Die Ernährungswirtschaft als kritische Infrastruktur

Ministerialrat Dr. Christian Bobbert , Bonn1

Angesichts der gegenwärtig laufenden Gesetzgebungsverfahren zum Schutz kritischer Infrastrukturen lohnt sich ein Blick auf die Betroffenheit der Ernährungswirtschaft. Der folgende Beitrag gibt zunächst einen allgemeinen Überblick über die Grundprinzipien des Schutzes kritischer Infrastrukturen. Sodann werden die beiden regulatorischen Ansätze beleuchtet, mit denen der Gesetzgeber Betreiber kritischer Infrastrukturen in Anspruch nimmt. Dies sind zum einen die seit vielen Jahren bestehenden sog. Sicherstellungs- und Vorsorgegesetze, darunter das 2017 neu gefasste Ernährungssicherstellungs- und -vorsorgegesetz (ESVG). Zum anderen wird der noch im Gesetzgebungsverfahren befindliche Gesetzentwurf zum vorsorgenden Schutz kritischer Infrastrukturen (sog. KRITIS-Dachgesetz) vorgestellt. Letzterer ist sektorübergreifend konzipiert, jedoch wird ein besonderer Blick auf die spezifische Situation des Ernährungssektors geworfen. Der Beitrag schließt mit einigen kritischen Anmerkungen des Verfassers zur Thematik.

I. Einleitung

Kritische Infrastrukturen sind in der hoch entwickelten und leistungsfähigen Gesellschaft der Bundesrepublik Deutschland zuverlässig verfügbar. Verschiedene Ereignisse der letzten Jahre haben jedoch die Selbstverständlichkeit, mit der wir annahmen, dass dies auch so bleiben werde, erheblich erschüttert.

Zunächst ist hier die einschneidende Erfahrung der Corona-Pandemie der Jahre 2020 bis 2023 zu nennen. Zwar hat diese das öffentliche Gesundheitssystem letztlich nicht gesprengt, doch wurde erstmalig in der Geschichte der Bundesrepublik erkennbar, wie schnell nicht nur ein leistungsfähiges Gesundheitswesen seine Kapazitätsgrenzen erreicht, sondern auch wie bei einem Ausfall von Arbeitskräften auf breiter Front auch alle anderen kritischen Infrastrukturen ins Wanken geraten könnten. Mit dem Ausbruch des Kriegs gegen die Ukraine Anfang 2022 und der daraus resultierenden Einstellung der Gaslieferungen aus Russland ließ die nächste Herausforderung nicht lange auf sich warten. Auch hier konnten Gasrationierungen letztlich vermieden werden, doch die Versorgungssituation erschien zeitweilig so unsicher, dass die Bundesregierung die Alarmstufe des Notfallplans Gas aktivierte. Extremwetterereignisse wie die Flutkatastrophe an der Ahr im Juli 2021 oder längere Dürreperioden werden infolge der Klimaerwärmung immer mehr zur Normalität und stellen unsere Gesellschaft vor weitere Herausforderungen. Schließlich lässt auch die veränderte militärische Sicherheitslage in Europa weitere Gefährdungen kritischen Infrastruktur befürchten. Letztere ergäben sich nicht erst im Verteidigungsfall, sondern sind bereits in dessen Vorfeld im Rahmen der sogenannten “hybriden Kriegsführung” ein realistisches Szenario.

Angesichts der beschriebenen Ereignisse verwundert es nicht, dass der Schutz kritischer Infrastrukturen in den letzten Jahren in das Zentrum des politischen und medialen Interesses gerückt ist. Dies betrifft auch die Ernährungswirtschaft, denn sie stellt die Versorgung der Bevölkerung mit Lebensmitteln sicher und zählt damit ebenfalls zu den kritischen Infrastrukturen. Die Versorgung der Bevölkerung mit Lebensmitteln ist nicht nur ein Geschäft, sondern auch eine der Voraussetzungen für ein geordnetes Zusammenleben, die auch in Notsituationen möglichst weitgehend gegeben bleiben muss. Auch Lebensmittelunternehmen werden sich daher in naher Zukunft jenseits der vielfältigen Vorschriften des Lebensmittelrechts im engeren Sinne mit einer neuen Pflichtenstellung als Betreiber von Anlagen der kritischen Infrastruktur zu befassen haben.

II. Allgemeines zum Schutz kritischer Infrastruktur

1. Definition der Bundesregierung

Was ist eine kritische Infrastruktur? Die Fragestellung mag auf den ersten Blick theoretisch anmuten, doch es sollte nicht vergessen werden, dass in den Krisen der letzten Jahre leidenschaftlich darüber gestritten wurde, welche Sektoren als “kritisch” oder “systemrelevant” anzusehen seien. Wenngleich die dabei angelegten Maßstäbe nicht immer der Zielsetzung des Schutzes kritischer Infrastrukturen entsprachen, muss gleichwohl festgehalten werden, dass eine abstrakte Definition dessen, was eine kritische Infrastruktur ausmacht, im Ernstfall von großer praktischer Bedeutung sein kann.

Als es in der Corona-Pandemie darum ging festzulegen, welche Sektoren aufgrund ihrer besonderen Bedeutung für das Funktionieren der Gesellschaft von bestimmten Maßnahmen zum Zwecke des Infektionsschutzes (z. B. einem “lockdown”) auszunehmen seien, wurde immer wieder hektisch nach einer solchen Definition gesucht. Dies führte bisweilen auf den Irrweg zu der nach dem BSI-Gesetz2 erlassenen sog. BSI-Kritisverordnung3. Letztere enthält zwar eine genauere Beschreibung der kritischen Einrichtungen in einzelnen Wirtschaftssektoren, doch erfolgt diese ausschließlich mit dem Ziel der Bestimmung des Anwendungsbereichs des damals nicht einschlägigen BSI-Gesetzes und hat darüber hinaus keine allgemeine regulatorische Wirkung.

Auch die Begriffsbestimmungen der Richtlinie (EU) 2022/25574 sowie des Entwurfs eines KRITIS-Dachgesetzes zielen ausschließlich auf die Festlegung des jeweiligen Anwendungsbereichs ab. Eine theoretische Beschreibung des Konzepts bietet die im Jahre 2009 von der Bundesregierung beschlossene “Nationale Strategie zum Schutz Kritischer Infrastrukturen” (KRITIS – Strategie)5. Darin findet sich folgende allgemeine Begriffsbestimmung:

“Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.”6

Neben den unbestimmten Rechtsbegriffen, ohne die eine solche Definition naturgemäß nicht auskommen kann, ist es die negative Formulierung, die hier ins Auge springt. Ob eine Infrastruktur kritisch ist oder nicht, zeigt sich oft erst dann, wenn sie plötzlich nicht mehr verfügbar ist. Anders gesagt: Wenn wir morgens aufstehen, weil der Wecker geklingelt hat, nach einer warmen Dusche noch den Müll rausbringen, bevor wir mit der Straßenbahn zur Arbeit fahren und auf dem Fußweg dorthin noch kurz Bargeld abheben, dann wird uns kaum jemals bewusst, dass wir immer wieder kritische Infrastrukturen nutzen. Fällt aber nur eine dieser Infrastrukturen vollständig aus, d. h. es fließt kein Wasser mehr aus dem Hahn oder der Strom fällt aus, dann wird sehr schnell klar, was deswegen alles nicht mehr funktioniert. Dass “nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen” eintreten, steht dann in der Regel nicht mehr in Frage.

Eine solch abstrakte Definition des Begriffes hilft indessen nicht weiter, wenn in Frage steht, welche Akteure im Einzelnen in einer bestimmten Situation als Betreiber kritischer Infrastruktur anzusehen sind. Hierzu bedarf es einer auf den jeweiligen Regelungszusammenhang und das jeweilige Regelungsziel abgestimmten Begriffsbestimmung.

2. Sektoren der kritischen Infrastruktur

Bei der Frage, welche Sektoren der kritischen Infrastruktur zugerechnet werden, fällt auf, dass die KRITIS-Strategie der Bundesregierung, die Richtlinie (EU) 2022/2557 und der Entwurf eines KRITIS-Dachgesetzes nicht einheitlich gefasst sind.

Während sechs Sektoren (Energie, Informationstechnologie und Kommunikationstechnologie, Transport und Verkehr, Gesundheit, Ernährung, Staat und Verwaltung) in allen Regelwerken einheitlich, allenfalls mit kleineren terminologischen Abweichungen, genannt werden, werden andere Sektoren teilweise mit anderen zusammengefasst oder getrennt aufgeführt. Einen Überblick gibt die folgende Tabelle:

3. Risiken und Bedrohungen für kritische Infrastrukturen

Risiken und Bedrohungen für kritische Infrastrukturen können vielfältiger Art sein. Die KRITIS-Strategie der Bundesregierung differenziert zwischen natürlichen und anthropogenen Gefahren. Extreme Wetterereignisse wie Stürme, Tornados, Starkregen oder Dürren, wie sie aufgrund der Klimaerwärmung zuletzt deutlich häufiger vorkommen, können zu Schäden an Anlagen aller kritischen Infrastrukturen führen. Wie die Corona-Pandemie eindrucksvoll gezeigt hat, gehören natürlich auch Epidemien und Pandemien zu den natürlichen Gefährdungen von herausragender Bedeutung.

Als anthropogene Gefahren sind zunächst Unfälle und Fälle von Systemversagen zu nennen. Von größerer Bedeutung dürften vorsätzlich herbeigeführte Angriffe auf Anlagen kritischer Infrastruktur sein. Insoweit sind neben Sabotage, etwa durch Angriffe mit Schadprogrammen, Terrorismus und Krieg zu nennen.

Die Übergänge zwischen den einzelnen Gefährdungen sind fließend. So beginnt beispielsweise die moderne Kriegführung häufig mit sog. hybriden Angriffen, die von Unfällen schwer zu unterscheiden sind und daher zunächst einmal als solche identifiziert werden müssen. Ein hybrider Angriff kann ebenso ein Hackerangriff wie ein Sabotageakt an einem Strommast oder das absichtliche Freisetzen eines gefährlichen Krankheitserregers sein. Der Fantasie sind hier leider wenig Grenzen gesetzt.

Schließlich ist festzustellen, dass kritische Infrastrukturen in hohem Maße gegenseitig voneinander abhängig sind. Dass beispielsweise die Ernährungswirtschaft ohne elektrischen Strom (wenn überhaupt) nur äußerst notdürftig funktionieren würde, ist ebenso offensichtlich wie, dass beispielsweise das Gesundheitssystem ohne Nahrungsmittelversorgung früher oder später kollabieren würde. Dass der Ausfall einer jeden kritischen Infrastruktur mehr oder weniger erhebliche Auswirkungen auf alle anderen Infrastrukturen hat, scheint sich bereits zwingend aus der oben vorgestellten allgemeinen Definition zu ergeben. Auf eine Aufzählung weiterer Beispiele für Interdependenzen kann daher getrost verzichtet werden.

III. Die kritische Infrastruktur “Ernährung”

Dass die Versorgung der Bevölkerung mit Lebensmitteln grundsätzlich eine kritische Dienstleistung ist, dürfte außer Frage stehen, denn ihr Ausfall würde zweifellos zu “nachhaltig wirkenden Versorgungsengpässen”, “erheblichen Störungen der öffentlichen Sicherheit” und “anderen dramatischen Folgen” führen. Mit Blick auf die hieraus abzuleitenden Konsequenzen erscheint es jedoch längst nicht so klar, welche Akteure der Lebensmittelversorgungskette tatsächlich im operativen Sinne als “kritisch” eingestuft werden sollten. Hierzu ist zu differenzieren zwischen einem technischen, den Anwendungsbereich einer Regelung bestimmenden Begriff und einer allgemeinen Begriffsbestimmung.7

Zur Erläuterung sei ein kurzer Blick auf die Struktur der Ernährungswirtschaft geworfen: Nach Angaben des Lebensmittelverbands Deutschland e. V.8 sind es rund 4,6 Mio. Beschäftigte, die in über 600.000 Betrieben dafür sorgen, dass rund 84 Mio. Menschen in Deutschland mit Lebensmitteln versorgt werden. Mit einem Jahresumsatz von über 200 Mrd. Euro zählt die Ernährungsindustrie zu den fünf stärksten Wirtschaftszweigen in Deutschland. Gleichzeitig ist die Branche überwiegend kleinteilig strukturiert, d. h. es gibt eine große Fülle von kleinen und Kleinstunternehmen.

Aus Sicht des Verfassers ist es wichtig festzustellen, dass im Sinne der allgemeinen Begriffsbestimmung all diese Unternehmen ungeachtet ihrer Größe grundsätzlich als Teil der kritischen Infrastruktur Ernährung zu gelten haben. Andererseits kann daraus nicht folgen, dass alle diese Unternehmen auch als kritische Einrichtungen etwa im Sinne des KRITIS-Dachgesetzes einzustufen wären. Gilt es beispielsweise, in einer Pandemie die Nebenwirkungen einer zum Zwecke des Infektionsschutzes verhängten Ausgangsbeschränkung auf die Lebensmittelversorgung zu mildern, so kann es aber durchaus angezeigt sein, alle in der Lebensmittelkette Beschäftigten (also auch einen Kioskbetreiber) hiervon auszunehmen. Andererseits erschiene es unverhältnismäßig, zum Schutz der kritischen Infrastruktur von all diesen Unternehmen vorbeugende Maßnahmen zu ihrem physischen Schutz zu verlangen.

Der Entwurf für ein KRITIS-Dachgesetz versucht, diesem Umstand Rechnung zu tragen, indem im Ernährungssektor nur wenige, besonders große Anlagen in bestimmten Teilbereichen des Sektors in Anspruch genommen werden.9

Beim Ernährungssicherstellungs- und -vorsorgegesetz (ESVG) ist der Gesetzgeber dagegen den umgekehrten Weg gegangen. Hier geht der Anwendungsbereich sogar noch deutlich über die hergebrachten Begriffe des Lebensmittel- und Futtermittelunternehmers hinaus. Das Gesetz erfasst die gesamte Wertschöpfungskette von der Primärproduktion über Herstellung und Bearbeitung bis zu Einzelhandel und Gastronomie.10 Dieser sehr breite Anwendungsbereich erscheint nachvollziehbar, da das Gesetz außerhalb eines Krisenfalles kaum unmittelbare Verpflichtungen für Ernährungsunternehmen vorsieht, andererseits aber im Falle einer Versorgungskrise auf breiter Front anwendbar sein muss, um hoheitliche Eingriffe an der richtigen Stelle umfassend zu ermöglichen.

Die besonders relevanten Gefährdungen für die Ernährungswirtschaft dürften aufgrund ihrer kleinteiligen Struktur eher nicht in gezielten Angriffen gegen einzelne Anlagen zu sehen sein. Ausfälle einzelner Anlagen sind angesichts der Größe des Wirtschaftssektors in der Regel kompensierbar. Erhebliche Beeinträchtigungen der Lebensmittelversorgung insgesamt könnten jedoch bei einem Ausfall anderer kritischer Infrastrukturen, wie z. B. der Energie- oder Trinkwasserversorgung, eintreten.

IV. Die sektorspezifischen Sicherstellungs- und Vorsorgegesetze

1. Überblick

Seit den 1960er-Jahren, noch in Zeiten des Kalten Krieges, wurden sukzessive die sogenannten Sicherstellungsgesetze erlassen. Sie zielen darauf ab, die militärische Verteidigung um eine “zivile Verteidigung” zu ergänzen und dadurch sicherzustellen, dass wichtige Güter und Dienstleistungen auch im Verteidigungsfall sowohl für die  Zivilbevölkerung als auch für die Streitkräfte zur Verfügung stehen. Die Liste der so geschützten Güter und Dienstleistungen ähnelt sehr stark der in der KRITIS-Strategie sowie der Richtlinie (EU) 2022/2557 aufgeführten Liste kritischer Infrastrukturen. Auch hier finden sich neben Energie, Transport und Verkehr, Informationstechnik, Finanzwesen, Wasserversorgung und Ernährung. In der Sache handelt es sich auch hierbei um Gesetze zum Schutz kritischer Infrastruktur, auch wenn der Begriff bei der Abfassung der Notstandsgesetzgebung wahrscheinlich noch nicht existierte. Anders als die sektorübergreifende Richtlinie (EU) 2022/2557 verfolgen die Sicherstellungsgesetze nicht den All-Gefahren-Ansatz, sondern gelten ausschließlich im Szenario eines Spannungs- oder Verteidigungsfalles. Ein weiterer Unterschied liegt darin, dass die Sicherstellungsgesetze – mit Ausnahme des Bundesleistungsgesetzes und des Arbeitssicherstellungsgesetzes – einen sektorspezifischen Ansatz verfolgen, d. h. jeder Sektor verfügt über ein eigenes Sicherstellungsgesetz.

Die Anwendbarkeit der Sicherstellungsgesetze steht unter dem Vorbehalt der Feststellung des Spannungs- oder Verteidigungsfalls durch die Bundesregierung, weshalb sie auch als Notstandsgesetzgebung bezeichnet werden. Einige Sicherstellungsgesetze wurden später um sogenannte Vorsorgegesetze ergänzt, die ein entsprechendes Instrumentarium enthalten für Fälle, in denen bestimmte Güter oder Dienstleistungen aufgrund nicht militärisch bedingter Szenarien ausfallen könnten. Das Energiesicherungsgesetz (EnSiG) sowie das Post- und Telekommunikationssicherstellungsgesetz gelten sowohl in militärisch bedingten als auch in anderweitig bedingten Krisenszenarien.

Die folgende Tabelle gibt einen Überblick über die Sicherstellungs- und Vorsorgegesetze:

Inhaltlicher Kern aller Sicherstellungsgesetze ist ein Notfallinstrumentarium, mit dem eine Grundversorgung mit den jeweiligen Gütern oder Dienstleistungen sichergestellt werden kann. Dabei können marktwirtschaftliche Mechanismen außer Kraft gesetzt werden, beispielsweise indem die Verteilung knapper Ressourcen hoheitlich gesteuert wird. In gewissem Umfang enthalten einige Sicherstellungsgesetze auch Vorsorgemaßnahmen, Schwerpunkt ist jedoch das Instrumentarium für den Notfall.

2. Das Ernährungssicherstellungs- und -vorsorgegesetz (ESVG)

Im Ernährungssektor wurde im Jahr 1968 das Ernährungssicherstellungsgesetz (ESG)11 erlassen. Im Jahre 1991 führte dann die Reaktorkatastrophe von Tschernobyl dazu, dass der Gesetzgeber dem ESG ein Ernährungsvorsorgegesetz (EVG)12 für nicht militärisch bedingte Katastrophenszenarien zur Seite stellte. Im Jahr 2017 erfolgte eine umfassende Novellierung. Da die beiden Gesetze im Hinblick auf das jeweilige Handlungsinstrumentarium weitgehend inhaltsgleich waren, wurden sie zu einem einheitlichen “Ernährungssicherstellungs- und -vorsorgegesetz (ESVG)” zusammengefasst. Wie das Energiesicherungsgesetz sowie das Post- und Telekommunikationssicherstellungsgesetz (vgl. oben) ist damit auch das ESVG grundsätzlich sowohl im Verteidigungsfall als auch in nicht militärisch bedingten Katastrophenszenarien aktivierbar. Voraussetzung ist jedoch in beiden Fällen die Feststellung einer Versorgungskrise durch die Bundesregierung.

Eine Versorgungskrise liegt nach § 1 Absatz 1 ESVG vor, wenn “die Deckung des lebensnotwendigen Bedarfs an Lebensmitteln in wesentlichen Teilen des Bundesgebietes ernsthaft gefährdet ist . . . und . . . diese Gefährdung ohne hoheitliche Eingriffe in den Markt nicht, nicht rechtzeitig oder nur mit unverhältnismäßigen Mitteln zu beheben ist”. Die Definition lässt erkennen, dass hier nicht an lokale oder regionale Katastrophenfälle, sondern an einen vollständigen Zusammenbruch des Marktes gedacht ist. Der Gesetzgeber geht davon aus, dass auch in Katastrophenfällen die Versorgung Betroffener in aller Regel mit marktkonformen Maßnahmen sichergestellt werden kann, d. h. Lebensmittel zur Versorgung von Betroffenen werden vom Katastrophenschutz oder Hilfsorganisationen käuflich am Markt erworben. Die Schwelle für die im ESVG vorgesehenen hoheitlichen Eingriffe in die Lebensmittelkette liegt sehr hoch, was nachvollziehbar erscheint, da dem Grundgesetz eine marktwirtschaftliche Ordnung zugrunde liegt, die unter anderem durch die Grundrechte der Eigentums- und Berufsfreiheit geschützt werden.

Mögliche Adressaten etwaiger Maßnahmen nach dem ESVG sind nicht nur Lebensmittel- und Futtermittelunternehmer im Sinne des allgemeinen Lebensmittelrechts, sondern alle “Ernährungsunternehmen”, d. h. Unternehmen, die eine mit der Produktion, der Verarbeitung oder dem Vertrieb von “Erzeugnissen” zusammenhängende Tätigkeit ausüben. Als “Erzeugnisse” zählt das ESVG neben Lebensmitteln und Futtermitteln auch lebende Tiere und Pflanzen vor dem Ernten, die der Lebensmittelgewinnung dienen können, sowie Bruteier, Saatgut und Vermehrungsmaterial auf.

Ein Blick auf das im ESVG vorgesehene Handlungsinstrumentarium zeigt, dass das Gesetz im Wesentlichen über Verordnungsermächtigungen funktioniert, über die die Maßnahmen zur hoheitlichen Steuerung der Lebensmittelkette zunächst angeordnet werden müssen. § 4 ESVG enthält einen umfassenden Katalog möglicher Maßnahmen wie beispielsweise die Beschränkung der Abgabe, die Verpflichtung zur Herstellung oder die Sicherstellung bestimmter Erzeugnisse. Dass der Gesetzgeber selbst keine konkreteren Maßnahmen vorgibt, begründet er damit, dass Art, Umfang und Ursachen einer Versorgungskrise schwer vorhersehbar seien, was eine frühzeitige Konkretisierung des Maßnahmenkatalogs als nicht zielführend erscheinen lasse.13 Ergänzend zu den Verordnungsermächtigungen enthält § 6 ESVG einen Katalog von einstweiligen Maßnahmen, die im Falle einer kurzfristig eintretenden Versorgungskrise (z. B. im Falle eines Blackouts) unmittelbar durch die vollziehenden Landesbehörden angeordnet werden können.

Schließlich enthält das Gesetz auch einen Abschnitt 3 zu Maßnahmen, die nicht in einer Versorgungskrise, sondern zur Vorsorge für eine Versorgungskrise bzw. zu deren Abwendung getroffen werden können. Auch hier operiert das Gesetz nicht mit konkreten Vorsorgevorgaben, sondern erneut mit Verordnungsermächtigungen, die bislang nicht genutzt wurden. Nach § 11 ESVG können beispielsweise eine verstärkte Vorratshaltung durch Ernährungsunternehmen oder Maßnahmen zur Sicherstellung einer geordneten Abgabe von Erzeugnissen, beispielsweise zur Verhinderung eines “Ladensturms”, angeordnet werden.

Nach § 12 Absatz 1 ESVG treffen die zuständigen Behörden des Bundes und der Länder organisatorische, personelle und materielle Vorkehrungen, um die Ausführung des Gesetzes in einer Versorgungskrise sicherstellen zu können. Dieser Auftrag ist weniger trivial als er auf den ersten Blick erscheint, denn in Ermangelung eines “Routinevollzugs” können Notstandsgesetze wie das ESVG eigentlich nur in Übungen praktisch erprobt werden. Zur Erleichterung der Arbeit der Vollzugsbehörden haben die Ministerien von Bund und Ländern daher einen Maßnahmenkatalog entwickelt, der für verschiedene Eskalationsstufen entsprechende geeignete Maßnahmen auflistet. Dieser Katalog dient den in den Ländern für den Vollzug des ESVG zuständigen Behörden als Arbeitshilfe.

§ 12 Absatz 2 ESVG sieht vor, dass Bund und Länder in Verwaltungsvereinbarungen Einzelheiten zur Zusammenarbeit in einer Versorgungskrise, insbesondere Gremien und Verfahren zur gegenseitigen Information und Koordinierung, festlegen. Hierzu haben Bund und Länder eine “Vereinbarung über die Zusammenarbeit zwischen dem Bund und den Ländern zur Sicherstellung der Ernährung in einer Versorgungskrise”14 geschlossen. Diese sieht vor, dass Bund und Länder im Falle einer Versorgungskrise einen Bund-Länder-Krisenrat und einen Krisenstab einrichten und in der Bundesanstalt für Ernährung und Landwirtschaft (BLE) ein gemeinsames Lagezentrum einrichten, das neben anderen Aufgaben einen Lagebericht zur Versorgungslage erstellt und fortschreibt.

V. Der Entwurf für ein KRITIS-Dachgesetz als sektorübergreifende Schutzgesetz

1. EU-rechtlicher Hintergrund: Die Richtlinien (EU) 2022/2555 und (EU) 2022/2257

Die neueren Entwicklungen bei der Regulierung des Schutzes kritischer Infrastrukturen wurden durch den EU-Gesetzgeber angestoßen.

Am 16.1.2023 ist die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Eirichtungen (sog. CER-Richtlinie)15 in Kraft getreten. Sie schafft einen europäischen Rechtsrahmen für den vorbeugenden physischen Schutz kritischer Infrastrukturen. Ziel der Richtlinie ist es, einheitliche Mindestverpflichtungen für den Schutz kritischer Einrichtungen vor gezielten Angriffen festzulegen und deren Umsetzung durch gezielte Unterstützungs- und Aufsichtsmaßnahmen zu garantieren.

Zeitgleich wurde die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (sog. NIS-Richtlinie)16 umfassend durch die Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sog. NIS2-Richtlinie)17 novelliert und abgelöst. Diese inhaltlich speziellere Richtlinie dient dem Schutz kritischer Infrastrukturen vor Angriffen auf deren Netz- und Informationssysteme. Durch die Novellierung erfolgte einerseits eine signifikante Ausweitung des bisherigen Anwendungsbereichs auf mehr private Unternehmen sowie eine Einbeziehung der öffentlichen Verwaltung, andererseits aber auch eine spürbare Erhöhung der Sicherheitsanforderungen.

Bei ihren Bestrebungen, den Schutz kritischer Infrastrukturen zu harmonisieren, hat die EU also einerseits einen sektorübergreifenden Ansatz gewählt, indem sie allgemeine Regeln vorgibt, die einheitlich für alle KRITIS-Sektoren gelten sollen. Andererseits gelten aber unterschiedliche Rechtsakte, je nachdem, ob es um den Schutz der IT-Sicherheit oder den Schutz vor physischen Angriffen geht. Im Zweifel dürfte diese Trennung dem Umstand geschuldet sein, dass der Schutz kritischer Einrichtungen im Hinblick auf Ihre IT-Sicherheit bereits seit 2016 EU-rechtlich reguliert ist und daher von dem ansonsten sehr breit aufgestellten Ansatz der CER-Richtlinie ausgenommen wurde. Bemerkenswert erscheint außerdem, dass der Legislativvorschlag der Europäischen Kommission für die CER-Richtlinie18 die Ernährungswirtschaft zunächst gar nicht als kritischen Sektor aufführte. Dieser wurde vielmehr erst im Laufe des Gesetzgebungsverfahrens durch das Europäische Parlament in den Anhang eingefügt.19

Beide Richtlinien waren bis zum 17.10.2024 in nationales Recht umzusetzen, was in Deutschland noch nicht erfolgt ist, da die zu diesem Zweck erarbeiteten Gesetzentwürfe zwar am 6.11.2024 noch vom Kabinett beschlossen wurden, dann aber nach dem Bruch der Koalition dem Diskontinuitätsgrundsatz anheimfielen. In der aktuellen Legislaturperiode ist weiterhin geplant, dem EU-Recht folgend den Schutz kritischer Infrastrukturen zweigleisig zu regulieren. Während der Entwurf des sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes die IT-Sicherheit in Wirtschaft und Verwaltung weiter erhöhen soll, wird in Abgrenzung dazu der physische Schutz kritischer Infrastrukturen durch den Entwurf eines KRITIS-Dachgesetzes weiterverfolgt.

An dieser Stelle soll die weitere Betrachtung der geplanten Regulierung aus Gründen der Übersichtlichkeit auf den physischen Schutz kritischer Infrastruktur durch das KRITIS-Dachgesetz beschränkt bleiben. Da allerdings die nähere Bestimmung des Anwendungsbereichs des KRITIS-Dachgesetz analog zu der auf der Grundlage des BSI-Gesetzes erlassene BSI-Kritisverordnung erfolgen soll, wird letztere daher auch hier zu betrachten sein. Die Bundesregierung hat zwischenzeitlich am 30.7.2025 das NIS2-Umsetzungsgesetz und am 10.9.2025 das KRITIS-Dachgesetz erneut beschlossen. Beide Gesetzentwürfe sind gegenüber der Fassung von 2024 weitgehend unverändert.

2. Der Gesetzentwurf der Bundesregierung

Der am 10.9.2025 vom Bundeskabinett beschlossene Gesetzentwurf20 ist inhaltlich sehr eng an der CER-Richtlinie orientiert. Knapp zusammengefasst geht es im Kern darum zu bestimmen, welche für die Erbringung kritischer Dienstleistungen erheblichen Anlagen vor möglichen physischen Angriffen zu schützen sind und wie dies im Einzelnen zu erfolgen hat.

a) Vollzugszuständigkeit

Der vom Bundesministerium des Inneren (BMI) verfasste Gesetzentwurf wendet sich gleich nach den einleitenden Begriffsbestimmungen zunächst der Festlegung der für den Vollzug zuständigen Behörden zu. Die vorgesehene Vollzugsstruktur ist äußerst weitläufig und spiegelt den enorm breiten Anwendungsbereich des Gesetzes, der nicht nur zehn unterschiedliche Wirtschaftssektoren, sondern auch die öffentliche Verwaltung des Bundes erfasst.

§ 3 Absatz 1 des Gesetzentwurfs weist zunächst dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) die Rolle als zentrale Anlaufstelle im Sinne des Artikels 9 Absatz 2 der Richtlinie (EU) 2022/2557 zu. Über diese koordinierende Funktion hinaus hat das BBK vielfältige zentrale Verwaltungsaufgaben wie etwa die Durchführung des Registrierungsverfahrens zu erfüllen. Zusätzlich weist das Gesetz in § 3 Absatz 2 und 6 jeden einzelnen Sektor der Zuständigkeit einer bestimmten Fachbehörde des Bundes (z. B. die Bundesnetzagentur oder das Eisenbahnbundesamt) oder von den Ländern zu bestimmender Behörden zu. Hintergrund dieses zweigleisigen Ansatzes ist die Überlegung, dass für den Vollzug die jeweiligen branchenspezifische Kenntnisse der in den jeweiligen Sektoren zuständigen Fachbehörden genutzt werden sollen. Der Gesetzentwurf erfasst einerseits Anlagen, die in erster Linie öffentlich-rechtlichen Vorschriften unterliegen, die durch den Bund vollzogen werden. Dies trifft beispielsweise auf die Netz-gebundenen Wirtschaftsbereiche wie Strom- und Gasversorgung oder Telekommunikation zu, die im Wesentlichen der Überwachungszuständigkeit der Bundesnetzagentur unterliegen. Andere Sektoren, wie beispielsweise die Ernährungswirtschaft, unterliegen dagegen in erster Linie Vorschriften, die nach Artikel 84 GG von den zuständigen Behörden der Länder als eigene Angelegenheit vollzogen werden.

In der Summe ergibt sich, dass neben dem zentral zuständigen BBK nicht weniger als 12 Bundesbehörden Vollzugszuständigkeiten haben. Hinzu kommen noch die für die in § 3 Absatz 2 Satz 1 Nummer 1 bis 12 nicht genannten Sektoren (Gesundheit, Wasserversorgung, Ernährung) von den Ländern zu benennenden Behörden. Die sektorspezifisch zuständigen Bundes- oder Landesbehörden unterstützen das BBK im Registrierungsverfahren sowie bei der Prüfung von Resilienzmaßnahmen und erstellen staatliche Risikobewertungen für ihren jeweiligen Sektor.

b) Anwendungsbereich

In § 4 Absatz 1 wird festgelegt, welche Sektoren zur kritischen Infrastruktur im Sinne des Gesetzes gehören. Welche Unternehmen bzw. Anlagen in den einzelnen Sektoren konkret als kritisch einzustufen sind, wird im Gesetzentwurf selbst aber nur im Ansatz geregelt, weitere Details bleiben nach § 4 Absatz 3 einer Rechtsverordnung des BMI vorbehalten. Der Gesetzentwurf sieht vor, dass auf “Anlagen” abzustellen ist, die für die Erbringung bestimmter kritischer Dienstleistungen “erheblich” sind. Der Begriff der “Anlage” wird in § 2 Nummer 2 als “Betriebsstätte, sonstige ortsfeste Installation, Maschine, Gerät und sonstige ortsveränderliche technische Installation” definiert. In § 4 Absatz 3 ist dann vorgesehen, dass das BMI per Rechtsverordnung regelt, welche kritischen Dienstleistungen in den einzelnen Sektoren erfasst sein sollen. Nach § 5 Absatz 1 Nummer 1 und 2 soll das BMI außerdem per Rechtsverordnung bestimmte Kategorien von Anlagen als erheblich einstufen und Schwellenwerte zum Versorgungsgrad festlegen. Diese Ermächtigung wird jedoch dadurch wieder eingeschränkt, dass der Gesetzgeber in § 4 Absatz für alle Schwellenwerte einen Regelwert von 500.000 durch eine Anlage zu versorgenden Einwohnern vorgibt.

c) Registrierung

Alle Betreiber sind verpflichtet, ihre jeweilige kritische Anlage binnen drei Monaten über ein elektronisches Portal beim BBK zu registrieren. Bei Zweifeln, ob ein Betreiber seiner Registrierungspflicht nachgekommen ist, kann das BBK von diesem Auskünfte verlangen und gegebenenfalls die Registrierung von Amts wegen vornehmen. Nach § 8 Absatz 4 ist vorgesehen, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder andere für den Vollzug des Gesetzes (mit)zuständige Behörden dem BBK Vorschläge für die Registrierung weiterer kritischer Anlagen unterbreiten können, die das BBK dann zusätzlich als kritisch registrieren kann. Dies dürfte Anlagen betreffen, die zwar die gesetzlichen Voraussetzungen, also z. B. einen vorgegeben Schwellenwert zum Versorgungsgrad, nicht erfüllen, aber gleichwohl von den Fachbehörden als kritisch eingestuft werden.

d) Risikobewertungen

Der Gesetzentwurf sieht weiter vor, dass auf verschiedenen Ebenen Risikobewertungen durchzuführen sind. Dies trifft zunächst die Vollzugsseite: die für die jeweiligen Sektoren neben dem BBK im Vollzug zuständigen Bundes- oder Landesbehörden haben mindestens alle vier Jahre eine nationale Risikobewertung durchzuführen, für die der Gesetzentwurf recht detaillierte inhaltliche Vorgaben macht. In § 11 Absatz 8 des Entwurfes findet sich zudem eine Verordnungsermächtigung, über die das BMI methodische und inhaltliche Vorgaben für die nationalen Risikobewertungen machen kann. Die Betreiber kritischer Anlagen haben sodann nach § 12 des Gesetzentwurfs auf der Basis der für sie einschlägigen nationalen Risikobewertung eine eigene, auf ihre jeweiligen Anlagen bezogene Risikobewertung durchzuführen. Auch diese betriebsspezifischen Risikobewertungen sollen mindestens alle vier Jahre erfolgen. Das BMI kann auch hierfür nach § 12 Absatz 3 per Rechtsverordnung inhaltliche und methodische Vorgaben machen.

e) Resilienzmaßnahmen

Kern des Gesetzentwurfs sind die sogenannten Resilienzmaßnahmen, die unter Berücksichtigung der jeweiligen Risikobewertungen und des Verhältnismäßigkeitsgrundsatzes den Schutz kritischer Infrastruktur verbessern sollen. Laut der KRITIS-Strategie der Bundesregierung bezeichnet Resilienz “die Fähigkeit eines Systems, Ereignissen zu widerstehen oder sich daran anzupassen und dabei seine Funktionsfähigkeit zu erhalten oder schnell wiederzuerlangen”.21 

Der Gesetzentwurf macht wenig konkrete Vorgaben, welche Maßnahmen zur Steigerung seiner Resilienz ein Betreiber einer kritischen Anlage zu ergreifen hat. § 13 Absatz 2 bestimmt nur in allgemeiner Form, dass verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zu treffen sind. Dabei ist eine Zweck-Mittel-Relation vorzunehmen, bei der der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls gegen das Risiko eines Vorfalls abzuwägen ist. Wirtschaftliche Aspekte, darunter die Leistungsfähigkeit des Betreibers, sind zu berücksichtigen. § 13 Absatz 3 enthält dann einige Regelbeispiele für derartige Maßnahmen. Beispielhaft seien hier folgende erwähnt: Objektschutz und Zugangskontrollen, Erstellung von Notfallplänen, Sicherstellung einer Notstromversorgung, vorsorgliche Ermittlung alternativer Lieferkatten, Sicherheitsüberprüfung des Personals, Schulung des Personals.

Angesichts der Breite des Anwendungsbereichs des Gesetzentwurfs und der Vielfalt der erfassten Unternehmen ist gut nachvollziehbar, dass der Gesetzgeber gar nicht erst versucht, einzelnen Betreibern kritischer Anlagen konkrete Verpflichtungen aufzuerlegen. Konsequenz der sehr offenen Regelung ist allerdings, dass sowohl die Betreiber als auch die jeweiligen Vollzugsbehörden in jedem Einzelfall erst feststellen müssen, welche Schutzmaßnahmen im konkreten Einzelfall angemessen sind. Um dieses Unterfangen etwas zu erleichtern, wird das BMI ermächtigt, per Rechtsverordnung sektorenübergreifende Mindestanforderungen zu bestimmen. Bestimmte Fachressorts des Bundes werden in § 13 Absatz 4 ebenfalls ermächtigt, im Rahmen ihrer fachlichen Zuständigkeit sektorspezifische Mindestvorgaben zu bestimmen. Hierzu gehört auch das Bundesministerium für Landwirtschaft, Ernährung und Heimat, das somit für den Ernährungssektor Vorgaben machen kann.

In § 14 Absatz 2 ist schließlich vorgesehen, dass Betreiber kritischer Anlagen oder ihre Branchenverbände branchenspezifische Resilienzstandards vorschlagen können, die dann vom BBK als geeignet anerkannt werden müssen. Nicht zuletzt verfügt auch noch die Europäische Kommission nach Artikel 13 Absatz 6 der Richtlinie (EU) 2022/2557 über eine Befugnis, per Durchführungsrechtsakt technische und methodische Spezifikationen für Resilienzpflichten festzulegen. Derartige Ausführungsbestimmungen der EU wären sowohl gegenüber nationalen Rechtsverordnungen als auch gegenüber Branchen-Leitlinien vorrangig anzuwenden.

Nach § 13 Absatz 4 hat jeder Betreiber einer kritischen Anlage seine jeweiligen Maßnahmen unter Bezugnahme auf seine eigene Risikobewertung in einem Resilienzplan darzustellen. Das BBK stellt hierfür Vorlagen und Muster auf seiner Internetseite bereit.

f) Meldewesen für Vorfälle

Nach § 18 des Gesetzentwurfes richtet das BBK gemeinsam mit dem BSI eine Meldestelle für sogenannte Vorfälle ein. Als “Vorfall” definiert § 2 Nummer 9 ein “Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte”. Kommt es in einer kritischen Anlage zu einem solchen Vorfall, so hat der Betreiber dies innerhalb von 24 Stunden dem BBK zu melden. Dauert der Vorfall an, ist die Meldung fortlaufend zu aktualisieren. Spätestens nach einem Monat ist ein ausführlicher Bericht zu übermitteln. Nach § 18 Absatz 2 sollen die Meldungen das BBK in die Lage versetzen, Art, Ursache und mögliche (auch grenzüberschreitende) Auswirkungen und Folgen des Vorfalls zu ermitteln und nachzuvollziehen.

Als zentrale Anlaufstelle im Sinne der Richtlinie (EU) 2022/2557 informiert das BBK seinerseits unter bestimmten Voraussetzungen andere Mitgliedstaaten und die Europäische Kommission über grenzüberschreitend bedeutsame Vorfälle. Liegt die Offenlegung eines Vorfalls im öffentlichen Interesse, so kann das BBK nach Anhörung des Betreibers auch die Öffentlichkeit über den Vorfall informieren oder den Betreiber verpflichten, dies zu tun (vgl. § 18 Absatz 8).

3. Verpflichtete Unternehmen im Sektor Ernährung

Solange die nach § 4 Absatz 3 und 4 sowie § 5 Absatz 4 zu erlassende Rechtsverordnung des BMI nicht vorliegt, fehlt es an einer verbindlichen Festlegung, welche Anlagen im Bereich der Ernährungswirtschaft den oben dargestellten rechtlichen Verpflichtungen nach dem KRITIS-Dachgesetz unterliegen werden. Ausweislich der amtlichen Begründung geht der Gesetzgeber davon aus, dass die vom BMI zu erlassende Rechtsverordnung sich “systematisch und inhaltlich an der BSI-Kritisverordnung orientieren” werde.22 Demnach wird der Maßstab im Hinblick auf den physischen Schutz kritischer Anlagen dem bereits für den Schutz der IT-Sicherheit etablierten Ansatz folgen.

§ 4 Absatz 1 der BSI-Kritisverordnung definiert für den Sektor Ernährung die “Versorgung der Allgemeinheit mit Lebensmitteln” als kritische Dienstleistung im Sinne des BSI-Gesetzes. Nach § 4 Absatz 2 wird die Lebensmittelversorgung durch die Bereiche Lebensmittelherstellung und -behandlung sowie durch den Lebensmittelhandel erbracht. Für die Begriffe des Herstellens und Behandelns wird auf die jeweiligen Begriffsbestimmungen des Lebensmittel- und Futtermittelgesetzbuches (LFGB) verwiesen. Daneben werden Anlagen oder Systeme zur “Distribution” sowie zur “zentralen Steuerung oder Überwachung” erfasst. Der Anwendungsbereich des Gesetzes ist damit also im Bereich der Ernährungswirtschaft deutlich enger gefasst als im sektorspezifischen ESVG.23

Im Hinblick auf die zu schützenden Anlagen wird in Anlage 3 Teil 2 eine Berechnungsformel festgelegt, mit der der allgemeine Schwellenwert von 500.000 zu versorgenden Personen für den Ernährungssektor in eine bestimmte Produktionsmenge umgerechnet wird. Dies erfolgt getrennt voneinander einerseits für Getränke und andererseits für alle sonstigen Lebensmittel. Als durchschnittliche Produktionsmenge zur Versorgung einer Person mit Lebensmitteln aller Produktgruppen außer Getränken werden vom Verordnungsgeber 0,869 Tonnen pro Jahr angenommen. Unter Berücksichtigung des Regelschwellenwertes von 500.000 versorgten Personen ergibt dies 434.500 Tonnen pro Jahr. Im Bereich der Getränke wird als durchschnittliche Produktionsmenge 700 Liter pro Jahr angenommen, was bei 500.000 versorgten Personen eine Jahresproduktion von 350 Millionen Liter pro Jahr ergibt.

Mit Blick auf die oben24 skizzierten Dimensionen der Ernährungswirtschaft dürfte außer Frage stehen, dass die in der BSI-Kritisverordnung bestehende Beschränkung auf Produktions- bzw. Verkaufsmengen dieser Größenordnung dazu führt, dass nur ein kleiner Anteil der am Markt tätigen Unternehmen vom Anwendungsbereich des Gesetzes erfasst wird. Dies erscheint im Hinblick auf die Verhältnismäßigkeit von Schutzmaßnahmen grundsätzlich auch angemessen.

4. Kritische Anmerkungen

Der Entwurf des KRITIS-Dachgesetzes ist streng an den Vorgaben der umzusetzenden Richtlinie (EU) 2022/2557 orientiert. Diese Beschränkung ist angesichts der enormen Regelungsbreite und der daraus resultierenden Komplexität eines solchen Dachgesetzes nachvollziehbar. Andererseits entbindet der EU-rechtliche Hintergrund des Gesetzes nicht von der Verpflichtung zu prüfen, ob der Schutz kritischer Infrastrukturen vollständig ist.

Dass die Versorgung der Bevölkerung mit Lebensmitteln eine kritische Dienstleistung und die damit befasste Ernährungswirtschaft dementsprechend eine kritische Infrastruktur darstellt, steht außer Frage. Weniger eindeutig zu beantworten ist dagegen die Frage, ob es zielführend erscheint, die Betreiber einzelner Anlagen der Ernährungswirtschaft zu verpflichten, Maßnahmen zu ihrem physischen Schutz zu ergreifen. Offensichtlich hatte die Europäische Kommission diese Frage anders beantwortet als im Laufe des weiteren EU-Gesetzgebungsprozesses das Europäische Parlament. De lege lata ist jedenfalls zu berücksichtigen, dass die Ernährungswirtschaft einerseits eine sehr große, andererseits aber auch sehr kleinteilig strukturierte Branche ist. Der Ausfall einzelner Anlagen dürfte in der Regel durch andere Anlagen kompensierbar sein und daher nur in Ausnahmefällen zu erheblichen Einschränkungen der Versorgung führen. Dies macht die Ernährungswirtschaft zu einem nur bedingt attraktiven Ziel gezielter physischer Angriffe. Besonders relevante Gefährdungen dürften sich eher aus dem Ausfall anderer kritischer Infrastrukturen wie zum Beispiel der Energie- oder Wasserversorgung oder dem Fehlen von Personal ergeben.

In diesen Konstellationen sind es jedoch in der Regel nicht nur wenige große Anlagen, sondern die gesamte Branche ist schutzbedürftig.

Als reines Vorsorgegesetz enthält das KRITIS-Dachgesetz bislang keine Instrumente für eine Krisenbewältigung, weder innerhalb einer kritischen Infrastruktur noch zur Begrenzung von unerwünschten Effekten auf andere Infrastrukturen. Zwar sind wechselseitige Abhängigkeiten und Kaskadeneffekte schwer abschätzbar und damit auch nur schwer regulierbar. Die hinter uns liegenden Krisen der Pandemie und der Gasmangellage haben aber anschaulich gezeigt, dass sektorübergreifende hoheitliche Eingriffe in eine kritische Infrastruktur zum Schutz einer anderen kritischen Infrastruktur dringend erforderlich sein können. Die Sicherstellungs- und Vorsorgegesetze haben in der Regel eine sehr hohe Anwendbarkeitsschwelle und sind außerdem aufgrund ihres sektorspezifischen Ansatzes für solche Instrumente wenig geeignet. Gerade sein sektorübergreifender Ansatz macht das KRITIS-Dachgesetz hierfür zu einem geeigneten Regelungsstandort. Teil einer solchen Regelung sollten auch Strukturen und Prozesse eines Ressorts und Länder übergreifenden behördlichen Krisenmanagements sein. Die Bundesregierung hat zwar unlängst die Einrichtung eines Nationalen Sicherheitsrates beschlossen. Ob dieser auch zur Bewältigung von Krisenszenarien im Bereich der kritischen Infrastrukturen genutzt wird, bleibt abzuwarten. Zunächst müsste er dafür wohl in seiner Zusammensetzung erheblich modifiziert werden.

Die Einstufung als kritische Anlage bedeutet für deren Betreiber tatsächlichen und bürokratischen Aufwand. Allerdings ist zu berücksichtigen, dass dies angesichts des hohen Versorgungsschwellenwertes fast nur Unternehmen betreffen dürfte, die im Rahmen ihres “business continuity managements” ohnehin bereits über entsprechende Vorkehrungen zum physischen Schutz ihrer Anlagen verfügen. Ob die vom Anwendungsbereich erfassten Großunternehmen im Ernstfall allerdings in der Lage wären, die Versorgung der Bevölkerung zu gewährleisten, sollte zu einem geeigneten Zeitpunkt einer kritischen Überprüfung unterzogen werden. Auch insoweit bleibt jedoch zunächst abzuwarten, welche Gestalt die vom BMI zu erlassene Rechtsverordnung zur näheren Bestimmung der in den einzelnen Sektoren erfassten Anlagen haben wird. Unklar erscheint insoweit derzeit, in welchem Verhältnis die Verordnungsermächtigung, Schwellenwerte festzulegen, zum gesetzlich vorgegebenen Regelschwellenwert steht.

Im Hinblick auf das eigentlich unumstrittene Ziel der Bürokratievermeidung erscheint unverständlich, warum der Gesetzentwurf in einzelnen Sektoren 16 Bundesländer parallel mit der Erstellung einer Risikobewertung beauftragt.25 Da es insofern keine länderspezifischen Besonderheiten geben dürfte, wäre es im Sinne der Bürokratiebegrenzung vorzugswürdig, auch in diesen Sektoren eine einheitliche Risikobewertung durch eine Bundesbehörde erstellen zu lassen.

Auch dass mit der EU-Kommission, dem BMI, den Fachressorts und den Branchenverbänden gleich vier Akteuren parallel die Befugnis erteilt wird, nähere Vorgaben zur Konkretisierung angemessener Resilienzmaßnahmen zu machen26, erscheint unglücklich.

---