Ministerialentwurf betreffend Bundesgesetz zur Sicherstellung eines hohen Resilienzniveaus von kritischen Einrichtungen (Resilienz kritischer Einrichtungen-Gesetz – RKEG)
Kurzinformation
Ziel
Gewährleistung eines hohen Resilienzniveaus von kritischen Einrichtungen
Inhalt
Benennung einer zuständigen Behörde und zentralen Anlaufstelle
Festlegung einer nationalen Strategie zur Verbesserung der Resilienz kritischer Einrichtungen
Durchführung einer nationalen Risikoanalyse
Ermittlung kritischer Einrichtungen
Festlegung von Unterstützungsmaßnahmen für kritische Einrichtungen
Verpflichtung zur Durchführung von Risikoanalysen, zum Ergreifen von Resilienzmaßnahmen und zur Meldung von Sicherheitsvorfällen
Ermöglichung der Durchführung von Zuverlässigkeitsüberprüfungen
Festlegung von Aufsichts- und Durchsetzungsmaßnahmen
Es soll ein unionsrechtlicher Rahmen geschaffen werden, der im Wesentlichen darauf abzielt, die Resilienz bzw. physische Widerstandsfähigkeit kritischer Einrichtungen, die für wichtige gesellschaftliche Funktionen oder wirtschaftliche Tätigkeiten im Binnenmarkt unerlässliche Dienste erbringen, zu stärken und ihre Schwachstellen zu verringern, indem ein harmonisiertes Mindestmaß an Verpflichtungen festgelegt wird und kohärente sowie gezielte Unterstützungs- und Aufsichtsmaßnahmen vorgesehen werden. Konkret sollen kritische Einrichtungen ihre Fähigkeit verbessern, Sicherheitsvorfälle zu verhindern, sich davor zu schützen, darauf zu reagieren, die Folgen solcher Vorfälle zu begrenzen, Sicherheitsvorfälle zu bewältigen sowie sich von solchen Vorfällen zu erholen.
Vorgesehen ist insbesondere, dass die Mitgliedstaaten eine nationale Strategie zur Verbesserung der Resilienz kritischer Einrichtungen erstellen sollen und die jeweils zuständigen Behörden regelmäßig Risikobewertungen durchführen sollen, wobei eine von der Europäischen Kommission in Form eines delegierten Rechtsakts erlassene, nicht erschöpfende Liste wesentlicher Dienste in den im Anhang der RKE-RL genannten Sektoren und Teilsektoren für die Risikobewertungen herangezogen werden soll. Auf Grundlage dieser Risikobewertungen soll jeder Mitgliedstaat kritische Einrichtungen ermitteln, die zumindest einen wesentlichen Dienst erbringen. Die auf diesem Wege ermittelten kritischen Einrichtungen sollen sodann ihrerseits auf Grundlage der Risikobewertungen der Mitgliedstaaten jene Risiken bewerten, die die Erbringung ihrer wesentlichen Dienste stören können.
Des Weiteren sollen sie geeignete und verhältnismäßige Resilienzmaßnahmen für ihren physischen Schutz treffen und der zuständigen Behörde Sicherheitsvorfälle, die die Erbringung wesentlicher Dienste erheblich stören oder stören könnten, unverzüglich zu melden. Ergänzt werden sollen diese Regelungen durch Unterstützungsmaßnahmen der Mitgliedstaaten, etwa die Bereitstellung von Leitfäden und Schulungsmaßnahmen, und ein spezifisches Aufsichts- und Durchsetzungsregime durch die national zuständigen Behörden. Demnach sollen etwa die Resilienzmaßnahmen von der zuständigen nationalen RKE-Behörde bzw. den zuständigen nationalen RKE-Behörden überprüft werden können, die zudem verbindliche Anweisungen zur Beseitigung festgestellter Verstöße erteilen kann bzw. können. Gegebenenfalls sollen die kritischen Einrichtungen auch durch eine wirksame, verhältnismäßige und abschreckende Sanktionierung zur Einhaltung ihrer Verpflichtungen angehalten werden können.