Übereinstimmend positiv wird bewertet, dass es nun überhaupt ein KRITIS-Dachgesetz gibt, welches erstmalig kritische Infrastrukturen sektorenübergreifend und bundeseinheitlich betrachtet.
Definiert werden Mindeststandards für den Schutz kritischer Infrastrukturen vor physischen Angriffen sowie neue Pflichten: zu Risiko- und Resilienzplänen und der Einführung von Krisenmanagementsystemen sowie zur Meldung größerer Störungen oder Vorfälle an Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Das Gesetz folgt dabei einem sogenannten All-Gefahren-Ansatz. Jedes denkbare Risiko muss berücksichtigt werden. Berücksichtigt werden müssen nicht nur Cyberangriffe, sondern auch Naturkatastrophen, technische Störungen, Sabotage, Terroranschläge oder menschliches Versagen. Betreiber müssen auf dieser Grundlage eigene Resilienzpläne erstellen und mindestens alle vier Jahre eine Risikobewertung durchführen. Über eine Risikoanalyse und Risikobewertung hinaus sieht das Gesetz keine weiteren konkreten Maßnahmen vor.
Damit will der Bund die EU-Richtlinie über die Resilienz kritischer Einrichtungen (sog. CER-Richtlinie) in deutsches Recht umsetzen – was eigentlich bereits zum 17. Oktober 2024 hätte passieren müssen, weshalb die EU-Kommission ein Vertragsverletzungsverfahren in Gang setzte. Kritik äußern nun der Deutsche Städtetag und der Branchenverband Bitkom am festgesetzten Schwellenwert von 500.000 Menschen – Infrastruktur gilt erst dann als kritisch, wenn sie so viele oder mehr Menschen versorgt. Dieser Schwellenwert sei viel zu hoch angesetzt. Zwar sieht das Gesetz eine Öffnungsklausel für die Länder vor, damit diese zusätzliche Anlagen unterhalb des Schwellenwertes definieren können. Hier steht allerdings die Befürchtung im Raum, dass ein föderaler Flickenteppich entsteht, der das eigentliche Ziel bundeseinheitlicher Standards konterkariert.
Begrüßt wird hingegen, weniger öffentliche Informationen über kritische Infrastruktur bereitzustellen, um nicht neue Gefahren zu provozieren.