LegalizeDachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen
§ 1 Nationale KRITIS-Resilienzstrategie
Die Bundesregierung soll eine Strategie zur Verbesserung der Resilienz kritischer Infrastrukturen verabschieden. Die Strategie beinhaltet Erwägungen zu Transparenzpflichten für kritische Infrastrukturen.
§ 2 Begriffsbestimmungen
Im Sinne dieses Gesetzes
ist „Betreiber kritischer Anlagen“ eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt; abweichend hiervon hat im Sektor Finanzwesen bestimmenden Einfluss auf eine kritische Anlage, wer die tatsächliche Sachherrschaft ausübt, wobei die rechtlichen und wirtschaftlichen Umstände insoweit unberücksichtigt bleiben;
ist „Anlage“ eine Betriebsstätte, sonstige ortsfeste Installation, Maschine, Gerät und sonstige ortsveränderliche technische Installation;
ist „kritische Anlage“ eine Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich ist;
ist „kritische Dienstleistung“ eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde;
ist „Resilienz“ die Fähigkeit einer kritischen Anlage, einen Vorfall zu verhindern, sich vor einem Vorfall zu schützen, einen Vorfall abzuwehren, auf einen Vorfall zu reagieren, die Folgen eines Vorfalls zu begrenzen, einen Vorfall aufzufangen und zu bewältigen und sich von einem Vorfall zu erholen;
ist „Risiko“ das Potenzial für Ausfälle oder Beeinträchtigungen, die durch einen Vorfall verursacht werden, das als eine Kombination des Ausmaßes eines Ausfalls oder einer Beeinträchtigung und der Wahrscheinlichkeit des Eintretens des Vorfalls zum Ausdruck gebracht wird;
ist „Risikoanalyse“ das systematische Verfahren zur Bestimmung eines Risikos;
ist „Risikobewertung“ der Prozess, in dem Risiken in Bezug auf deren Wirkung auf die kritische Dienstleistung verglichen und priorisiert werden und entschieden wird, ob Maßnahmen zur Risikobehandlung zu ändern und zu ergänzen sind;
ist „Vorfall“ ein Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte, mit Ausnahme von Ereignissen, die ausschließlich Sicherheitsvorfälle im Sinne des § 2 Nummer 40 des BSI-Gesetzes oder § 3 Nummer 53 des Telekommunikationsgesetzes sind;
sind „Einrichtungen der Bundesverwaltung“ das Bundeskanzleramt, die Bundesministerien und der Beauftragte der Bundesregierung für Kultur und Medien;
ist „Geschäftsleitung“ eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung eines Betreibers kritischer Anlagen berufen ist; Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung nach Nummer 10 sowie Leiterinnen und Leiter von Behörden gelten nicht als Geschäftsleitung;
sind „maritime Infrastrukturen“ Anlagen auf oder unter See im Küstenmeer und der ausschließlichen Wirtschaftszone der Bundesrepublik Deutschland.
§ 3 Zentrale Anlaufstelle; zuständige Behörde; behördliche Zusammenarbeit; Verordnungsermächtigung
(1) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ist zentrale Anlaufstelle im Sinne des Artikels 9 Absatz 2 der Richtlinie (EU) 2022/2557 in der Fassung vom 14. Dezember 2022.
(2) Zuständige Behörde im Sinne dieses Gesetzes ist
das Bundesministerium des Innern für die kritischen Dienstleistungen, die von Einrichtungen der Bundesverwaltung erbracht werden,
die Bundesnetzagentur für die kritischen Dienstleistungen
der Stromversorgung,
der Erdgasversorgung,
der Wasserstoffversorgung und
des Betriebes von öffentlichen Telekommunikationsnetzen oder der Erbringung von öffentlich zugänglichen Telekommunikationsdiensten,
das Bundesministerium für Wirtschaft und Energie für die kritische Dienstleistung der Mineralölversorgung,
das Eisenbahn-Bundesamt für die kritische Dienstleistung des Eisenbahnverkehrs, soweit er in die Zuständigkeit der bundeseigenen Eisenbahnverkehrsunternehmen oder Eisenbahninfrastrukturunternehmen fällt,
die Generaldirektion Wasserstraßen und Schifffahrt für die kritische Dienstleitung der See- und Binnenschifffahrt in Bezug auf den Betrieb der bundeseigenen Wasserstraßeninfrastruktur,
das Bundesamt für Seeschifffahrt und Hydrographie für die kritischen Dienstleistungen der Wasserstands- und Gezeitenvorhersage des Bundes,
das Fernstraßen-Bundesamt für die kritische Dienstleistung des Straßenverkehrs in Bezug auf Verkehrssteuerungs- und Leitsysteme sowie intelligente Verkehrssysteme auf Bundesautobahnen und -straßen in Bundesverwaltung,
der Deutsche Wetterdienst für die kritische Dienstleistung der Wettervorhersage, soweit sie in seine Zuständigkeit fällt,
das Bundesamt für Sicherheit in der Informationstechnik für die kritischen Dienstleistungen, soweit sie nicht dem Betrieb von öffentlichen Telekommunikationsnetzen oder der Erbringung von öffentlich zugänglichen Telekommunikationsdiensten dienen,
der Sprach- und Datenübertragung,
der Datenspeicherung und -verarbeitung,
die Bundesanstalt für Finanzdienstleistungsaufsicht für die kritischen Dienstleistungen, die durch Unternehmen erbracht werden, für welche sie die zuständige Behörde im Sinne des Artikels 46 der Verordnung (EU) 2022/2554 ist,
die für den jeweiligen Leistungsträger nach dem Sozialgesetzbuch zuständige Aufsichtsbehörde für die kritische Dienstleistung der Erbringung von Leistungen der Sozialversicherung; sofern die kritische Dienstleistung der Leistungen des Rechts der Arbeitsförderung sowie der Grundsicherung für Arbeitsuchende, soweit sie der Aufsicht des Bundes unterliegt, betroffen ist, die Bundesagentur für Arbeit,
das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe für die Aufgaben nach den §§ 8, 14 Absatz 2 sowie § 18,
in den in den Nummern 1 bis 12 nicht genannten Fällen die jeweils zuständigen Bundesbehörden nach Absatz 3 Satz 1 und die jeweils zuständigen Landesbehörden nach Absatz 6 Satz 1.
Die in diesem Gesetz gesondert ausgewiesenen Zuständigkeiten bleiben unberührt.
(3) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, für weitere kritische Dienstleistungen, die in der Rechtsverordnung nach § 4 Absatz 3 festgelegt werden, zuständige Bundesbehörden festzulegen. Für die kritische Dienstleistung des Betriebs von Bodeninfrastrukturen für die Erbringung weltraumgestützter Dienste im Sektor Weltraum wird das Bundesministerium für Forschung, Technologie und Raumfahrt ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, eine oder mehrere zuständige Bundesbehörden festzulegen. § 4 Absatz 4 und 5 gilt entsprechend. Die Rechtsverordnung nach Satz 2 ergeht zusätzlich im Einvernehmen mit dem Bundesministerium des Innern.
(4) Das Bundesamt für Seeschifffahrt und Hydrographie und die Bundesnetzagentur tauschen Informationen mit Bezug zu maritimen Infrastrukturen in der ausschließlichen Wirtschaftszone aus und wirken zur Stärkung der Resilienz der Betreiber kritischer Anlagen im Bereich maritimer Infrastrukturen im Rahmen ihrer jeweiligen Zuständigkeiten in der ausschließlichen Wirtschaftszone zusammen.
(5) Jedes Land benennt dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe spätestens einen Monat nach dem 17. März 2026 je eine Landesbehörde als zentralen Ansprechpartner für sektorenübergreifende Angelegenheiten im Zusammenhang mit der Durchführung dieses Gesetzes.
(6) Jedes Land bestimmt für die nicht in Absatz 2 Satz 1 Nummer 1 bis 12 genannten kritischen Dienstleistungen der Rechtsverordnung nach § 4 Absatz 3, welche Landesbehörden die Aufgaben nach diesem Gesetz wahrnehmen. Es teilt dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe die zuständigen Behörden spätestens drei Monate nach Inkrafttreten der Rechtsverordnung nach § 4 Absatz 3 mit. Soweit eine Festlegung einer Bundesbehörde nach Absatz 3 zu einer jeweils kritischen Dienstleistung erfolgt ist, hat diese Festlegung Vorrang vor einer Bestimmung einer Landesbehörde nach diesem Absatz.
(7) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und die zuständigen Behörden nach Absatz 2 Satz 1 und Absatz 6 Satz 1 übermitteln sich wechselseitig die Informationen, die für die Aufgabenerfüllung der jeweils anderen Seite erforderlich sind. Erforderlich sein können insbesondere
Informationen zu Risiken und Vorfällen sowie
Informationen zu Maßnahmen
nach diesem Gesetz,
nach dem BSI-Gesetz,
nach dem Energiewirtschaftsgesetz,
nach dem Telekommunikationsgesetz und
nach der Verordnung (EU) 2022/2554, soweit eine Maßnahme gegenüber einem Betreiber kritischer Anlagen getroffen wird.
Für die Übermittlung von Informationen nach Satz 1 vereinbaren Sender und Empfänger Prozesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit.
(8) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe konsultiert in regelmäßigen Abständen, unter Einbindung der zuständigen Behörden, die zuständigen Behörden anderer Mitgliedstaaten der Europäischen Union, wenn
eine kritische Anlage physisch mit einer Einrichtung eines anderen Mitgliedstaates der Europäischen Union verbunden ist,
ein Betreiber kritischer Anlagen Teil von Unternehmensstrukturen ist, die mit einer kritischen Einrichtung im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2022/2557 in einem anderen Mitgliedstaat der Europäischen Union verbunden sind oder zu ihnen in Bezug stehen oder
ein Betreiber kritischer Anlagen in einem anderen Mitgliedstaat der Europäischen Union als kritische Einrichtung im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2022/2557 eingestuft wurde und wesentliche Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 für einen anderen oder in einem anderen Mitgliedstaat der Europäischen Union erbringt.
§ 4 Geltungsbereich; Sektoren; Verordnungsermächtigung
(1) Dieses Gesetz gilt für Betreiber kritischer Anlagen in den folgenden Sektoren:
Energie,
Transport und Verkehr,
Finanzwesen,
Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende,
Gesundheitswesen,
Wasser,
Ernährung,
Informationstechnik und Telekommunikation,
Weltraum und
Siedlungsabfallentsorgung.
(2) § 3 Absatz 8, die §§ 9, 10, 12 bis 16, 18, 19 Absatz 2 sowie die §§ 20, 21 Absatz 6 gelten nicht für
Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Unternehmen, für die die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2a des Kreditwesengesetzes oder § 293 Absatz 5 des Versicherungsaufsichtsgesetzes gelten,
Betreiber kritischer Anlagen im Sektor Informationstechnik und Telekommunikation,
Betreiber kritischer Anlagen im Sektor Siedlungsabfallentsorgung, mit Ausnahme des § 12, und
für Betreiber kritischer Anlagen im Sektor Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, mit Ausnahme des § 12.
(3) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrats bedarf, die kritischen Dienstleistungen, die jeweils zu den Sektoren nach Absatz 1 gehören.
(4) Die Rechtsverordnung nach Absatz 3 ergeht im Einvernehmen mit
dem Bundesministerium für Wirtschaft und Energie,
dem Bundesministerium der Finanzen,
dem Bundesministerium der Justiz und für Verbraucherschutz,
dem Bundesministerium für Arbeit und Soziales,
dem Bundesministerium der Verteidigung,
dem Bundesministerium für Landwirtschaft, Ernährung und Heimat,
dem Bundesministerium für Gesundheit,
dem Bundesministerium für Verkehr,
dem Bundesministerium für Forschung, Technologie und Raumfahrt,
dem Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit und
dem Bundesministerium für Digitales und Staatsmodernisierung.
(5) Zugang zu den Akten, die die Erstellung oder Änderung der Verordnung nach Absatz 3 betreffen, wird nicht gewährt. Die Akteneinsichtsrechte von Verfahrensbeteiligten bleiben unberührt.
§ 5 Erheblichkeit einer Anlage für die Erbringung kritischer Dienstleistungen; Feststellungsbefugnis; Verordnungsermächtigungen
(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf,
Kategorien von Anlagen,
⋯
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.