KRITIS-Dachgesetz: Wirtschaftsrat warnt vor Überregulierung und plädiert für eine praxisgerechte Umsetzung der CER-Richtlinie

Mit dem Referentenentwurf für ein Gesetz zur Umsetzung der CER-Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen will das Bundesministerium des Innern (BMI) ein neues Kapitel in der deutschen Sicherheitsarchitektur aufschlagen. Ziel ist es, die Widerstandsfähigkeit kritischer Infrastrukturen angesichts wachsen-der Bedrohungen durch hybride Angriffe, geopolitische Spannungen und zunehmende Abhängigkeiten systematisch zu stärken. Doch die Bundesfachkommission Cybersicherheit des Wirtschaftsrates der CDU e.V. betrachtet den aktuellen Entwurf mit Skepsis. Nach ihrer Einschätzung drohen unverhältnismäßige Belastungen, Doppelregulierungen und ein gefährlicher Vertrauensverlust zwischen Staat und Wirtschaft.

Der Wirtschaftsrat betont, dass ein Gesetz, das die Sicherheit kritischer Infrastrukturen stärken soll, nicht selbst strukturelle Risiken erzeugen darf. Genau dies sei jedoch zu befürchten: Der Entwurf produziere erhebliche bürokratische Bürden ohne belastbare Kostenschätzung, laufe Gefahr, inhaltlich mit dem parallel entstehenden NIS-2-Umsetzungsgesetz zu kollidieren und bereite durch nationale Sonderwege („Gold-Plating“) deutschen Unternehmen Wettbewerbsnachteile. Statt eine resiliente, praxis-nahe und verlässliche Grundlage für Betreiber kritischer Anlagen zu schaffen, unterminiere der Entwurf Umsetzbarkeit und Effizienz – in einer sicherheitspolitisch höchst dynamischen Lage, in der Geschwindigkeit und Klarheit gefragt wären.

Ein zentraler Kritikpunkt ist die fehlende Kostentransparenz. Die ursprünglich vorgesehene Folgenabschätzung für die Wirtschaft wurde im aktuellen Entwurf ersatzlos gestrichen. Damit fehlt es den rund 1.700 betroffenen Betreibern kritischer Anlagen an einer belastbaren Grundlage, um die finanziellen und personellen Aufwände seriös zu kalkulieren. Ohne klare Zahlen entsteht Planungsunsicherheit, die gerade in diesem Sektor fatale Folgen haben kann. Die Wirtschaft fordert daher die Wiedereinführung einer nach-vollziehbaren und realistischen Kostenschätzung, die branchenspezifische Unterschiede berücksichtigt und Unternehmen eine echte Orientierung bietet.

Darüber hinaus wird die mangelnde Kohärenz mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz kritisiert. Beide Regelwerke adressieren teilweise dieselben Unternehmen, verwenden jedoch unterschiedliche Begriffe, Zuständigkeiten und Berichtspflichten. Das Resultat wäre ein regulatorisches Flickwerk, das zu Doppelarbeit, widersprüchlichen Anforderungen und erheblichem Mehraufwand führt. Der Wirtschaftsrat fordert deshalb eine vollständige Harmonisierung beider Gesetze – von einheitlichen Begrifflichkeiten über gemeinsame Meldeportale bis hin zur gegenseitigen Anerkennung von Zertifizierungen und branchenspezifischen Sicherheitsstandards. Nur so lasse sich verhindern, dass Unternehmen knappe Ressourcen in Bürokratie binden, statt sie in die tatsächliche Stärkung der Resilienz zu investieren.

Besonders problematisch erscheint der Bundesfachkommission Cybersicherheit der Ansatz eines deutschen „Gold-Plating“. Der Entwurf geht in mehreren Punkten über die europäischen Vorgaben hinaus und schafft damit zusätzliche Pflichten, die deutsche Unternehmen im internationalen Wettbewerb benachteiligen könnten. Die EU-CER-Richtlinie zielt auf eine realistische, verhältnismäßige und praktikable Stärkung der Resilienz. Nationale Sonderwege konterkarieren diesen Anspruch, erhöhen die Kosten und schwächen die Wettbewerbsfähigkeit. Nach Auffassung des Wirtschaftsrates sollte die Bundesregierung daher strikt auf eine 1:1-Umsetzung der Richtlinie setzen, anstatt durch überzogene Vorgaben eigene Hürden aufzubauen.

Neben der Kritik an überbordender Bürokratie und regulatorischer Intransparenz formuliert die Bundesfachkommission des Wirtschaftsrates konkrete Verbesserungsvorschläge. Dazu gehört die klare Anerkennung bestehender Leistungen und Zertifizierungen wie BSI IT-Grundschutz, ISO-Normen oder branchenspezifische Sicherheitsstandards. Wer bereits nachweislich in Sicherheit investiert hat, sollte nicht durch neue Doppelauflagen bestraft werden. Ebenso müsse das Prinzip der Verhältnismäßigkeit bei allen Pflichten gewahrt bleiben: Maßnahmen seien nur dann sinnvoll, wenn sie technisch zweckmäßig, wirtschaftlich tragbar und im Kosten-Nutzen-Verhältnis gerechtfertigt seien.

Schließlich warnt die Arbeitsgruppe vor einer Kultur des Strafens statt Beratens. Die im Entwurf vorgesehenen Bußgeldregelungen sehen teils hohe Geldstrafen selbst bei formalen Versäumnissen vor. Ein solches Vorgehen sei kontraproduktiv und untergrabe die Kooperationsbereitschaft der Betreiber. Stattdessen brauche es eine partnerschaftliche Resilienzpolitik, die Unternehmen als Verbündete begreift, nicht als potenzielle Störer. Beraten, Unterstützen und Nachbessern müssen Vorrang vor Sanktionen haben.

Die Bundesfachkommission Cybersicherheit des Wirtschaftsrates fordert daher ein grundlegend überarbeitetes KRITIS-Dachgesetz, das Transparenz, Kohärenz und Verhältnismäßigkeit in den Mittelpunkt stellt. Nur auf dieser Basis lasse sich die CER-Richtlinie in Deutschland rechtsklar, wirtschaftlich tragfähig und sicherheitswirksam umsetzen. Der Anspruch müsse sein, die Wirtschaft als verlässlichen Partner staatlicher Resilienzpolitik zu stärken, anstatt sie mit unnötiger Bürokratie zu überlasten.

Deutschland braucht in einer Zeit hybrider Bedrohungen und globaler Instabilität keine regulatorischen Stolpersteine, sondern verlässliche Leitplanken. Damit die Sicherheit kritischer Infrastrukturen nicht zur Illusion wird, müssen Gesetzgebung und Praxis ineinandergreifen. Transparenz bei den Kosten, Harmonisierung der Regelwerke, Anerkennung bestehender Standards und Verzicht auf nationale Sonderwege – das sind die Eckpfeiler, auf denen eine zukunftsfeste Resilienzstrategie aufbauen muss. Nur so kann Deutschland im Ernstfall bestehen – und gleichzeitig seine Wettbewerbsfähigkeit im internationalen Vergleich sichern.