Die BVE begrüßt die nationale Implementierung der CER-Richtlinie als Start für die Regulierung eines sektorübergreifenden physischen Schutzes kritischer Infrastrukturen und dankt dem Bundesministerium des Innern für die Möglichkeit zur Stellungnahme.
Vermeidung von Doppelregulierung
Aus Sicht der Ernährungsindustrie muss das KRITIS Dachgesetz zur effektiven und kosteneffizienten Erhöhung der sektorübergreifenden physischen Sicherheit beitragen. Dazu ist die Harmonisierung mit dem ebenfalls auf die nationale Sicherheit zielenden NIS2UmsuCG zwingend notwendig, insbesondere auch was Begriffsbestimmung- en und deren Anwendung betrifft. Die beiden Gesetze zum Thema nationaler Sicherheit (Cybersicherheit und physische Sicherheit) sollten ineinandergreifen, sich ergänzen und nicht doppelt regulieren.
Nationale Risikoanalyse als Voraussetzung für betriebliche Risikoanalysen
Die Tragweite des Gesetzentwurfes lässt sich für die Ernährungsindustrie jedoch nur unzureichend abschätzen, da wesentliche Maßnahmen und Anforderungen sich nach Auffassung der Branche erst aus der nationalen Risikoanalyse werden ableiten lassen. Die Identifikation steuerbarer Risiken ist notwendige Voraussetzung, um betriebliche Risikoanalysen, Maßnahmen und Kostenschätzungen durchführen zu können. Die nationale Risikoanalyse muss also zwingend der betrieblichen Risikoanalyse vorausgehen. Bei der Risikobetrachtung sollte in jedem Fall angelehnt an die KRITIS Verordnung die Kritikalität bzw. Versorgungssicherheit als Kriterium herangezogen werden. Zwingend zu konkretisieren ist auch, welche Anforderungen der Gesetzgeber an den „Resilienzplan“ der Betreiber kritischer Anlagen stellt. Kritische Komponenten sind im Gegensatz zum Bereich der Cybersicherheit im Bereich der physischen Sicherheit nicht regulierungsbedürftig.
Klarstellungsbedarf beim Geltungsbereich
Ebenso kann eine Folgenabschätzung erst sorgfältig stattfinden, wenn der Geltungsbereich des Gesetzentwurfes bekannt ist. Dazu bedarf es weiterer Informationen über die geplanten Inhalte der folgenden Rechtsverordnung zur Bestimmung von Betreibern Kritischer Anlagen nach dem KRITIS-Dachgesetz. Zumindest sollte der Gesetz- entwurf die Rahmenbedingungen für die Rechtsverordnung deutlich abstecken.
Unklarheiten zu Bußgeldregelungen beseitigen
Auch gibt es keine Angaben im Gesetzentwurf zu Bußgeldhöhen und keine Regelungen zu den Vorgaben bzgl. der Komponentenbeschaffung. Daher kann auch hier keine Folgenabschätzung abgegeben werden. Es fehlt die eindeutige Festlegung im Gesetzestext, dass es keine Doppel-, Mehrfachbestrafung auf ein und dieselbe Anlage und/oder ein und denselben Verstoß geben darf.
Keine Doppelmeldungen
Die Meldungen von Vorfällen sollten effizient mit den Behörden abgewickelt werden. Das Prinzip „Ein Vorfall – Eine Meldung“ muss auch nach dem KRITIS Dachgesetz gelten. Weiter ist ein effizientes Meldewesen nur über einen kooperativen Ansatz zwischen Unternehmen und Behörden möglich, es sollte daher ein beidseitiger Informationsfluss sichergestellt werden.
Berlin, 23.08.2023