97: KRITIS-Dachgesetz verstehen: Fristen, Pflichten, Handlungsbedarf – Ingo Rausch, die Netzwerkpartner
03.06.2026 35 min
Zusammenfassung & Show Notes
Mit dem KRITIS-Dachgesetz ist im März 2026 ein neuer Rechtsrahmen für den Schutz kritischer Infrastrukturen in Kraft getreten. Ergänzend zu NIS2 und den bestehenden BSI-Vorgaben rückt dabei nicht nur die Cybersicherheit in den Fokus, sondern erstmals auch der physische Schutz kritischer Anlagen sowie die organisatorische Resilienz von Unternehmen.
Für viele Betreiber stellt sich nun die entscheidende Frage: Bin ich betroffen und welche Maßnahmen muss ich bis zum 17. Juli 2026 umsetzen?
Gemeinsam mit Ingo Rausch, unserem Experten und Juristen, werfen wir einen praxisnahen Blick auf die neuen Anforderungen. Wir ordnen den KRITIS-Schwellenwert ein, erläutern die Registrierungspflichten und sprechen über Risikoanalysen, Meldepflichten und notwendige Resilienzpläne. Schritt für Schritt zeigt die Folge, welche Fristen gelten, welche Pflichten sich daraus ergeben und wo Unternehmen jetzt konkret aktiv werden müssen.
Jetzt reinhören und erfahren, was das KRITIS-Dachgesetz ganz konkret für Ihr Unternehmen bedeutet.
Wenn euch die Folge gefallen hat, abonniert uns und lasst eine Bewertung da – wir freuen uns über euer Feedback!
Mehr über unsere Kooperation: dienetzwerkpartner.com
Vernetzt euch mit uns: linkedin.com/company/dienetzwerkpartner
Für viele Betreiber stellt sich nun die entscheidende Frage: Bin ich betroffen und welche Maßnahmen muss ich bis zum 17. Juli 2026 umsetzen?
Gemeinsam mit Ingo Rausch, unserem Experten und Juristen, werfen wir einen praxisnahen Blick auf die neuen Anforderungen. Wir ordnen den KRITIS-Schwellenwert ein, erläutern die Registrierungspflichten und sprechen über Risikoanalysen, Meldepflichten und notwendige Resilienzpläne. Schritt für Schritt zeigt die Folge, welche Fristen gelten, welche Pflichten sich daraus ergeben und wo Unternehmen jetzt konkret aktiv werden müssen.
Jetzt reinhören und erfahren, was das KRITIS-Dachgesetz ganz konkret für Ihr Unternehmen bedeutet.
Wenn euch die Folge gefallen hat, abonniert uns und lasst eine Bewertung da – wir freuen uns über euer Feedback!
Mehr über unsere Kooperation: dienetzwerkpartner.com
Vernetzt euch mit uns: linkedin.com/company/dienetzwerkpartner
Transkript
Ein Brandanschlag auf Stromleitungen in Berlin. Beschädigte Unterseekabel in der Ostsee. Diskussionen über Sabotage, hybride Bedrohungen und den Schutz kritischer Infrastruktur. Was vor ein paar Jahren noch nach sicherheitspolitischem Spezialthema klang, ist heute sehr konkret. Wie schützen wir also die Infrastruktur, auf die unser Alltag angewiesen ist? Genau hier setzt das neue Kritis-Dachgesetz an. Es geht dabei nicht nur um Cyber Security, sondern um physische Sicherheit, Krisenfestigkeit und die Frage, wie Versorgung auch im Ernstfall stabil bleibt. Was das genau für Stadtwerke und Energieversorger bedeutet, bespreche ich heute mit Ingo Rausch. Er ist Leiter Recht bei den Netzwerkpartnern und ein gern gesehener Gast in diesem Podcast. Und damit sage ich herzlich willkommen zu einer neuen Folge von Energiedosis und herzlich willkommen, Ingo.
Hallo, Hannah.
Ja, am 17.03. diesen Jahres ist das Kritis-Dachgesetz in Kraft getreten. Lass uns doch einmal von oben anfliegen und einmal auf die allgemeinen Inhalte dieses Gesetzes blicken.
Ja, gerne. Von oben anfliegen ist genau der richtige Ausdruck, denn das Kritis-Dachgesetz arbeitet wirklich auf einer sehr großen Flughöhe. Als ich mich mit der ganzen Sache erstmalig auseinandergesetzt habe dachte ich, ich lerne da jetzt ganz viel und bekomme konkrete Aussagen zu dem, was unsere Mitglieder machen müssen und wann sie es machen müssen. Da wird man dann aber größtenteils enttäuscht. Das Kritis-Dachgesetz beinhaltet zum ganz großen Teil Regelungen über Behörden, die zuständig sind oder als Zuständige bestimmt werden können. Über die Übermittlung von Informationen zwischen diesen Behörden und über den Erlass von Rechtsverordnungen. Also es wird noch, ich sage mal, eine Flut von Rechtsverordnungen geben, die das Kritis-Dach-Gesetz noch nach sich ziehen wird. Andersrum ausgedrückt, konkrete Regelungen, die für einzelne Sektoren gelten also zum Beispiel Strom, Gas, Energie, Wasser sind da selten und werden dann irgendwann in der Zukunft über Rechtsverordnungen kommen.
Okay, also erstmal vor allen Dingen eine Frage der Organisation und Zuständigkeit, die in diesem Gesetz geklärt wird. Es gibt ja aber zudem auch noch neue Regelungen zu dem Thema Cybersicherheit, oder?
Jein, es gibt bestehende Regelungen dazu. Von der europäischen Ebene her haben wir die NIS-2-Richtlinie und hier bei uns das Umsetzungsgesetz zur NIS-2-Richtlinie, und wir haben das BSI-Gesetz. Das BSI ist ja das Bundesamt für Sicherheit in der Informationstechnik. Beides befasst sich auch mit dem Thema Resilienz, aber Resilienz auf dem Bereich der Cybersicherheit. Das Kritis-Dachgesetz hat mit Cybersicherheit überhaupt gar nichts zu tun. Das Kritis-Dachgesetz hat zwar auch mit Resilienz zu tun, aber nur im Bereich physischer Bedrohung. Erdbeben, Terroranschlag, sonstiges. Also das ist die eindeutige Unterscheidung. NIS-2-Richtlinie und Umsetzungsgesetz sowie BSI-Dachgesetz Cybersicherheit, Kritis-Dachgesetz, physische Bedrohung und physischer Schutz von kritischen Anlagen.
Jetzt hast du damit wahrscheinlich schon ein Ziel oder den Grund für dieses Dachgesetz ein Stück weit schon eingeordnet, denn es gab ja sicherlich einen konkreten politischen Willen dahinter, eben dieses Kritis-Dachgesetz jetzt zu verabschieden und damit gewisse Ziele zu verfolgen. Wie würdest du das denn einmal zusammenfassen?
Böswillig ausgedrückt könnte man ja sagen, die Bundesrepublik ist immer zerstückelt. Also Zuständigkeiten sind verteilt auf ganz verschiedene Stellen. Und das wollte der Gesetzgeber mit dem Kritis-Dachgesetz ändern, indem er einen einheitlichen bundesrechtlichen Rahmen für diesen physischen Schutz kritischer Infrastrukturen schafft. Und der soll dann auch ein Mindestniveau für Menschen, alle Sektoren, die im Gesetz geregelt werden, etablieren und er soll dann auch den zuständigen Stellen die Bildung eines bundesweiten Lagebildes ermöglichen, was ja vom Prinzip her schon mal ein guter Ansatz ist. Das Kritis-Dachgesetz geht dabei vom sogenannten Allgefahrengesetz aus. Das heißt, dem Kritis-Dachgesetz ist jetzt egal, woher die Gefahr für die kritische Infrastruktur kommt. Das können also Naturgefahren, Überschwemmungen, Vulkanausbrüche, was auch immer sein. Das können technologische Gefahren sein. Das können aber auch menschliche Eingriffe wie Kriege, Terrorakte oder sonstige Dinge sein, vor denen wir bitte möglichst verschont bleiben.
Ja, das wünschen wir uns in jedem Fall alle. Wenn so ein neues Gesetz in Kraft tritt, dann ist die erste Frage als Unternehmer üblicherweise, bin ich davon betroffen? Ja oder nein? Wie wichtig und persönlich sollte ich dieses Gesetz nehmen für meine unternehmerischen Tätigkeiten? Zielgruppe des Kritis-Dachgesetzes sind ja die betreiberkritischen Anlagen. Jetzt wird es natürlich spannend und da möchte ich gerne mit dir rein. Wer ist denn damit genau gemeint?
Da hat das Gesetz eine schöne Definitionskette. Das Gesetz sagt Punkt 1, Betreiber kritischer Anlage ist derjenige, der eine kritische Anlage betreibt. Das heißt die unter seinem bestimmten Einfluss ist und das wird in der Regel der Eigentümer sein, können aber auch andere Personen sein. Wir haben ja zum Beispiel im Energiebereich, vorwiegend im Netzbereich, so Konstellationen, wo Strom- oder Gasnetze verpachtet werden. Da ist dann nach dem Energiewirtschaftsgesetz der Pächter, der Betreiber im Sinne des Energiewirtschaftsgesetzes und ich gehe davon aus, dass das auch im Kritis-Dachgesetz so sein wird. Also so aus der Hüfte geschossen und allereinfachste und erste Regel, Betreiber wird in der Regel der Eigentümer oder der Pächter sein. Der muss eben eine kritische Anlage betreiben und da kommen wir zur nächsten Definition. Eine kritische Anlage ist eine Anlage, die eine kritische Dienstleistung erbringt. Und das ist dann die dritte Definition: Kritische Dienstleistungen sind Dienstleistungen unter anderem in den Bereichen Energie, Verkehr, Wasser und Telekommunikation, soweit sie denn der Versorgung der Allgemeinheit dienen. Was ich mich noch gefragt hatte ist. Was meint das Kritis-Dachgesetz denn mit Energie? Wir haben ja im Energiewirtschaftsgesetz eine relativ enge Definition, da ist nur Strom und Gas gemeint. Das Kritis-Dachgesetz dröselt das jetzt nicht im Detail auf, aber wenn man in die Begründung reinguckt, dann kann man davon ausgehen, dass nicht nur Strom und Gas, sondern wohl auch Wärme mit dem Energiebegriff gemeint ist.
Das heißt also grundsätzlich lässt das Gesetz, höre ich jetzt schon raus, schon ein bisschen Raum noch für Interpretationen. Aber das wäre jetzt erstmal die allgemeine Einordnung beziehungsweise auch das, was aus den Materialien rund um das Gesetzgebungsverfahren ja auch heraus erkennbar ist. Wir können es aber sogar noch weiter runterbrechen, was eine kritische Anlage im Detail ist, oder?
Ja, dazu gibt es eine Aussage im Kritis-Dachgesetz, nämlich die Schwelle von 500.000 versorgten Einwohnern. Weitere Spezifizierungen dazu, was eine kritische Anlage ist, gibt es im Kritis-Dachgesetz nicht. Das soll alles in später kommenden Rechtsverordnungen beschrieben werden. Wir hatten ja gerade die Cybersicherheit angesprochen und das BSI-Gesetz. Dazu gibt es eine BSI-Kritis-Verordnung. Da ist zum Beispiel geregelt, was hier im Erzeugungsbereich eine kritische Anlage ist und da wird dann zum Beispiel danach differenziert, ob eine Anlage schwarzstaatfähig ist oder nicht. Wenn sie das ist, dann ist sie wichtiger für die Versorgung und dann werden die Schwellenwerte niedriger angesetzt. Also erstmal ist man, ich sag mal, als kleineres oder mittleres Unternehmen einigermaßen auf der sicheren Seite. Im Moment gibt es nur die Schwelle 500.000 im Kritis-Dachgesetz. Es ist aber denkbar, dass mit späteren Rechtsverordnungen in einzelnen Sektoren die Schwellen auch nach unten gesetzt werden.
Okay, also das gilt es in jedem Falle noch weiter zu verfolgen, ob ich unter Umständen nicht doch auch betroffen bin vom Kritis-Dachgesetz. Nehmen wir mal an, ich bin ein Energieversorgungsunternehmen, was über diesem Schwellenwert liegt und habe eine Betroffenheit. Dann gehen damit, wie es bei Gesetzen so üblich ist, einige Pflichten vor allen Dingen einher, auf die ich Rücksicht nehmen muss. Und da wollen wir uns nochmal ein bisschen durcharbeiten. Wir wissen, dass das eine ganze Menge ist. Wir setzen voll darauf, dass du das Juristendeutsch in leicht verständliche Sprache übersetzen wirst hier in den nächsten Minuten. Einmal im Überblick, in welchen Kategorien ergeben sich denn jetzt für mich Pflichten?
Also es geht los mit der Registrierungspflicht. Ich muss als Betreiber einer kritischen Anlage erstmal den Finger heben und sagen, ich habe sowas, Wasserversorgungsnetz, wo mehr als 500.000 Einwohner dran hängen. Das ist quasi auch der Startpunkt, weil die anderen Pflichten zeitlich gesehen auf der Registrierung aufsetzen und sagen, neun oder zehn Monate später kommt das. Wie zum Beispiel als erstes die Pflicht zur Risikoanalyse und Risikobewertung. Dann kommt die eigentliche Resilienzpflicht. Das sind dann die Maßnahmen, die ich ergreifen muss, um meine Anlage sicherer zu machen. Die muss ich auch dokumentieren, diese Resilienzmaßnahmen. Das heißt, ich habe Dokumentationspflichten und wenn es dann mal wirklich schief läuft und irgendwas passiert, muss ich das melden. Und darüber hinaus schreibt das Kritis-Dachgesetz spezifische Pflichten für die Geschäftsleitung des Betreibers der kritischen Anlage vor. Also Registrierung, Risikoanalyse und Bewertung, Resilienzmaßnahmen, Nachweispflicht bezogen auf Resilienzmaßnahmen, wenn es schief gelaufen ist, Meldung des Vorfalls und Pflichten für die Geschäftsführung des Betreibers.
Gut, dann arbeiten wir uns durch die sechs Punkte doch jetzt einmal ganz galant durch und starten mit den Pflichten zur Registrierung. Was genau muss ich hier tun als Betreiber einer kritischen Anlage?
Die Registrierungspflicht an sich ist jetzt nicht so furchtbar schwierig. Da muss ich im Wesentlichen Name, Anschrift und Kontaktstelle melden. Also das, was da inhaltlich passieren muss, ist nicht so dramatisch. Es gibt auch eine Meldestelle, die gemeinsam vom Bundesamt für Bevölkerungsschutz und Katastrophenvorsorge und dem Bundesamt für Sicherheit in der Informationstechnik betrieben wird. Da kann ich empfehlen, auf die Anwendungshilfe des BDEW zur Umsetzung von Kritis-Dachgesetz unter anderem zu gucken. Die würdest du ja auch mit verlinken, Hannah.
Genau, die packen wir in die Folgenbeschreibung, wird am 19. Mai veröffentlicht und gibt mit Fokus auf die Wasserwirtschaft schon mal einige konkrete Umsetzungsvorgaben und dort sind auch Links zu den Portalen und Co. hinterlegt, was sicherlich sehr hilfreich ist, was die Kollegen vom BDEW dort zusammengefasst haben.
Richtig. Also das geht aktuell noch am ehesten in die Praxis und gibt konkrete Links und anderes, mit denen ich weiterarbeiten kann. Was für mich ziemlich kryptisch ist, ab wann diese Registrierungspflicht greift. Das Gesetz sagt, spätestens drei Monate, nachdem die kritische Anlage als solche kritische Anlage gilt, also nachdem das festgestellt worden ist. Und dann kommt die Passage frühestens bis einschließlich 17. Juli. Darüber haben wir uns, Anna, und auch verschiedene andere sich den Kopf zerbrochen. Wenn man ins Internet guckt, dann ist da die Informationslage bunt. Manche Beratungsunternehmen sagen, bis zum 17. Juli muss ich mich registriert haben. Manche sagen, die Pflicht greift erst ab dem 17. Juli. Aber wir haben ja nochmal in den Gesetzgebungsmaterialien und in der CER-Richtlinie recherchiert. Die ist ja der Hintergrund dieses Gesetzes. Und nach der CER-Richtlinie ist die Bundesrepublik Deutschland dazu verpflichtet, bis zum 17.06. kritische Einrichtungen zu ermitteln. Das kann sie natürlich nur, wenn sie bis zum 17.06. weiß, was ist das denn, also welche kritischen Einrichtungen habe ich denn in der Bundesrepublik? Das spricht sehr dafür, dass ich mich als Betreiber einer kritischen Anlage bis zum 17.06.2026 registrieren lassen muss und nicht erst später. So richtig schlau wird man aus der ganzen Sache nicht. Es gibt ja den Begriff der anwaltlichen Vorsicht. Das heißt also aus anwaltlicher Vorsicht würde ich dazu raten, dass man sich mal beim BBK rückversichert und sagt, graf das jetzt bis oder ab 17.06., damit man nicht vielleicht versehentlich diese Pflicht reißt, den Termin reißt.
Ja, also diese Formulierung frühestens jedoch bis einschließlich ist uns so jetzt auch in der Form noch nicht untergekommen. Vielleicht war das auch ein kleiner Test, ob wir das Gesetz auch alle gelesen haben. Haben wir, aber jetzt bleiben wir mit Fragen zurück. Aber verständigen wir uns für den Moment schon mal darauf, dass wenn ich auf der sicheren Seite sein möchte, dieses Datum eben als bis verstehe und bis dahin entsprechende Anlagen dann nach dem von dir beschriebenen Prozess dann einmal melden würde, wenn mir das bereits bekannt ist, dass es sich um eine kritische Anlage handelt. Dann hast du eben gesagt, gehen davon aus ja nochmal weitere Fristen, also dass das so eine gewisse zeitliche Kaskade dann ist, beziehungsweise von dem Tag der Meldung, ab da habe ich dann neun, zehn Monate Zeit für bestimmte weitere Maßnahmen.
Genau. Das nächste ist die Pflicht zur Risikoanalyse und Bewertung. Also ich muss mir meine Anlage angucken und überlegen, was kann denn jetzt passieren? Kann die überschwemmt werden? Liegt die an der Küste? Kann es einen Tsunami geben? Was auch immer. Diese Pflicht zur Erstellung der Risikoanalyse und Bewertung setzt auf, wie du gerade gesagt hast, auf den Termin der Registrierung. Ich muss nämlich neun Monate, nachdem ich mich habe registrieren lassen, erstmalig diese Analyse und Bewertung erstellen. So, dann ist die da. Ich muss sie dann spätestens alle vier Jahre erneuern. Oder im Bedarfsfall, das wird im Zweifel dann sein, wenn irgendwas passiert ist. Wenn also ein Vorfall, so ist der Terminus technicus im Gesetz, wenn ein Vorfall eingetreten ist, dann werde ich wahrscheinlich meine Analyse und Bewertung nachschärfen müssen.
Und ist das schon so weit definiert? Also ich beschreibe das einmal in Schriftform. Also vermute ich jetzt mal diese Risikoanalyse und Risikobewertung und reiche ich das auch in irgendeiner Form ein? Oder ist das einfach eine Unterlage, die ich selber vorhalten muss im Unternehmen dann?
Ja, damit kommen wir zur Dokumentationspflicht. Ich muss es erstmal erstellen und vorhalten. Das kann auch abgefordert werden, aber es muss dann eben abgefordert werden. Also ich muss nicht von mir aus aktiv werden und auf irgendeine Behörde zugehen, sondern die Behörde kann zu mir kommen und dann fragen, was für Maßnahmen hast du denn ergriffen? Ich muss einen sogenannten Resilienzplan erstellen. Was steht in deinem Resilienzplan drin und ähnliches. Da muss man so ein bisschen drauf gucken, in welchem Bereich bin ich denn unterwegs. Denn es gibt unterschiedliche Behörden, die hier zuständig sind. Für Strom, Gas und Wasserstoff gibt es eine neue Regelung im Energiewirtschaftsgesetz und da steht drin, dass die Bundesnetzagentur diese Dokumentation der Resilienzpflichten bei mir abfragen kann. Wenn es um andere Sektoren geht, wie zum Beispiel Wasser, dann gilt nicht das Energiewirtschaftsgesetz, sondern dann bleibt es bei den Regelungen im Kritis-Dachgesetz. Die sind aber nicht so unterschiedlich. Also der eigentliche Unterschied liegt in der zuständigen Behörde. Strom, Gas, Wasserstoff ist Bundesnetzagentur. Alle anderen Sektoren, wie zum Beispiel Trink- oder Abwasser, ist das BBK. Beide Behörden können eben die Vorlage dieser Dokumentation verlangen.
In beiden Gesetzen steht drin, dass es hier einen risikobasierten Ansatz gibt. Das heißt also, je größer ich bin, je größer die Anlage ist, die ich betreibe, desto größer ist die Wahrscheinlichkeit, dass dann Bundesnetzagentur oder BBK bei mir anklopfen. So, und das ist jetzt im Gesetz nicht ausdrücklich terminiert, ab wann diese Dokumentationspflichten greifen. Aber es ist ja so, dass die Resilienzpflichten mit einer 10-Monatsfrist ab Registrierung versehen sind. Bevor ich keine Resilienzpflichten habe, kann ich eigentlich auch nichts dokumentieren. Also würde ich sagen, auch die Dokumentationspflichten können nicht vor zehn Monaten ab Registrierung greifen.
Jetzt habe ich das Thema Dokumentation schon so ein bisschen vorgezogen. Ich zoome noch mal einmal raus und versuche noch mal in der Timeline einmal durchzugehen. Also ich habe meine Anlage registriert, habe dann neun Monate Zeit, eine entsprechende Risikoanalyse und Risikobewertung vorzunehmen. Und du hast es gerade auch angesprochen, habe zehn Monate Zeit, also noch einen Monat länger, um dann dem Thema Resilienzpflicht nachzukommen. Kannst du da nochmal drauf eingehen? Also ich weiß jetzt eben, was die Risiken sind. Ich habe die Risiken analysiert und sie bewertet und möchte ja jetzt entsprechend Maßnahmen einmal dokumentieren, die ich ergreifen kann oder was ich zum Schutz der entsprechenden Anlage dann ergreife. Das wird dort beschrieben, richtig?
Genau, da gibt es ein paar Beispielsfälle, die im Kritis-Dach genannt sind. Bauliche Maßnahmen, Überwachungsmaßnahmen, Zugangskontrollen, aber zum Beispiel auch Notstromversorgung oder Ermittlungen alternativer Lieferketten, zum Beispiel für den Betrieb eines Kraftwerkes. Dabei gibt es zum einen den Verhältnismäßigkeitsgrundsatz. Ich muss mich also nicht unbegrenzt in Kosten stürzen. Und es gibt die sogenannte Zweck-Mittel-Relation, die im Kritis-Dachgesetz steht. Also ich kann die Intensität der Abwehrmaßnahme von der Wahrscheinlichkeit des Vorfalls abhängig machen. Das heißt, ich muss wohl relativ wenig Geld für den Fall ausgeben, dass ein Meteorit auf mein Kraftwerk fällt. Aber mich davor zu schützen, dass ein Bagger in mein Kabel greift oder vielleicht in Flussnähe eine Überschwemmung auftritt, da werde ich schon ein bisschen mehr Geld für ausgeben müssen.
Und gibt es hier auch so weitere konkrete Vorgaben, wie ich das entsprechend ermittle? Oder sind das dehnbare Begriffe? Zweckmäßigkeit, Verhältnismäßigkeit?
Da bleibt das Kritis-Dachgesetz leider bei diesen unbestimmten Rechtsbegriffen und außer verhältnismäßig und Zweck-Mittel-Relation steht da nichts drin. Da wird unseren Mitgliedern also leider nicht weiter geholfen.
Ja, oder es bietet die Chance des Freiraums der Interpretation. Man darf es natürlich auch positiv sehen. Okay, dann wäre das also eben Schritt drei, der Resilienzpflicht nachzukommen, also entsprechende Maßnahmen zu definieren, wie ich meine Anlage schütze. Wir haben gerade eben schon über die Dokumentationspflicht gesprochen. Also ich muss es eben entsprechend diese Informationen vorhalten und auch bei Bedarf zur Verfügung stellen gegenüber der zuständigen Behörde. Gibt es da noch was zu ergänzen zum Thema Dokumentationspflicht, was wir jetzt gerade eben ausgelassen haben? Oder hat es das eben schon zusammengefasst?
Ja, ich glaube schon, Hannah. Das Wichtigste ist, ich muss nicht von mir aus auf eine Behörde zugehen. Also ich muss natürlich diese Dokumentation erstellen. Ich muss sie in die Schublade legen. Da muss dann zum Beispiel der Resilienzplan drin sein. Wenn mich jemand fragt, also Bundesnetzagentur oder BBK, dann muss ich das vorlegen. Und hier gilt risikobasierter Ansatz. Je größer, desto wahrscheinlicher, dass ich gefragt werde.
Okay, jetzt haben wir uns lange bewegt im Feld der Prävention und in hypothetischen Zuständen. Jetzt nehmen wir mal an, es ist ein Vorfall eingetreten. Meine Anlage wurde entsprechend angegriffen und ich muss nun meiner Meldepflicht nachkommen, die ja eben auch beschrieben ist im Kritis-Dachgesetz. Was können wir denn hier aus dem Gesetz ableiten? Also was ist hier zu tun, wenn ich einen meldepflichtigen Vorfall habe?
Ja, betroffen bin ich wie immer als Betreiber der kritischen Anlage. Auch hier habe ich die 10-Monats-Frist. Das heißt, die Meldepflichten setzen auf 10 Monate nach Registrierungspflicht. Wenn wir das mal durchzählen, wir hatten eingangs ja gesagt, zumindest vorsichtshalber muss man das Gesetz so verstehen, dass ich die Registrierungspflicht bis zum 17.06. erfüllt haben muss. Wenn ich da zehn Monate draufrechne, dann bin ich im März 2027. Also ab dann würden die Meldepflichten gelten. Wenn dann irgendwas passiert ist, Erdrutsch, Meteorit, Überschwemmung, was auch immer, muss ich melden. Und zwar einmal ans BBK, unverzüglich, das heißt ohne schuldhaftes Zögern. Und zum anderen, es ist also eine zweigeteilte Meldungspflicht, das ist wichtig, zum anderen an die gemeinsame Meldestelle von BBK und BSI und dafür gilt eine harte 24-Stunden-Frist. Also diese Geschichte mit dem Unverzüglich heißt ohne schuldhaftes Zögern. Wenn ich einen Unfall habe, im Krankenhaus bin, ins Koma falle, das Handynetz zusammenbricht oder was auch immer, kann das auch länger als 24 Stunden dauern. Es ist aber nicht schuldhaft verzögert. Aber diese Meldung an die gemeinsame dMeldestelle, da habe ich die harte 24-Stunden-Frist. Egal was passiert, muss ich irgendwie ermöglichen.
Jetzt habe ich das initial gemeldet. Jetzt ergeben sich ja wahrscheinlich nochmal neue Erkenntnisse oder ähnliches nach den ersten 24 Stunden. Muss ich das dann auch nochmal quasi nachmelden, Updates oder ähnliches nochmal weitergeben?
Ja, also zum einen, wenn der Vorfall andauert, muss ich das aktualisieren und zum anderen muss ich einen Monat nachdem dann irgendwas Schlimmes passiert ist, einen ausführlichen Bericht an die zuständige Behörde schreiben. Also drei Schritte, erstmalige Meldung, gegebenenfalls Aktualisierung bei Anhalten des Vorfalls und auf jeden Fall und immer einen Monat nach Kenntnis der ausführliche Bericht an die Behörde.
Okay, damit hätten wir das Thema Meldepflichten auch, denke ich, ganz gut abgesteckt. Wir haben jetzt in der Betrachtung gemerkt, dass es an verschiedenen Stellen noch echt viel Raum für Interpretationen gibt oder dass das Gesetz noch sehr unspezifisch ist. Das Gesetz sieht aber gleichzeitig vor, dass die Branche selbst eben mitdefinieren darf, wie diese allgemeinen Resilienzpflichten praktisch umgesetzt werden sollen. Wie soll das denn im Detail funktionieren? Also wie wird sich da jetzt eingebracht und sehen da so die nächsten Schritte aus?
Das ist tatsächlich ein Punkt, wenn man in die Gesetzesbegründung reinguckt auf den der Gesetzgeber setzt, dass sich da Branchenverbände einbringen. Das ist eigentlich auch eine ganz gute Kooperation, ganz gutes Miteinander, weil ein Branchenverband sicher eher einschätzen kann, was realistisch ist und für die Unternehmen weniger belastend ist. Der BDEW ist zumindest nach meiner Kenntnis auch schon aktiv und dabei für die von ihm betreuten Bereiche und Sektoren solche Branchenstandards zu erarbeiten. Was da genau passiert, wie weit es ist, das weiß ich nicht. Aber dass es dann für Energie und Wasser sowas geben soll, das ist schon angestoßen.
Da dürfen wir also auch gespannt bleiben und hoffen, dass sich da vielleicht nochmal die eine oder andere Konkretisierung ergibt, die der Branche dann zuträglich ist, weil sie Dinge spezifiziert und anpackbar macht. Du hattest eingangs auch gesagt, dass es auch Verpflichtungen im Rahmen des Kritis-Dachgesetzes gibt, die Geschäftsleitungen nochmal im Speziellen betreffen, womit das ganze Thema Kritis eben auch kein reines Fachabteilungsthema mehr ist oder Thema für mehrere Fachabteilungen, muss man ja auch dazu sagen. Da greifen ja eben die verschiedenen Bereiche ineinander in so einem Energieversorgungsunternehmen im Krisenfall oder zum Schutz der kritischen Infrastruktur. Welche Verpflichtungen ergeben sich denn jetzt für die Geschäftsleitungen, wo jetzt gerade alle Geschäftsführerinnen und Geschäftsführer, die hier zuhören, nochmal besonders die Ohren spitzen sollten?
Auf jeden Fall. Ich glaube auch, dass das für Aufmerksamkeit gesorgt hat. Diese Regelung, die die Geschäftsleitung eines Betreibers direkt und persönlich anspricht... Ich bin als Geschäftsleitung dazu verpflichtet, dass die identifizierten Resilienzmaßnahmen auch tatsächlich umgesetzt werden und ich muss, das glaube ich, ist so der Kern, bestimmte strukturelle Voraussetzungen schaffen. Ich muss zum Beispiel sicherstellen, dass es geordnete Prozesse gibt für das Eintreten eines Vorfalls. Ich muss sicherstellen, dass ich eine 24-7-Ansprechbarkeit habe in meinem Unternehmen, damit dann auch die Vorfälle tatsächlich unverzüglich gemeldet werden können. Das sind so die Bereiche, in die das meiner Ansicht nach geht. Was die Haftung angeht, das hat natürlich sofort für Aufmerksamkeit gesorgt, ist es so, dass sich die Art der Haftung eigentlich nicht ändert. Gucken wir mal auf unsere Mitglieder. Unsere Mitglieder sind ja ganz oft als GmbH organisiert und im Kritis-Dach-Gesetz steht, dass eine Haftung sich nach den für die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts richtet.
Das darf man nochmal einordnen.
Ja, das ist sehr schön ziseliert,das muss man sicher umsetzen. Also ich, Geschäftsführer eines Stadtwerks, das Stadtwerk ist als GmbH organisiert. So, jetzt gucke ich mir an, Rechtsform der Einrichtung ist die GmbH, was gibt es denn da für anwendbare Regelungen? Und da finde ich im GmbH-Gesetz in Paragrafen 43, da steht, was ich als Geschäftsführer verpflichten habe und wie ich denn hafte, wenn ich sie verletze. Also für einen GmbH-Geschäftsführer gibt es bereits eine anwendbare Regelung des Gesellschaftsrechts darüber, wie ich hafte. Dann setzt das Kritis-Dachgesetz keine neuen Haftungsregelungen, sondern dann wird darauf zurückgegriffen. Das heißt, das habe ich für die GmbH und das habe ich für die Aktiengesellschaft, also für vermutlich einen Großteil unserer Mitglieder, gibt das Kritis-Dachgesetz keine neue Rechtsgrundlage für eine Haftung, sondern da bleibt es bei dem, was ich schon seit Jahrzehnten aus dem GmbH-Gesetz kenne. Also insofern ändert sich die Haftung nicht, aber der Kreis der Pflichten, der erweitert sich natürlich. Vorher musste ich Risikomanagement beim Einkaufen, was auch immer, etablieren. Jetzt habe ich einen erweiterten Pflichtenkatalog auch bezogen auf die Umsetzung dieser Resilienzmaßnahmen. Also nochmal zusammengefasst, Art der Haftung, so wie vorher auch, über das GmbH-Gesetz, Katalog der Pflichten, bei deren Verletzungen ich in dieHaftung genommen werden kann, jetzt erweitert, um die Resilienzpflichten und sonstige Pflichten nach dem Kritis-Dachgesetz.
Ja, jetzt haben wir in der letzten halben Stunde sehr viel darüber gesprochen, welche Pflichten einhergehen. Und es wird auch sicherlich ja dazu führen, dass ich bestimmte Maßnahmen auch jetzt schon ergreife, um meine Anlagen noch mehr abzusichern. Maßnahmen zur physischen Sicherheit oder ähnliches. Da stellen sich ja nochmal ganz neue Fragen, die wir heute sicherlich nicht komplett umreißen können. Welche Maßnahmen oder eigentlich gar nicht, welche Maßnahmen da jetzt Sinn machen und welche Möglichkeiten es auch gibt zur Absicherung meiner Anlagen. Ich glaube, was wir aber attestieren können, ist, dass das alles auf jeden Fall eine Menge Geld kostet und das Geld ja auch irgendwo herkommen muss, entweder aus den eigenen Ressourcen oder ja vielleicht auch aus anderen. Kannst du dazu noch eine kurze Einordnung geben, was den finanziellen Aufwand angeht? Also gibt es da Ressourcen außerhalb meiner eigenen Unternehmung, auf die ich da zurückgreifen kann oder bin ich hier in der Eigenerantwortung als Energieversorger oder Stadtwerk?
Bislang ja, also der Status ist jetzt nicht so super erfreulich. Im Kritis-Dachgesetz steht drin, was ich als Betreiber einer kritischen Anlage alles machen muss. Irgendwelche Regelungen zur Übernahme von Kosten stehen nicht im Gesetz. Also bislang bleibt es bei dem Betreiber der Anlage, der diese Kosten tragen muss. Wie hoch die sein werden, sagt das Gesetz noch nicht. Es gibt ja, wenn man so in Gesetzesentwürfe reinguckt, das tut man als Jurist ab und zu, wenn man in Gesetzesentwürfe reinguckt, da steht dann immer Kosten für die Bevölkerung, Kosten für die Verwaltung, Kosten für die Wirtschaft. Und da ist bislang nur vermerkt, was tatsächlich alles eine kritische Anlage sein wird. Und wer damit tatsächlich alles betroffen sein wird, ergibt sich im Wesentlichen aus den noch kommenden Rechtsverordnungen. Also das Gesetz enthält noch keine Kostenschätzung. Es sagt auch eben nichts zu einer Übernahme der Kosten. Das hat die Verbände auf den Plan gerufen. Der BDEW fordert vehement, dass ich zum Beispiel als Betreiber von Strom, Gas oder Wassernetzen diese Kosten weitergeben können muss. Das ist ja eine gesetzliche Verpflichtung, die mir auferlegt wird. Das mache ich nicht zum Spaß. Und deswegen, sagt der BDEW, muss ich das zum Beispiel im Rahmen der Anreizregulierung auf die Netzentgelte umlegen können. Ist aber bislang noch eine Forderung, konkrete Regelungen haben wir noch nicht.
Dann werden wir auch dort die Dinge harren und das wird uns Möglichkeit geben für eine mögliche Update-Folge beziehungsweise weitere Mitgliederinformationen in den nächsten Monaten bis hin zu Jahren unter Umständen. Zum Abschluss, Ingo, wir haben uns jetzt versucht, hier einmal so durchzukämpfen durch den Paragrafen-Dschungel und die wichtigsten Dinge, die aus dem Kritis-Dachgesetz hervorgehen, einmal abzuhandeln. Können wir es zum Schluss nochmal einmal so ein bisschen praktisch machen? Also was muss ich als EVU jetzt eigentlich gerade auf dem Schirm haben und was sollte ich jetzt als nächstes tun, um mich diesem Thema Umsetzung des Kritis-Dachgesetzes zu nähern?
Das Wichtigste ist natürlich zu gucken, ob ich adressiert bin. Da haben wir eben diese Schwelle von den 500.000 versorgten Einwohnern. Also bislang noch kein Alarm für die kleinen und mittleren Unternehmen. Wenn ich denn adressiert bin, dann müsste ich als nächstes klären, bis wann ich die erste Pflicht, nämlich die Registrierungspflicht, erfüllen muss. Das würde ich im Zweifel beim BBK nachfragen. Ich habe da schon mal angerufen. Stehe aber anscheinend noch auf der Warteliste. Ich habe also noch keinen Rückruf bekommen. Wenn ich weiß, ich überschreite die 500.000-Einwohner-Schwelle, wenn ich weiß, wann ich die Pflicht erfüllen muss, dann sollte ich zum einen die Meldung initiieren und zum anderen sollte ich auch dann Folgemaßnahmen initiieren. Zum Beispiel Zuständigkeiten im Unternehmen festlegen, zum Beispiel ausbuchen, wo ich meine 24-7-Ansprechstelle habe, in meinen bestehenden oder noch zu erstellenden Sicherheitskonzepten die Pflichten nach dem Kritis-Dachgesetz abbilden und das Ganze, was die Prozesse und die zu ergreifenden Maßnahmen angeht, möglichst klar strukturieren und dokumentieren. Ich werde es wahrscheinlich nur in der Schublade behalten, aber muss jederzeit darauf vorbereitet sein, dass mich die Bundesnetzagentur oder das BBK danach fragt. Wir sind ja, was die Gesetzgebung angeht, erstmal am Anfang. Wir hatten ja eingangs diskutiert, Kritis-Dachgesetz, große Flughöhe, wenig konkrete Regelungen. Da werden jetzt noch ganz viele kleine Rechtsverordnungen kommen, wo schöne Dinge drinstehen, wer tatsächlich betroffen ist. Ich muss das Thema also so im Hintergrund im Blick haben, was da noch alles kommt, um festzustellen, ob zum Beispiel diese 500.000 Einwohnerschwelle für meinen Sektor und für meine Anlage vielleicht runtergesetzt wird. Ansonsten würde ich empfehlen, in diese BDEW-Anwendungshilfe reinzugucken. Also bei dem, was ich recherchiert habe und ich glaube, bei dir sieht es genauso aus, Hannah, ist das im Moment das Aktuellste und Konkreteste, was auf dem Markt ist, um mir zum Beispiel bei diesem Portal zu helfen und bei anderen praktischen Fragen.
Das verlinken wir also gerne nochmal in der Folgenbeschreibung, um da schon mal etwas Anpack zu geben. Ansonsten schieben wir auch gerne an der Stelle noch den kleinen Werbeblock ein, dass wir unseren Mitgliedern natürlich auch verschiedene andere Hilfestellungen geben, rechtliche Einordnungen und auch perspektivische Anwendungshilfen beziehungsweise auch die passenden Partner, um dieses ganze Thema jetzt umzusetzen, dass wir das eben auch im Netzwerk in diesem Jahr gemeinsam angehen, um dem Thema Kritis den entsprechenden Raum zu geben und Mitglieder hier sattelfest aufzustellen. Und dann würde ich an dieser Stelle sagen, Ingo, vielen Dank. 40 Minuten haben wir gebraucht, um es hier einmal durchzuarbeiten und wir hätten wahrscheinlich noch mehr Zeit damit verbringen können. Wir hoffen, es hatte trotzdem die nötige, oder es hatte vor allen Dingen aufgrund dieser Länge jetzt auch die nötige Detailtiefe, um sich da einmal über das Format Audio einen Überblick zu verschaffen über das Kritis-Dachgesetz, was hier eigentlich alles drin steckt, welche Pflichten es gibt und welche Auswirkungen. Ja, danke Ingo, dass du uns hier heute einmal mitgenommen hast, wieder einmal in die Welt des Rechts. Und wer sich noch eine andere Perspektive auf das Thema Kritis wünscht, dem empfehle ich noch die Folge Nummer 94 von Energiedosis. Dort habe ich mit Oberst Armin Schaus aus dem operativen Führungskommando der Bundeswehr gesprochen zum Operationsplan Deutschland. Ja, auch eine interessante andere Perspektive aus sicherheitspolitischer Sicht. Also hört da auch gerne mal rein, wenn euch das Thema interessiert. Ansonsten danke ich ganz herzlich fürs Zuhören. Wir hören uns ganz bald wieder. Bleibt uns gewogen und bis zum nächsten Mal.
Ingo Rausch
00:00:59
Hannah Simon
00:01:00
Ingo Rausch
00:01:10
Hannah Simon
00:02:21
Ingo Rausch
00:02:32
Hannah Simon
00:03:33
Ingo Rausch
00:03:52
Hannah Simon
00:05:01
Ingo Rausch
00:05:32
Hannah Simon
00:07:07
Ingo Rausch
00:07:31
Hannah Simon
00:08:37
Ingo Rausch
00:09:15
Hannah Simon
00:10:22
Ingo Rausch
00:10:34
Hannah Simon
00:11:11
Ingo Rausch
00:11:30
Hannah Simon
00:13:23
Ingo Rausch
00:14:10
Hannah Simon
00:15:04
Ingo Rausch
00:15:20
Hannah Simon
00:17:36
Ingo Rausch
00:18:20
Hannah Simon
00:19:16
Ingo Rausch
00:19:28
Hannah Simon
00:19:44
Ingo Rausch
00:20:23
Hannah Simon
00:20:47
Ingo Rausch
00:21:17
Hannah Simon
00:22:31
Ingo Rausch
00:22:46
Hannah Simon
00:23:15
Ingo Rausch
00:23:46
Hannah Simon
00:24:25
Ingo Rausch
00:25:09
Hannah Simon
00:26:21
Ingo Rausch
00:26:25
Hannah Simon
00:28:07
Ingo Rausch
00:29:02
Hannah Simon
00:30:34
Ingo Rausch
00:31:10
Hannah Simon
00:33:29