Schon im Dezember hatte Bundesinnenministerin Nancy Faeser die Einigung der Bundesregierung auf den Schutz kritischer Infrastruktur mit einem sogenannten Kritis-Dachgesetz gemeldet. Das Gesetz werde die EU-Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) umsetzen. Bis zur Sommerpause wolle sie den Gesetzentwurf dem Bundestag zur Verabschiedung vorlegen, hatte die Ministerin angekündigt – „vollmundig“, so urteilt die Berliner regierungsnahe Tageszeitung „taz“. Auch ein IT-Sicherheitsgesetz 3.0 ist geplant. Im Mai hatten Energieversorger registriert, dass ein inoffizieller Entwurf davon in Umlauf geraten war. Es dürfte als Umsetzungsgesetz einer anderen Richtlinie der Europäischen Union (EU) mit der Abkürzung NIS 2 kommen, mutmaßt die Internetplattform Open Kritis.
Weil das Gesetz von den Betreibern kritischer Infrastruktur (Kritis), aber auch von einer noch unbekannten Menge weiterer Unternehmen mit sicherheitstechnischer Bedeutung für die Kritis-Anlagen eine Absicherung der Datensicherheit verlangt und Auflagen aufstellen dürfte, hat sich nun auch der Wirtschaftsrat der oppositionellen CDU mit der Forderung nach ausreichenden Umsetzungsfristen zu Wort gemeldet. Kleinere und mittlere Unternehmen müssten mehr Zeit dafür bekommen, die Kritis-Regeln umsetzen, betonte nun die christdemokratische Gruppe. Eine zusätzliche Verschärfung der Anforderungen dürfe es außerdem nicht geben. Außerdem verlangte der CDU-Wirtschaftsrat als Voraussetzung gute digitale Meldeprozesse sowie mehr Informationen und Austausch für die Unternehmen und unter ihnen.
Doch das Gesetz wird kommen – und Unternehmen können sich bereits darauf vorbereiten. Vielleicht gerade weil so vieles noch unklar ist, lohnt eine frühe Entwicklung von der Sicherheitsstrukturen oder zumindest von Sicherheitskonzepten. In diesem Seminar von ERNEUERBARE ENERGIEN lernen Sie am 27. Juni, was sinnvoll ist. Melden Sie sich noch kurzfristig an.