Neu im Innenausschuss

Wien (PK) – Die Bundesregierung hat einen Entwurf zur Schaffung eines neuen Bundesgesetzes zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen vorgelegt (186 d.B.). Das sogenannte Resilienz kritischer Einrichtungen-Gesetz (RKEG) soll für einen besseren Schutz zentraler Infrastrukturen gegen physische Bedrohungen sorgen. Der Gesetzesvorschlag dient der innerstaatlichen Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen (RKE-RL). Deren Ziel ist es, aufgrund zunehmender grenzüberschreitender Abhängigkeiten und Risiken einen unionsrechtlichen Rahmen zur Stärkung der Widerstandsfähigkeit jener Einrichtungen zu schaffen, die für wichtige gesellschaftliche Funktionen oder wirtschaftliche Tätigkeiten im Binnenmarkt unerlässliche Dienste erbringen.

Einheitliche Mindeststandards sowie abgestimmte Unterstützungs- und Aufsichtsmaßnahmen sollen dazu beitragen, bestehende Schwachstellen zu verringern und die Fähigkeit kritischer Einrichtungen zu stärken, Sicherheitsvorfälle zu verhindern, sich davor zu schützen, angemessen darauf zu reagieren, deren Folgen zu begrenzen und sich rasch davon zu erholen. Dabei verfolgt die Richtlinie einen sogenannten "All-Gefahren-Ansatz", der alle relevanten natürlichen und vom Menschen verursachten Risiken umfasst, darunter Unfälle, Naturkatastrophen, feindliche Bedrohungen einschließlich terroristischer Straftaten sowie Notsituationen im Bereich der öffentlichen Gesundheit.

Die Rolle des Innenministers bzw. der Innenministerin

Als zuständige Behörde ist im geplanten RKEG der:die Innenminister:in vorgesehen, der:die auch als zentrale Anlaufstelle und Verbindungsstelle zu anderen Mitgliedsstaaten, zur Europäischen Kommission und zu Drittstaaten fungieren soll. Ihm bzw. ihr soll auch die Erarbeitung einer nationalen Strategie zur Verbesserung der Resilienz kritischer Einrichtungen obliegen, die gemäß EU-Richtlinie alle Mitgliedstaaten zu erstellen haben. Darin seien die Zielsetzung und die zu deren Erreichung erforderlichen Maßnahmen festzulegen, unter Berücksichtigung etwaiger bereits bestehender sektorbezogener Pläne.

Ebenso soll der:die Innenminister:in eine nationale Risikoanalyse durchführen, die sich insbesondere mit der Frage beschäftigen soll, welche Gefahren welche Auswirkungen auf den Betrieb und die Leistungserbringung kritischer Infrastrukturen haben oder haben könnten. Dabei sollen auch die Eintrittswahrscheinlichkeiten potenzieller Sicherheitsvorfälle abgeschätzt werden.

Auf Basis der erstellten Strategie und der durchgeführten Risikoanalyse soll der:die Innenminister:in schließlich sämtliche kritische Einrichtungen für jeden relevanten Sektor per Bescheid ermitteln. Das RKEG erfasst elf Sektoren:  Energie (Strom, Fernwärme- und Kälte, Erdöl, Erdgas, Wasserstoff), Verkehr (Luftfahrt, Schienenverkehr, Schifffahrt, Straßenverkehr, Öffentlicher Verkehr), Bankwesen, Finanzmarktinfrastrukturen, Gesundheit (Gesundheitsdienstleister, EU-Referenzlaboratorien, Arzneimittelforschung- und Entwicklung, Hersteller pharmazeutischer Erzeugnisse, Medizinproduktehersteller, Arzneimittelgroßhandel), Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung (auch oberste Organe), Weltraum und Lebensmittel (Produktion, Verarbeitung und Vertrieb). Erst durch die bescheidmäßige Einstufung als kritische Einrichtung soll eine Einrichtung den Bestimmungen des RKEG unterliegen.

Aufgaben der betroffenen Einrichtungen

Kritische Einrichtungen, die durch Bescheid als solche ermittelt wurden, sollen laut Regierungsvorlage verpflichtet sein, auf Grundlage der nationalen Risikoanalyse eigenständige Risikoanalysen durchzuführen. Ziel dieser Analysen sei es, identifizierbare Risiken sowie deren Eintrittswahrscheinlichkeit und mögliche Auswirkungen auf die Erbringung wesentlicher Dienste zu bewerten. Auf Basis dieser Bewertung sollen die betroffenen Einrichtungen geeignete und verhältnismäßige Resilienzmaßnahmen für ihren Schutz treffen. Dazu zählen technische, sicherheitsbezogene und organisatorische Maßnahmen, die Erstellung eines strukturierten Resilienzplans sowie die Benennung eines oder einer Verbindungsbeauftragten. Kommt es zu Sicherheitsvorfällen, die die Erbringung wesentlicher Dienste erheblich stören oder stören könnten, so seien diese unverzüglich (längstens binnen 24 Stunden nach Kenntnis) an den:die Innenminister:in zu melden.

Letztere:r ist zudem verpflichtet, kritische Einrichtungen bei der Verbesserung ihrer Resilienz zu unterstützen. Die vorgesehenen Unterstützungs- und Vorsorgemaßnahmen umfassen insbesondere die Entwicklung und Bereitstellung von generellen Empfehlungen und Leitfäden zur Prävention von Sicherheitsvorfällen und zur Reduktion von Risiken, die Zurverfügungstellung von Vorlagen und Mustern für Risikoanalysen und Resilienzpläne sowie die Beratung beim Ergreifen von Resilienzmaßnahmen.

Der:die Innenminister:in soll zudem befugt sein, die Einrichtungen bezüglich der Umsetzung der Resilienzmaßnahmen zu überprüfen und verbindliche Anweisungen zur Beseitigung festgestellter Verstöße zu erteilen. Darüber hinaus soll diese:r Audits durch sogenannte "Resilienzauditoren" verlangen können. Dabei handelt es sich um systematische und unabhängige Überprüfungen der Einhaltung gesetzlicher Verpflichtungen, deren Ergebnisse in einem Prüfbericht zu dokumentieren seien. Die Landespolizeidirektionen sollen zur Durchführung einzelner Aufgaben (z.B. Vor-Ort-Kontrollen oder Schulungen) herangezogen werden können. Für Verstöße sieht das RKEG  "wirksame, verhältnismäßige und abschreckende" Sanktionen vor. Die vorgesehenen Geldstrafen sollen hinsichtlich ihrer Höhe je nach Schweregrad bzw. Unrechtsgehalt der Verwaltungsübertretungen differenziert ausgestaltet werden.

Weitere Bestimmungen

Die Maßnahmen des RKEG ergänzen laut Erläuterungen die Anforderungen der Cybersicherheits-Richtlinie (NIS-2-RL), mit der ein abgestimmtes Gesamtkonzept physischer und digitaler Sicherheit gewährleistet werden soll. Weitere Bestimmungen des RKEG betreffen etwa datenschutzrechtliche Ausnahmeregelungen oder das Recht zur Veröffentlichung von Sicherheitsvorfällen, wenn dies im öffentlichen Interesse liegt und keine schutzwürdigen Interessen verletzt.

Zur Durchführung von Zuverlässigkeitsüberprüfungen von Personen, die in einer kritischen Einrichtung mit sicherheitsrelevanten Aufgaben betraut sind oder Zugang zu besonders sensiblen Bereichen haben, soll außerdem das Tilgungsgesetz geändert werden. Damit soll es den Sicherheitsbehörden ermöglicht werden, unbeschränkte Auskünfte aus dem Strafregister zu erhalten. Das RKEG enthält zudem mehrere Verfassungsbestimmungen – etwa bezüglich der Befugnisse des Innenministers gegenüber den obersten Organen – und bedarf daher einer Zweidrittelmehrheit. (Schluss) wit