten. Er hielt Unterstützungen durch Sonderkredite oder Sonderabschreibungen für sinnvoll. Grundsätzlich bewertete er den Gesetzentwurf jedoch positiv: Neben den bestehenden Mindeststandards für digitale Sicherheit würden nun endlich auch Standards für die physische Sicherheit formuliert.
Forderung nach integriertem Ansatz
Dennis-Kenji Kipker von der Universität Bremen bezeichnete den Entwurf als wichtigen, aber unvollständigen Schritt. Er forderte eine einheitliche und integrierte Architektur für Kritis- und IT-Sicherheit. Das nationale IT-Sicherheitsrecht sei fragmentiert und nicht hinreichend aufeinander abgestimmt. Die Einbeziehung der öffentlichen Verwaltung müsse konsequent fortgeführt werden, da die Ausklammerung weiter Teile der Bundes-, Landes- und Kommunalverwaltungen zu systematischen Schutzlücken führe. Er plädierte für ein Kritis-Dachgesetz, das digitale und physische Sicherheit bündele und Doppelstrukturen vermeide.
Industrie kritisiert unklare Zuständigkeiten
Kerstin Petretto vom BDI Bundesverband der Deutschen Industrie bemängelte fehlende Abgrenzungen zwischen den beteiligten Aufsichtsbehörden. Insbesondere die Rolle der Bundesländer bleibe unklar, wodurch Schnittstellenprobleme und Doppelstrukturen drohten. Kritisch sah sie auch, dass ein erheblicher Teil der Bundesverwaltung vom Gesetz ausgenommen und Landesverwaltungen gar nicht adressiert worden seien. Infrastrukturen im Kritis-Sektor Staat und Verwaltung unterlägen damit keinen Anforderungen, obwohl sie wie Unternehmen physischen Risiken ausgesetzt seien. Im Zusammenhang mit Drohnenüberflügen sprach Petretto von einer Rechtslücke, da die neuen Bedrohungen nicht adressiert würden.
Mit WhatsApp immer auf dem neuesten Stand bleiben!
Abonnieren Sie unseren WhatsApp-Kanal, um die Neuigkeiten direkt auf Ihr Handy zu erhalten. Einfach den QR-Code auf Ihrem Smartphone einscannen oder – sollten Sie hier bereits mit Ihrem Mobile lesen – diesem Link folgen:
