Das KRITIS-Dachgesetz, das 2024 in Kraft treten soll

Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie - EU 2022/2557)¹  verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken.
Die EU-Richtlinie für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie)²  weitet Cybersicherheitsvorgaben auf mehr Sektoren und mehr Unternehmen aus. Betroffene Unternehmen werden nur noch anhand ihrer Unternehmensgröße erfasst.
Sowohl die NIS-2-Richtlinie als auch die CER-Richtlinie sollen durch das im Koalitionsvertrag vereinbarte KRITIS-Dachgesetz umgesetzt werden. Das Gesetz schafft erstmalig eine sektorenübergreifende bundesgesetzliche Regelung zum physischen Schutz Kritischer Infrastrukturen in Deutschland und eine Weiterentwicklung der Cybersicherheit.
Was ändert sich durch das KRITIS-Dachgesetz?

• Kritische Infrastrukturen sollen klar und systematisch identifiziert werden.
• Staat und KRITIS-Betreiber sollen regelmäßige Risikobewertungen durchführen und dadurch Gefahren besser erkennen.
• Es werden Mindeststandards für Betreiber Kritischer Infrastrukturen geschaffen.
• Ein zentrales Meldesystem für Störungen soll das bestehende Meldewesen im Cybersicherheitsbereich ergänzen. Mögliche Schwachstellungen bei  Schutz Kritischer Infrastrukturen können so besser erkannt und behoben werden.
• Die Zusammenarbeit der beteiligten Akteure im Bereich der Kritischen Infrastrukturen soll besser organisiert und klare Verantwortlichkeiten und Ansprechpartner benannt werden.

Das gilt grundsätzlich für alle mittleren- und Großunternehmen in den betroffenen Wirtschaftssektoren. Auf die Fallzahlen kommt es also nicht mehr an.
Während unter der alten NIS-Richtlinie die Mitgliedstaaten dafür verantwortlich waren, zu bestimmen, welche Unternehmen die Kriterien erfüllen würden, um sich als Betreiber wesentlicher Dienste zu qualifizieren, führt die neue NIS 2-Richtlinie eine „size-cap rule“ (Artikel 2 Nr. 1) als allgemeine Regel zur Identifizierung regulierter Unternehmen ein. Das bedeutet, dass alle mittleren und großen Unternehmen, die in den von der Richtlinie erfassten Sektoren tätig sind oder Dienstleistungen erbringen, in ihren Anwendungsbereich fallen. Im Sinne der Empfehlung 2003/361/EG gilt:

• Kleines Unternehmen: weniger als 50 Mitarbeiter und ein Jahresumsatz bzw. eine Jahresbilanz von unter 10 Mio. Euro.
• Mittleres Unternehmen: weniger als 250 Mitarbeiter und ein Jahresumsatz von unter 50 Mio. Euro bzw. eine Jahresbilanz von unter 43 Mio. Euro.

Von der NIS-2-Richtlinie erfasste Unternehmen müssen zukünftig Risikomanagementmaßnahmen im Cybersicherheitsbereich vorweisen und Meldepflichten im Fall von Cybervorfällen erfüllen. Nach Schätzungen des Statistischen Bundesamts betrifft das in Deutschland insgesamt rund 29.000 Unternehmen – mehr als fünfmal so viele wie zuvor.
Die NIS-2-Richtlinie wurde am 27.12.2022 im Amtsblatt L333 der Europäischen Union veröffentlicht. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung in Kraft. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umsetzen.
Betroffene Unternehmen wie Krankenhäuser sollten sich intensiv mit der weiteren Entwicklung des KRITIS-Dachgesetzes beschäftigen und sich entsprechend vorbereiten.
Folgende  Inhalte zum KRITIS-Dachgesetz sind bisher veröffentlicht:

• Eckpunkte Papier, Dachgesetz, Dezember 2022³
• Referentenentwurf, Bearbeitungsstand 17.07.2023⁴
• Referentenentwurf, Bearbeitungsstand 21.12.2023⁵
• Referentenentwurf, Vergleichsversion, Bearbeitungsstand 17.07.2023.⁶

Zeitplan:
Grundsätzlich müssen die EU-Mitgliedsstaaten die CER-Richtlinie bis spätestens dem 17.10.2024 umsetzen (Artikel 26). Für diesen Stichtag ist auch das Inkrafttreten des KRITIS-Dachgesetzes zu erwarten.
Der § 20 regelt das Inkrafttreten des KRITIS-Dachgesetzes. Das Gesetz soll grundsätzlich am Tag der Verkündung in Kraft treten
Folgende Paragraphen sollen erst am 1. Januar 2026 in Kraft treten.

• § 6 (Anforderungen an Betreiber Kritischer Infrastrukturen)
• § 7(Kritische Anlagen von besonderer Bedeutung für Europa)
• § 8 (Registrierung der kritischen Anlage)
• § 10 (Risikoanalysen und Risikobewertungen der Betreiber kritischer Anlagen)
• § 11 (Resilienzmaßnahmen der Betreiber kritischer Anlagen)
• § 12 (Meldewesen für Störungen )
• Folgender Paragraph soll erst am 1. Januar 2027 in Kraft treten.
• § 19 (Bußgeldvorschriften)

¹ eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2557, aufgerufen im Internet am 06.05.2024.

² eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555, aufgerufen im Internet am 06.05.2024.

³ Im Internet aufgerufen am 06.05.2024 unter Eckpunkte für das KRITIS-Dachgesetz (bund.de).

⁴ Im Internet aufgerufen am 06.05.2024 unter 230717_Referentenentwurf_KRITIS-DachG_vor_Ressortabstimmung.pdf.

⁵ Im Internet aufgerufen am 03.04.2024 unter 231221-Bearbeitungsstand-RefE-KRITIS-DachG.pdf.

⁶ Im Internet aufgerufen am 03.04.2024 unter 231221-Vergleichsversion-RefE-KRITIS-DachG.pdf.

Diese Nachricht stammt aus dem Healthcare & Hospital Law Newsletter. Abonnieren Sie hier kostenlos und verpassen Sie keine wichtigen News aus der Branche!