Das KRITIS-Dachgesetz

Der Status Quo aus unternehmerischer Sicht

Kennen Sie die Richtlinie 2019/904/EU? Ab heute werden sie jedes Mal daran denken, wenn Sie sich die Nase oder Oberlippe am scharfen Rand des Kunststoffverschlusses einer Getränkeflasche aufkratzen. Nennt man „Tethered Caps“. 

Es gibt etliche weitere EU-Richtlinien, über deren Sinn und Zweck man trefflich diskutieren kann. So wird Dank der EU die Abholzigkeit von Rohholz in Zentimetern mit einer Dezimalstelle pro Meter ausgedrückt und Waldhonig muss eine elektrische Leitfähigkeit von 0,8 MikroSiemens pro Zentimeter haben.

Und dann gibt es natürlich noch die EU RCE Directive bzw. die CER-Richtlinie (EU 2022/2557). Diese reguliert die Resilienz bei Kritischen Infrastrukturen in der EU durch Maßnahmen in Unternehmen und die dazu (vermeintlich) nötige staatliche Aufsicht und soll Anfang 2025 in Kraft treten. Ein mehrfach überarbeiteter Referenten-Entwurf liegt vor. Ein Blick in die Begründung:

Die Gefährdung kritischer Infrastrukturen nimmt zu. Ereignisse mit katastrophaler Wirkung passieren, und sie werden zunehmend komplexer und oftmals verstärken sie sich gegenseitig. […]

Das KRITIS-Dachgesetz nimmt alle kritischen Infrastrukturen in den Blick und definiert, welche Unternehmen und Einrichtungen mit Blick auf den physischen Schutz für die Gesamtwirtschaft verpflichtende Resilienzmaßnahmen ergreifen müssen. […] 

Die Maßnahmen müssen sie in sogenannten Resilienzplänen darstellen. Eine wesentliche Grundlage dafür sind Risikoanalysen und -bewertungen […]

Dass die Gefährdung kritischer Infrastrukturen zunimmt und Ereignisse mit katastrophaler Wirkung passieren, kann man subjektiv zustimmen; ob nicht objektiv eher die Art der globalen Nachrichtenverbreitung ein solches Bild zeigen, mag dahingestellt sein. Aber wenn man sich Ereignisse mit katastrophaler Wirkung in den Jahren zwischen 9/11 und der querstehenden Ever Given im Suezkanal anschaut stellt man fest, dass keiner auf diese Ereignisse im Besonderen vorbereitet war. 

Das KRITIS-Dachgesetz nimmt alle kritischen Infrastrukturen in den Blick

Der pawlow‘sche Reflex der Politik nach solchen Ereignissen aber ist: Da muss man doch was machen! Das geschieht mit schöner Regelmäßigkeit. Deshalb muss es auch – aus Sicht der Politiker und der Bürokraten - das KRITIS -Dachgesetz geben. Aus der Begründung: „Das KRITIS-Dachgesetz nimmt alle kritischen Infrastrukturen in den Blick“.

Mein Arbeitgeber, Siemens Energy, ist weltweit führend im Energiegeschäft. Ein Sechstel der weltweiten Stromerzeugung basiert auf unserer Technik. Wir sind in mehr als 90 Ländern präsent und 99.000 Beschäftigte arbeiten als globales Team zusammen. Neben Windkraftanlagen, Generatoren und Kraftwerkstechnik stellen wir auch Gasturbinen her und warten diese. Genauso eine Wartung führte dazu, dass der russische Energiekonzern Gazprom seine Gaslieferungen über Nord Stream 1 ab Juni 2022 heruntergefahren und dies mit der fehlenden Turbine begründet hat, die mit anderen zusammen den Druck zum Durchpumpen des Gases erzeugt. 

Ein Blick in den Referentenentwurf zeigt, dass Siemens Energy kein Unternehmen der kritischen Infrastruktur ist. In § 3 (3) findet man bei den „kritische Dienstleistungen“, beispielsweise neben der Stromversorgung auch den Luft-, Straßen- und Eisenbahnverkehr. Aber Siemens Energy versorgt nicht mit Strom. Genauso wenig wie Mercedes-Benz den Straßenverkehr, Knorr-Bremse den Eisenbahnverkehr oder Airbus den Luftverkehr gewährleistet. 

Doch zurück zur Begründung. Dort steht auch noch etwas von verpflichtenden Resilienzmaßnahmen und Risikoanalysen und -bewertungen. Als West-Berliner Kind erinnere ich mich an Schweinefleisch in Dosen, fehlfarbene Zigarren und Schuhabsätze aus der Senatsreserve, die durch das permanente Auswechseln der Güter gegen frische Produkte, die sogenannte „Wälzung“, in den Geschäften landeten. Neben vielen anderen Dingen wurden auch 200.000 t Getreide, 18 Millionen Rollen Toilettenpapier und 10.000 Nachttöpfe vorgehalten. Das hatte Gründe. Nach der Blockade West-Berlins 1948/49 durch die Sowjetunion sollte ein „normales“ Leben im Westteil der Stadt für mindestens 180 Tage gesichert sein. War halt eine Resilienzmaßnahme. Hieß damals nur noch nicht so. 

Unternehmen sind heute nicht nur resilient

Unternehmerische Resilienz ist die Eigenschaft eines Unternehmens, externe Störungen oder Verwerfungen der sozialen, wirtschaftlichen oder politischen Rahmenbedingungen auszuhalten und sich an die neuen Bedingungen anzupassen. Es gibt zwar die These, dass die Unternehmen nicht automatisch insolvent sind, wenn sie aufhören zu produzieren oder verkaufen, aber vermutlich werden sich die deutschen Firmenlenker nicht darauf verlassen.

Aber Unternehmen sind heute nicht nur resilient. Compliance, also Rechtskonformität und Einhaltung von Gesetz und Recht, beinhaltet auch die Überprüfung von feststehenden Regularien, Standards und Normen. Zwar haben Normen an sich keine rechtliche Verbindlichkeit. Aber Normen haben kraft Entstehung, Trägerschaft, Inhalt und Anwendungsbereich den Charakter von Empfehlungen. Dadurch dienen Normen häufig der Ausfüllung unbestimmter Rechtsbegriffe, beispielsweise des Begriffes „anerkannten Regeln der Technik“, und erlangen dadurch rechtliche Bedeutung. Bei anerkannten Regeln der Technik wiederum ist davon auszugehen, dass sie sich aufgrund fortdauernder praktischer Erfahrung bewährt haben. Damit gilt beispielsweise im Strafrecht, das Normen große Bedeutung als Maßstab für die Bestimmung der Pflichtwidrigkeit eines Handelns haben; im Zivilrecht gilt, dass Normen bei der Auslegung von Verträgen als Mindeststandard angesehen werden. Normen haben wir zwischenzeitlich auch im Bereich Sicherheit reichlich. Beispielhaft seien nur die ISO 31000, die DIN EN 17483 oder der BSI-Standard 200-1 genannt.

Der Referentenentwurf geht davon aus, dass durch die Vorgaben der Wirtschaft ein Erfüllungsaufwand entsteht, aber eine belastbare Schätzung zu den Kosten erstmal nicht möglich ist. Der Aufwand und die damit einhergehenden Kosten werden aber enorm sein. In den Unternehmen müssen sich mindestens 10 interne und externe Stakeholder abstimmen, alles muss dokumentiert werden. Wenn also mehrere Bundesminister und der Bundeskanzler sagen, dass Bürokratie abgebaut werden muss - das KRITIS-Dachgesetz scheint damit nicht gemeint zu sein. 

Kompetente externe Berater sind rar

Und der Staat kann nicht besser Wirtschaft als die Unternehmen. Diese sind seit langem interessiert, alle ihre Risiken zu identifizieren, zu analysieren, zu bewerten und zu bewältigen, verlagern, minimieren oder zu akzeptieren. Eben wegen der Ereignisse mit katastrophaler Wirkung der Vergangenheit. Ob kleinere und mittlere Unternehmen die Umsetzung eines KRITIS-Dachgesetz (und NIS 2, IT-Sicherheitsgesetz 2.0, Lieferkettengesetz, etc. pp.) lösen können ist fraglich; kompetente externe Berater dafür sind rar und verursachen auch nicht unerhebliche Kosten, bieten aber zumindest eine ähnliche Haftungsverlagerung wie Steuer- und Rechtsberatung. 

Letztendlich ist das KRITIS-Dachgesetz ein weiterer Schritt in Richtung “Nanny State“, bei dem der Staat mit Verboten bzw. Pflichten, Sanktionen oder sonstigen Erschwernissen das Verhalten beeinflusst und dabei das Recht der Gewerbefreiheit in unangemessener Weise einschränkt und zusätzliche bürokratische Aufgaben für die Unternehmen schafft.