Die Bundesregierung soll eine Strategie zur Verbesserung der Resilienz kritischer Infrastrukturen verabschieden. Die Strategie beinhaltet Erwägungen zu Transparenzpflichten für kritische Infrastrukturen.

Im Sinne dieses Gesetzes

1.

ist „Betreiber kritischer Anlagen“ eine natürliche oder juristische Person oder eine rechtlich unselbständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt; abweichend hiervon hat im Sektor Finanzwesen bestimmenden Einfluss auf eine kritische Anlage, wer die tatsächliche Sachherrschaft ausübt, wobei die rechtlichen und wirtschaftlichen Umstände insoweit unberücksichtigt bleiben;

2.

ist „Anlage“ eine Betriebsstätte, sonstige ortsfeste Installation, Maschine, Gerät und sonstige ortsveränderliche technische Installation;

3.

ist „kritische Anlage“ eine Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich ist;

4.

ist „kritische Dienstleistung“ eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde;

5.

ist „Resilienz“ die Fähigkeit einer kritischen Anlage, einen Vorfall zu verhindern, sich vor einem Vorfall zu schützen, einen Vorfall abzuwehren, auf einen Vorfall zu reagieren, die Folgen eines Vorfalls zu begrenzen, einen Vorfall aufzufangen und zu bewältigen und sich von einem Vorfall zu erholen;

6.

ist „Risiko“ das Potenzial für Ausfälle oder Beeinträchtigungen, die durch einen Vorfall verursacht werden, das als eine Kombination des Ausmaßes eines Ausfalls oder einer Beeinträchtigung und der Wahrscheinlichkeit des Eintretens des Vorfalls zum Ausdruck gebracht wird;

7.

ist „Risikoanalyse“ das systematische Verfahren zur Bestimmung eines Risikos;

8.

ist „Risikobewertung“ der Prozess, in dem Risiken in Bezug auf deren Wirkung auf die kritische Dienstleistung verglichen und priorisiert werden und entschieden wird, ob Maßnahmen zur Risikobehandlung zu ändern und zu ergänzen sind;

9.

ist „Vorfall“ ein Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte, mit Ausnahme von Ereignissen, die ausschließlich Sicherheitsvorfälle im Sinne des § 2 Nummer 40 des BSI-Gesetzes oder § 3 Nummer 53 des Telekommunikationsgesetzes sind;

10.

sind „Einrichtungen der Bundesverwaltung“ das Bundeskanzleramt, die Bundesministerien und der Beauftragte der Bundesregierung für Kultur und Medien;

11.

ist „Geschäftsleitung“ eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung eines Betreibers kritischer Anlagen berufen ist; Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung nach Nummer 10 sowie Leiterinnen und Leiter von Behörden gelten nicht als Geschäftsleitung;

12.

sind „maritime Infrastrukturen“ Anlagen auf oder unter See im Küstenmeer und der ausschließlichen Wirtschaftszone der Bundesrepublik Deutschland.

(1) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ist zentrale Anlaufstelle im Sinne des Artikels 9 Absatz 2 der Richtlinie (EU) 2022/2557 in der Fassung vom 14. Dezember 2022.

(2) Zuständige Behörde im Sinne dieses Gesetzes ist

1.

das Bundesministerium des Innern für die kritischen Dienstleistungen, die von Einrichtungen der Bundesverwaltung erbracht werden,

2.

die Bundesnetzagentur für die kritischen Dienstleistungen

a)

der Stromversorgung,

b)

der Erdgasversorgung,

c)

der Wasserstoffversorgung und

d)

des Betriebes von öffentlichen Telekommunikationsnetzen oder der Erbringung von öffentlich zugänglichen Telekommunikationsdiensten,

3.

das Bundesministerium für Wirtschaft und Energie für die kritische Dienstleistung der Mineralölversorgung,

4.

das Eisenbahn-Bundesamt für die kritische Dienstleistung des Eisenbahnverkehrs, soweit er in die Zuständigkeit der bundeseigenen Eisenbahnverkehrsunternehmen oder Eisenbahninfrastrukturunternehmen fällt,

5.

die Generaldirektion Wasserstraßen und Schifffahrt für die kritische Dienstleitung der See- und Binnenschifffahrt in Bezug auf den Betrieb der bundeseigenen Wasserstraßeninfrastruktur,

6.

das Bundesamt für Seeschifffahrt und Hydrographie für die kritischen Dienstleistungen der Wasserstands- und Gezeitenvorhersage des Bundes,

7.

das Fernstraßen-Bundesamt für die kritische Dienstleistung des Straßenverkehrs in Bezug auf Verkehrssteuerungs- und Leitsysteme sowie intelligente Verkehrssysteme auf Bundesautobahnen und -straßen in Bundesverwaltung,

8.

der Deutsche Wetterdienst für die kritische Dienstleistung der Wettervorhersage, soweit sie in seine Zuständigkeit fällt,

9.

das Bundesamt für Sicherheit in der Informationstechnik für die kritischen Dienstleistungen, soweit sie nicht dem Betrieb von öffentlichen Telekommunikationsnetzen oder der Erbringung von öffentlich zugänglichen Telekommunikationsdiensten dienen,

a)

der Sprach- und Datenübertragung,

b)

der Datenspeicherung und -verarbeitung,

10.

die Bundesanstalt für Finanzdienstleistungsaufsicht für die kritischen Dienstleistungen, die durch Unternehmen erbracht werden, für welche sie die zuständige Behörde im Sinne des Artikels 46 der Verordnung (EU) 2022/2554 ist,

11.

die für den jeweiligen Leistungsträger nach dem Sozialgesetzbuch zuständige Aufsichtsbehörde für die kritische Dienstleistung der Erbringung von Leistungen der Sozialversicherung; sofern die kritische Dienstleistung der Leistungen des Rechts der Arbeitsförderung sowie der Grundsicherung für Arbeitsuchende, soweit sie der Aufsicht des Bundes unterliegt, betroffen ist, die Bundesagentur für Arbeit,

12.

das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe für die Aufgaben nach den §§ 8, 14 Absatz 2 sowie § 18,

13.

in den in den Nummern 1 bis 12 nicht genannten Fällen die jeweils zuständigen Bundesbehörden nach Absatz 3 Satz 1 und die jeweils zuständigen Landesbehörden nach Absatz 6 Satz 1.

(3) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, für weitere kritische Dienstleistungen, die in der Rechtsverordnung nach § 4 Absatz 3 festgelegt werden, zuständige Bundesbehörden festzulegen. Für die kritische Dienstleistung des Betriebs von Bodeninfrastrukturen für die Erbringung weltraumgestützter Dienste im Sektor Weltraum wird das Bundesministerium für Forschung, Technologie und Raumfahrt ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, eine oder mehrere zuständige Bundesbehörden festzulegen. § 4 Absatz 4 und 5 gilt entsprechend. Die Rechtsverordnung nach Satz 2 ergeht zusätzlich im Einvernehmen mit dem Bundesministerium des Innern.

(4) Das Bundesamt für Seeschifffahrt und Hydrographie und die Bundesnetzagentur tauschen Informationen mit Bezug zu maritimen Infrastrukturen in der ausschließlichen Wirtschaftszone aus und wirken zur Stärkung der Resilienz der Betreiber kritischer Anlagen im Bereich maritimer Infrastrukturen im Rahmen ihrer jeweiligen Zuständigkeiten in der ausschließlichen Wirtschaftszone zusammen.

(5) Jedes Land benennt dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe spätestens einen Monat nach dem 17. März 2026 je eine Landesbehörde als zentralen Ansprechpartner für sektorenübergreifende Angelegenheiten im Zusammenhang mit der Durchführung dieses Gesetzes.

(6) Jedes Land bestimmt für die nicht in Absatz 2 Satz 1 Nummer 1 bis 12 genannten kritischen Dienstleistungen der Rechtsverordnung nach § 4 Absatz 3, welche Landesbehörden die Aufgaben nach diesem Gesetz wahrnehmen. Es teilt dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe die zuständigen Behörden spätestens drei Monate nach Inkrafttreten der Rechtsverordnung nach § 4 Absatz 3 mit. Soweit eine Festlegung einer Bundesbehörde nach Absatz 3 zu einer jeweils kritischen Dienstleistung erfolgt ist, hat diese Festlegung Vorrang vor einer Bestimmung einer Landesbehörde nach diesem Absatz.

(7) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und die zuständigen Behörden nach Absatz 2 Satz 1 und Absatz 6 Satz 1 übermitteln sich wechselseitig die Informationen, die für die Aufgabenerfüllung der jeweils anderen Seite erforderlich sind. Erforderlich sein können insbesondere

1.

Informationen zu Risiken und Vorfällen sowie

2.

Informationen zu Maßnahmen

a)

nach diesem Gesetz,

b)

nach dem BSI-Gesetz,

c)

nach dem Energiewirtschaftsgesetz,

d)

nach dem Telekommunikationsgesetz und

e)

nach der Verordnung (EU) 2022/2554, soweit eine Maßnahme gegenüber einem Betreiber kritischer Anlagen getroffen wird.

(8) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe konsultiert in regelmäßigen Abständen, unter Einbindung der zuständigen Behörden, die zuständigen Behörden anderer Mitgliedstaaten der Europäischen Union, wenn

1.

eine kritische Anlage physisch mit einer Einrichtung eines anderen Mitgliedstaates der Europäischen Union verbunden ist,

2.

ein Betreiber kritischer Anlagen Teil von Unternehmensstrukturen ist, die mit einer kritischen Einrichtung im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2022/2557 in einem anderen Mitgliedstaat der Europäischen Union verbunden sind oder zu ihnen in Bezug stehen oder

3.

ein Betreiber kritischer Anlagen in einem anderen Mitgliedstaat der Europäischen Union als kritische Einrichtung im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2022/2557 eingestuft wurde und wesentliche Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 für einen anderen oder in einem anderen Mitgliedstaat der Europäischen Union erbringt.

(1) Dieses Gesetz gilt für Betreiber kritischer Anlagen in den folgenden Sektoren:

1.

Energie,

2.

Transport und Verkehr,

3.

Finanzwesen,

4.

Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende,

5.

Gesundheitswesen,

6.

Wasser,

7.

Ernährung,

8.

Informationstechnik und Telekommunikation,

9.

Weltraum und

10.

Siedlungsabfallentsorgung.

(2) § 3 Absatz 8, die §§ 9, 10, 12 bis 16, 18, 19 Absatz 2 sowie die §§ 20, 21 Absatz 6 gelten nicht für

1.

Finanzunternehmen nach Artikel 2 Absatz 2 der Verordnung (EU) 2022/2554 und Unternehmen, für die die Anforderungen der Verordnung (EU) 2022/2554 auf Grund von § 1a Absatz 2a des Kreditwesengesetzes oder § 293 Absatz 5 des Versicherungsaufsichtsgesetzes gelten,

2.

Betreiber kritischer Anlagen im Sektor Informationstechnik und Telekommunikation,

3.

Betreiber kritischer Anlagen im Sektor Siedlungsabfallentsorgung, mit Ausnahme des § 12, und

4.

für Betreiber kritischer Anlagen im Sektor Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, mit Ausnahme des § 12.

(3) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrats bedarf, die kritischen Dienstleistungen, die jeweils zu den Sektoren nach Absatz 1 gehören.

(4) Die Rechtsverordnung nach Absatz 3 ergeht im Einvernehmen mit

1.

dem Bundesministerium für Wirtschaft und Energie,

2.

dem Bundesministerium der Finanzen,

3.

dem Bundesministerium der Justiz und für Verbraucherschutz,

4.

dem Bundesministerium für Arbeit und Soziales,

5.

dem Bundesministerium der Verteidigung,

6.

dem Bundesministerium für Landwirtschaft, Ernährung und Heimat,

7.

dem Bundesministerium für Gesundheit,

8.

dem Bundesministerium für Verkehr,

9.

dem Bundesministerium für Forschung, Technologie und Raumfahrt,

10.

dem Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit und

11.

dem Bundesministerium für Digitales und Staatsmodernisierung.

(5) Zugang zu den Akten, die die Erstellung oder Änderung der Verordnung nach Absatz 3 betreffen, wird nicht gewährt. Die Akteneinsichtsrechte von Verfahrensbeteiligten bleiben unberührt.

(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf,

1.

Kategorien von Anlagen,

2.

allgemeine, sektoren-, branchen-, dienstleistungs- oder anlagenspezifische Schwellenwerte zum Versorgungsgrad, bei deren Erreichen eine Anlage einer bestimmten Kategorie nach Nummer 1 nach einem bestimmten Stichtag als erheblich für die Erbringung einer kritischen Dienstleistung gilt und bei deren Unterschreiten eine Anlage nach einem bestimmten Stichtag nicht mehr als solches gilt,

3.

Stichtage nach Nummer 2 sowie

4.

Kategorien von Anlagen, die unabhängig von Nummer 2 als erheblich für die Erbringung einer kritischen Dienstleistung gelten.

(2) Bei der Bestimmung der Schwellenwerte zum Versorgungsgrad nach Absatz 1 Satz 1 Nummer 2 werden die nationalen Risikoanalysen und Risikobewertungen sowie die folgenden Kriterien berücksichtigt:

1.

die Zahl der Einwohner, die die von der Anlage erbrachte kritische Dienstleistung in Anspruch nehmen,

2.

das Ausmaß der Abhängigkeit anderer Sektoren oder Branchen von der betreffenden kritischen Dienstleistung,

3.

die Dauer und das Ausmaß möglicher Auswirkungen von Ausfällen und Beeinträchtigungen der Anlage auf wichtige wirtschaftliche Tätigkeiten, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, die öffentliche Sicherheit oder Ordnung, die Gesundheit der Bevölkerung oder die Erhaltung der natürlichen Lebensgrundlagen von entscheidender Bedeutung sind,

4.

den Marktanteil des Betreibers der Anlage auf dem Markt für kritische Dienstleistungen,

5.

das geografische Gebiet, das von einem Vorfall betroffen sein könnte, einschließlich etwaiger grenzüberschreitender Auswirkungen, unter Berücksichtigung der Schwachstellen, die mit dem Grad der Isolierung bestimmter Arten geografischer Gebiete verbunden sind, und

6.

die Bedeutung des Betreibers der Anlage für die Aufrechterhaltung der kritischen Dienstleistung in ausreichendem Umfang, unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Erbringung der betreffenden kritischen Dienstleistung.

(3) Ist eine Anlage für die Erbringung einer kritischen Dienstleistung erheblich, ohne die Voraussetzungen der Rechtsverordnung des Absatzes 1 Satz 1 zu erfüllen, so stellt das Bundesministerium des Innern dies im Einzelfall fest, falls für die betroffene Dienstleistung eine Behörde des Bundes die zuständige Behörde ist. Ist eine Anlage für die Erbringung einer kritischen Dienstleistung nicht erheblich, obwohl sie die Voraussetzungen der Rechtsverordnung des Absatzes 1 Satz 1 erfüllt, so stellt das Bundesministerium des Innern dies im Einzelfall fest, falls für die betroffene Dienstleistung eine Behörde des Bundes die zuständige Behörde ist. Für die Beurteilung der Erheblichkeit einer Anlage für die Erbringung einer kritischen Dienstleistung gilt Absatz 2 entsprechend.

(4) Falls für die betroffene Dienstleistung eine Behörde des Bundes die zuständige Behörde ist, erfolgt die Feststellung nach Absatz 3 Satz 1 und 2 im Einvernehmen mit dem Bundesministerium, zu dessen Geschäftsbereich die Behörde gehört. Liegt die Fach- oder Rechtsaufsicht für den Teil einer Behörde, der für die betroffene kritische Dienstleistung zuständig ist, nicht bei dem Bundesministerium, zu dessen Geschäftsbereich sie gehört, erfolgt die Feststellung nach Absatz 3 Satz 1 und 2 im Einvernehmen mit dem Bundesministerium, dessen Fach- oder Rechtsaufsicht der betreffende Teil dieser Behörde untersteht. Im Übrigen erfolgt sie im Benehmen mit dem Landesministerium, zu dessen Geschäftsbereich die für die betroffene Dienstleistung zuständige Behörde gehört. Die zuständigen Behörden machen Vorschläge für Feststellungen nach Absatz 3 Satz 1 und 2.

(5) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe teilt dem Betreiber der kritischen Anlage im Falle einer Feststellung nach Absatz 3 Satz 1 oder 2 schriftlich oder elektronisch mit, dass er den Verpflichtungen dieses Gesetzes unterliegt oder nicht unterliegt. Es fordert ihn im Falle einer Feststellung nach Absatz 3 Satz 1 zudem zur Registrierung nach § 8 Absatz 1 auf.

(6) Entfallen die Voraussetzungen der Feststellung nach Absatz 3 Satz 1 und 2, so stellt das Bundesministerium des Innern dies fest. Die Absätze 4 und 5 gelten entsprechend.

(7) Das Bundesministerium des Innern wird ermächtigt, in einer Rechtsverordnung, die der Zustimmung des Bundesrates bedarf, Kriterien und Verfahren festzulegen, mit denen die Länder feststellen können, ob eine Anlage für die Erbringung einer kritischen Dienstleistung erheblich ist, ohne die Voraussetzungen der Rechtsverordnung des Absatzes 1 Satz 1 zu erfüllen. Die Länder können dies für Anlagen feststellen, bei denen für die betroffene Dienstleistung eine Landesbehörde die zuständige Behörde ist. Bei der Festlegung der Kriterien werden die Kriterien nach Absatz 2 berücksichtigt. § 4 Absatz 4 und 5 gilt entsprechend.

(1) Für die Aufrechterhaltung des Betriebs kritischer Anlagen können auch Einrichtungen von erheblicher Bedeutung sein, für die dieses Gesetz nicht gilt. Hierzu zählen notwendige Betreuungsangebote, die für die Erhaltung der personellen Arbeitsfähigkeit in kritischen Anlagen erforderlich sind.

(2) Unbeschadet der Regelungen dieses Gesetzes können Bund und Länder im Rahmen ihrer jeweiligen Zuständigkeiten Vorgaben zu resilienzsteigernden Maßnahmen machen.

(3) Die Sicherheitsbehörden des Bundes und der Länder erfüllen ihre Aufgaben im Rahmen der gesetzlichen Vorschriften.

(1) Die Vorschriften für Betreiber kritischer Anlagen

1.

des § 8 Absatz 1 Nummer 1, 2 und 6 sowie § 8 Absatz 6 und 7 gelten für Einrichtungen der Bundesverwaltung entsprechend;

2.

des § 12 Absatz 1, 2, § 13 Absatz 1, 2, 3 und 4 sowie der §§ 15 und 18 Absatz 1 bis 7 gelten für Einrichtungen der Bundesverwaltung mit Ausnahme des Auswärtigen Amts und des Bundesministeriums der Verteidigung; das Auswärtige Amt erlässt im Einvernehmen mit dem Bundesministerium des Innern eine allgemeine Verwaltungsvorschrift, um die Ziele der Richtlinie (EU) 2022/2557 im Geschäftsbereich des Auswärtigen Amts durch ergebnisäquivalente Maßnahmen umzusetzen.

(2) Das Bundesministerium des Innern legt für die Einrichtungen der Bundesverwaltung mit deren Einvernehmen das Folgende allgemein fest:

1.

die kritischen Dienstleistungen, die von Einrichtungen der Bundesverwaltung erbracht werden,

2.

Mindestanforderungen zur Konkretisierung der Verpflichtungen nach Absatz 1 Nummer 2.

(3) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe berät die Einrichtungen der Bundesverwaltung bei der Umsetzung und Einhaltung ihrer in Absatz 1 genannten Verpflichtungen.

(1) Ein Betreiber kritischer Anlagen ist verpflichtet, spätestens drei Monate, nachdem eine Anlage als kritische Anlage gilt, frühestens jedoch bis einschließlich zum 17. Juli 2026, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe über eine gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit nach § 33 Absatz 1 des BSI-Gesetzes folgende Angaben zu übermitteln (Registrierung):

1.

den Namen des Betreibers kritischer Anlagen, einschließlich der Rechtsform und, falls einschlägig, die Handelsregisternummer,

2.

die Anschrift und aktuelle Kontaktdaten des Betreibers kritischer Anlagen, einschließlich der E-Mail-Adresse und der Telefonnummer,

3.

den Sektor und, falls einschlägig, die Branche, zu dem oder zu der die kritische Anlage gehört, sowie die kritische Dienstleistung, für deren Erbringung die Anlage erheblich ist,

4.

soweit einschlägig, die Kategorie der kritischen Anlage und deren Werte zum Versorgungsgrad gemäß der Rechtsverordnung nach § 5 Absatz 1 Satz 1, den Standort der kritischen Anlagen und deren Versorgungsgebiet sowie deren öffentlichen IP-Adressbereiche,

5.

falls einschlägig, eine Auflistung der Mitgliedstaaten der Europäischen Union, in denen oder für die der Betreiber kritischer Anlagen wesentliche Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 in der Fassung vom 14. Dezember 2022 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 in der Fassung vom 25. Juli 2023 erbringt, unter Angabe, welche wesentlichen Dienste er in welchen oder für welche Mitgliedstaaten erbringt,

6.

eine Kontaktstelle, über die der Betreiber kritischer Anlagen erreichbar ist; in Bezug auf Maßnahmen nach dem BSI-Gesetz ist die jederzeitige Erreichbarkeit zu gewährleisten, sowie

7.

die bei ihm zum Einsatz kommenden Typen von kritischen Komponenten gemäß § 2 Nummer 23 des BSI-Gesetzes.

(2) Rechtfertigen Tatsachen die Annahme, dass ein Betreiber kritischer Anlagen seine Pflicht zur Registrierung nicht erfüllt, so kann das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe von dem Betreiber verlangen, Aufzeichnungen, Schriftstücke und sonstige Unterlagen vorzulegen sowie Auskünfte zu erteilen, soweit dies erforderlich ist, um festzustellen, ob die Anlage kritisch ist. Können bestimmte Unterlagen oder Auskünfte aus Gründen des Geheimschutzes, der überwiegenden Sicherheitsinteressen oder des überwiegenden Schutzes von Betriebs- und Geschäftsgeheimnissen nicht vorgelegt oder erteilt werden, stellt der Betreiber die erforderlichen Informationen auf andere Weise zu Verfügung.

(3) Wenn der Betreiber kritischer Anlagen seine Pflicht zur Registrierung nicht erfüllt, kann das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe nach Anhörung des Betreibers die Registrierung selbst vornehmen. Die Vornahme der Registrierung bedarf des Einvernehmens des Bundesamts für Sicherheit in der Informationstechnik und, falls die zuständige Behörde eine Behörde des Bundes ist, ihres Einvernehmens und, falls die zuständige Behörde eine Behörde des Landes ist, ihres Benehmens.

(4) Das Bundesamt für Sicherheit in der Informationstechnik und die zuständigen Behörden können dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Vorschläge für die Registrierung weiterer Betreiber kritischer Anlagen unterbreiten und übermitteln dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe die erforderlichen Informationen zur Identifizierung der Betreiber kritischer Anlagen.

(5) Dem Betreiber kritischer Anlagen wird die zuständige Behörde durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe spätestens zwei Wochen nach der Registrierung schriftlich oder elektronisch mitgeteilt, mit Ausnahme der erstmaligen Mitteilung, die nicht vor dem 17. August 2026 erfolgen muss. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe informiert das Bundesamt für Sicherheit in der Informationstechnik sowie die jeweils zuständige Behörde unverzüglich über jede erfolgte Registrierung. Die Übermittlung der Information gemäß Absatz 1 Nummer 7 erfolgt ausschließlich an das Bundesamt für Sicherheit in der Informationstechnik.

(6) Bei Änderungen der nach Absatz 1 zu übermittelnden Angaben sind über die in Absatz 1 genannte Registrierungsmöglichkeit geänderte Werte zum Versorgungsgrad einmal jährlich zu übermitteln und alle anderen Angaben unverzüglich, spätestens jedoch zwei Wochen ab dem Zeitpunkt, zu dem der Betreiber kritischer Anlagen von der Änderung Kenntnis erhalten hat, zu übermitteln. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe informiert das Bundesamt für Sicherheit in der Informationstechnik sowie die zuständige Behörde unverzüglich über alle übermittelten Änderungen.

(7) Die Verpflichtungen nach § 12 gelten für den Betreiber einer kritischen Anlage erstmals neun Monate, die Verpflichtungen nach den §§ 13, 18 und 20 erstmals zehn Monate nach deren Registrierung.

(8) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe legt die Einzelheiten zur Ausgestaltung des Registrierungsverfahrens im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest. Die Festlegung nach Satz 1 erfolgt durch eine öffentliche Mitteilung auf der Internetseite des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe.

(1) Ein Betreiber kritischer Anlagen gilt als Betreiber einer kritischen Einrichtung von besonderer Bedeutung für Europa, wenn

1.

er für oder in mindestens sechs Mitgliedstaaten der Europäischen Union den gleichen oder einen ähnlichen wesentlichen Dienst im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 erbringt und

2.

ihm von der Europäischen Kommission über das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe mitgeteilt wurde, dass er als kritische Einrichtung von besonderer Bedeutung für Europa gilt.

(2) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe leitet die Mitteilung nach § 8 Absatz 1 Nummer 5 unverzüglich an die zuständige Behörde weiter. Das Bundesministerium des Innern teilt diese Informationen der Europäischen Kommission unverzüglich mit.

(3) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe leitet die Mitteilung der Europäischen Kommission, einen Betreiber kritischer Anlagen als kritische Einrichtung von besonderer Bedeutung für Europa zu betrachten, unverzüglich an jenen und an die zuständige Behörde weiter.

(4) Auf Antrag der Europäischen Kommission oder eines Mitgliedstaats der Europäischen Union, für den oder in dem im Falle des Absatzes 1 Nummer 1 ein wesentlicher Dienst erbracht wird, übermittelt das Bundesministerium des Innern im Benehmen mit dem Bundesministerium oder Landesministerium, zu dessen Geschäftsbereich die für die betroffene Dienstleistung zuständige Behörde gehört, der Europäischen Kommission

1.

Teile der Risikoanalysen und Risikobewertungen der kritischen Einrichtung mit besonderer Bedeutung für Europa nach § 12,

2.

eine Auflistung der Maßnahmen der kritischen Einrichtung mit besonderer Bedeutung für Europa nach § 13 und

3.

eine Auflistung der Aufsichts- und Durchsetzungsmaßnahmen, die die zuständige Behörde gegenüber der kritischen Einrichtung mit besonderer Bedeutung für Europa ergriffen hat.

(1) Das Bundesministerium des Innern kann einen Antrag bei der Europäischen Kommission auf Einrichtung einer Beratungsmission zur Bewertung der Maßnahmen stellen, die eine kritische Einrichtung von besonderer Bedeutung für Europa ergriffen hat, um ihre Verpflichtungen nach den §§ 12, 13 und 18 zu erfüllen. Einer Beratungsmission im Sinne des Satzes 1, die die Europäische Kommission vorschlägt oder ein anderer Mitgliedstaat der Europäischen Union beantragt, kann das Bundesministerium des Innern zustimmen. Falls für die betroffene Dienstleistung eine Behörde des Bundes die zuständige Behörde ist, erfolgen der Antrag nach Satz 1 und die Zustimmung nach Satz 2 im Einvernehmen mit dem Bundesministerium, zu dessen Geschäftsbereich die Behörde gehört. Liegt die Fach- oder Rechtsaufsicht für den Teil einer Behörde, der für die betroffene kritische Dienstleistung zuständig ist, nicht bei dem Bundesministerium, zu dessen Geschäftsbereich sie gehört, erfolgen der Antrag nach Satz 1 und die Zustimmung nach Satz 2 im Einvernehmen mit dem Bundesministerium, dessen Fach- oder Rechtsaufsicht der betreffende Teil dieser Behörde untersteht. Im Übrigen erfolgen sie im Benehmen mit dem Landesministerium, zu dessen Geschäftsbereich die für die betroffene Dienstleistung zuständige Behörde gehört.

(2) Die kritische Einrichtung mit besonderer Bedeutung für Europa unterstützt das Bundesministerium des Innern bei der Zurverfügungstellung der Informationen für die Beratungsmission.

(3) Die kritische Einrichtung von besonderer Bedeutung für Europa gewährt der Beratungsmission Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung, soweit dies zur Durchführung der Beratungsmission erforderlich ist. Soweit dies zum Zwecke des Satzes 1 erforderlich ist, ist der Beratungsmission während der üblichen Geschäftszeiten Zugang zu Geschäftsräumen und Betriebsstätten zu gewähren.

(4) Für die Absätze 2 und 3 gilt § 8 Absatz 2 Satz 2 sinngemäß.

(5) Die kritische Einrichtung von besonderer Bedeutung für Europa berücksichtigt die Stellungnahme der Europäischen Kommission auf Grundlage des Berichts der Beratungsmission bei der fortlaufenden Umsetzung der Verpflichtungen nach den §§ 12, 13 und 18.

(6) Konkretisiert die Europäische Kommission durch einen oder mehrere Durchführungsrechtsakte gemäß Artikel 18 Absatz 6 der Richtlinie (EU) 2022/2557 das Verfahren der Beratungsmission, so gehen diese Regelungen entgegenstehenden Vorschriften dieses Paragraphen, mit Ausnahme des Absatzes 4, vor.

(1) Als Grundlage für die Erstellung nationaler Risikoanalysen und Risikobewertungen führen die Bundesministerien und Landesministerien jeweils für die kritischen Dienstleistungen, für die eine Behörde ihres Geschäftsbereichs die zuständige Behörde ist und soweit sie die Fach- oder Rechtsaufsicht für die zuständige Behörde ausüben, Risikoanalysen und Risikobewertungen durch. Für kritische Dienstleistungen der Einrichtungen der Bundesverwaltung führt das Bundesministerium des Innern die Risikoanalyse und Risikobewertung auf der Grundlage fachspezifischer Bewertungen durch die übrigen Einrichtungen der Bundesverwaltung durch. Liegt die Fach- oder Rechtsaufsicht für die zuständige Behörde hinsichtlich der betroffenen kritischen Dienstleistung bei einem anderen Bundesministerium, führt dieses Bundesministerium die entsprechenden Risikoanalysen und Risikobewertungen durch. Die Sätze 1 und 2 gelten nicht für kritische Dienstleistungen, die vom Auswärtigen Amt und vom Bundesministerium der Verteidigung erbracht werden.

(2) Die Risikoanalysen und Risikobewertungen berücksichtigen mindestens Folgendes:

1.

naturbedingte, technische oder menschlich verursachte Risiken, die geeignet sein können, die Verfügbarkeit der kritischen Dienstleistungen entscheidend zu beeinträchtigen, darunter

a)

soweit bekannt, sektorenübergreifende und grenzüberschreitende Risiken,

b)

Extremereignisse durch Unfälle, Naturgefahren und gesundheitliche Notlagen sowie

c)

hybride Bedrohungen, sicherheitsgefährdende oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie (EU) 2017/541,

2.

alle wesentlichen Risiken für wirtschaftliche Tätigkeiten im Binnenmarkt und die Bevölkerung, die sich aus dem Ausmaß der Abhängigkeit zwischen den Sektoren ergeben und die Handlungsfähigkeit der Wirtschaft bedrohen, einschließlich

a)

dem Ausmaß der Abhängigkeit von in anderen Mitgliedstaaten der Europäischen Union und Drittstaaten ansässigen kritischen Einrichtungen im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2022/2057 sowie,

b)

soweit bekannt, den Auswirkungen, die eine in einem Sektor auftretende erhebliche Störung auf andere Sektoren haben kann,

3.

alle für die personelle Arbeitsfähigkeit wesentlichen Risiken in den Sektoren, die für die wirtschaftlichen Tätigkeiten im Binnenmarkt und die Bevölkerung von erheblichem Einfluss sind,

4.

die allgemeine Risikobewertung nach Artikel 6 Absatz 1 des Beschlusses Nr. 1313/2013/EU,

5.

die sonstigen, nicht in den Nummern 1 bis 4 genannten Risikobewertungen, die im Einklang mit den Anforderungen der entsprechenden sektorspezifischen Rechtsakte der Europäischen Union sind, einschließlich

a)

der Verordnung (EU) 2017/1938,

b)

der Verordnung (EU) 2019/941,

c)

der Richtlinie 2007/60/EG sowie

d)

der Richtlinie 2012/18/EU und

6.

einschlägige, gemäß § 18 gemeldete Informationen über Vorfälle.

(3) Die Besonderheiten maritimer Infrastrukturen werden bei den Risikoanalysen und Risikobewertungen berücksichtigt.

(4) Das Bundesministerium des Innern koordiniert die Durchführung der Risikoanalysen und Risikobewertungen. Es wertet die durchgeführten Risikoanalysen und Risikobewertungen länder- und sektorenübergreifend zur Erstellung von nationalen Risikoanalysen und Risikobewertungen aus. Die nationalen Risikoanalysen und Risikobewertungen sind im Bedarfsfall, mindestens jedoch alle vier Jahre durchzuführen.

(5) Die nach Absatz 1 Satz 1 und 2 zuständigen Bundesministerien sowie das Bundesministerium des Innern arbeiten bei der Erstellung der nationalen Risikoanalysen und Risikobewertungen, soweit erforderlich, mit den zuständigen Behörden anderer Mitgliedstaaten der Europäischen Union und mit den zuständigen Behörden aus Drittstaaten zusammen.

(6) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermittelt den Betreibern kritischer Anlagen, den zuständigen Behörden und den nach Absatz 1 Satz 1 und 2 zuständigen Stellen sowie, soweit dies maritime Infrastrukturen betrifft, dem Bundesamt für Seeschifffahrt und Hydrographie jeweils die für sie wesentlichen Teile der nationalen Risikoanalysen und Risikobewertungen.

(7) Die Klimarisikoanalyse nach § 4 Absatz 1 Satz 1 des Bundes-Klimaanpassungsgesetzes vom 20. Dezember 2023 (BGBl. 2023 I Nr. 393) bleibt von den Regelungen dieses Paragraphen unberührt.

(8) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung, die der Zustimmung des Bundesrates bedarf, methodische und inhaltliche Vorgaben für die Risikoanalysen und Risikobewertungen der nach Absatz 1 Satz 1 und 2 zuständigen Stellen zu bestimmen. § 4 Absatz 4 und 5 gilt entsprechend.

(1) Der Betreiber kritischer Anlagen führt auf Grundlage der nationalen Risikoanalysen und Risikobewertungen und anderer vertrauenswürdiger Informationsquellen im Bedarfsfall, mindestens jedoch alle vier Jahre, eine Risikoanalyse und Risikobewertung durch, die Folgendes berücksichtigt:

1.

die in § 11 Absatz 2 Nummer 1 genannten Risiken,

2.

Risiken, die geeignet sein können, die Verfügbarkeit der kritischen Dienstleistungen zu beeinträchtigen und die sich aus Folgendem ergeben:

a)

dem Ausmaß der Abhängigkeit des Betreibers kritischer Anlagen von den kritischen Dienstleistungen, die von anderen Betreibern kritischer Anlagen auch in anderen Sektoren und auch in benachbarten Mitgliedstaaten der Europäischen Union und in Drittstaaten erbracht werden, und

b)

dem Ausmaß der Abhängigkeiten anderer Sektoren von der kritischen Dienstleistung, die von einem Betreiber kritischer Anlagen auch in benachbarten Mitgliedstaaten der Europäischen Union und Drittstaaten erbracht wird.

(2) Die Besonderheiten maritimer Infrastrukturen werden bei den Risikoanalysen und Risikobewertungen berücksichtigt.

(3) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung, die der Zustimmung des Bundesrates bedarf, inhaltliche und methodische Vorgaben einschließlich Vorlagen und Muster für die Risikoanalysen und Risikobewertungen der Betreiber kritischer Anlagen zu bestimmen. § 4 Absatz 4 und 5 gilt entsprechend. Das Bundesministerium des Innern kann die Ermächtigung nach Satz 1 durch Rechtsverordnung auf das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übertragen.

(1) Der Betreiber kritischer Anlagen ist verpflichtet, nach Maßgabe der Absätze 2 und 3 Maßnahmen zur Gewährleistung seiner Resilienz zu treffen, um

1.

das Auftreten von Vorfällen zu verhindern,

2.

einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten,

3.

auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und

4.

nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten.

(2) Für die Erreichung der Ziele sind auf Grundlage der nationalen Risikoanalysen und Risikobewertungen sowie der Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zu treffen. Der Stand der Technik soll eingehalten werden. Insgesamt ist ein Verhältnismäßigkeitsmaßstab anzuwenden. Dabei ist eine Zweck-Mittel-Relation vorzunehmen, bei der insbesondere der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls gegen das Risiko eines Vorfalls abzuwägen ist. Wirtschaftliche Aspekte, darunter die Leistungsfähigkeit des Betreibers, sind zu berücksichtigen.

(3) Zu den Maßnahmen zur Erreichung der Ziele nach Absatz 1 können die folgenden zählen, soweit ihnen nicht bereits bestehende spezialgesetzliche Regelungen in den jeweiligen Branchen vorgehen:

1.

zum Zweck der Zielerreichung nach Absatz 1 Nummer 1 zählen Maßnahmen der Notfallvorsorge,

2.

zum Zweck der Zielerreichung nach Absatz 1 Nummer 2 zählen:

a)

Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente,

b)

Instrumente und Verfahren für die Überwachung der Umgebung,

c)

der Einsatz von Detektionsgeräten und

d)

Zugangskontrollen,

3.

zum Zweck der Zielerreichung nach Absatz 1 Nummer 3 zählen:

a)

Risiko- und Krisenmanagementverfahren und -protokolle und

b)

vorgegebene Abläufe im Alarmfall,

4.

zum Zweck der Zielerreichung nach Absatz 1 Nummer 4 zählen:

a)

Maßnahmen zur Aufrechterhaltung des Betriebs, darunter die Notstromversorgung und

b)

die Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen,

5.

ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden zu gewährleisten, einschließlich des Personals externer Dienstleister, und

6.

das Personal für die unter den in Absatz 1 Nummer 1 bis 4 sowie in Nummer 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen vertraut zu machen.

(4) Der Betreiber kritischer Anlagen muss die Maßnahmen nach Absatz 1 in einem Resilienzplan darstellen und diesen anwenden. Aus dem Resilienzplan müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen. Auf die Risikoanalyse und Risikobewertung des Betreibers ist Bezug zu nehmen. Der Resilienzplan ist bei Bedarf sowie nach Durchführung einer Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen zu aktualisieren.

(5) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stellt bis einschließlich 17. Januar 2026 Vorlagen und Muster für die Erstellung von Resilienzplänen auf seiner Internetseite bereit.

(1) Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung, die der Zustimmung des Bundesrates bedarf, zur Konkretisierung der Verpflichtungen nach § 13 Absatz 1 sektorenübergreifende Mindestanforderungen zu bestimmen. Zudem gilt § 4 Absatz 4 entsprechend. Das Bundesministerium des Innern kann die Ermächtigung nach Satz 1 durch Rechtsverordnung auf das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übertragen.

(2) Betreiber kritischer Anlagen oder ihre Branchenverbände können branchenspezifische Resilienzstandards zur Konkretisierung der Verpflichtungen nach § 13 Absatz 1 vorschlagen. Soweit das Bundesamt für Sicherheit in der Informationstechnik branchenspezifische Standards nach § 30 Absatz 8 des BSI-Gesetzes hat, sollen diese die Grundlage für branchenspezifische Resilienzstandards nach Satz 1 sein. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stellt auf Antrag die Geeignetheit dieser branchenspezifischen Resilienzstandards zur Gewährleistung der Anforderungen nach Absatz 1 fest und veröffentlicht diese auf seiner Internetseite. Die Feststellung erfolgt

1.

im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik,

2.

falls für die betroffene Dienstleistung eine Behörde des Bundes die zuständige Behörde ist, in deren Einvernehmen,

3.

falls für die betroffene Dienstleistung Behörden der Länder die zuständigen Behörden sind, in deren Benehmen und

4.

im Sektor Energie im Benehmen mit dem Bundesamt für Seeschifffahrt und Hydrographie, soweit maritime Infrastrukturen in der ausschließlichen Wirtschaftszone betroffen sind.

(3) (zukünftig in Kraft)

(4) (zukünftig in Kraft)

(5) (zukünftig in Kraft)

Konkretisiert die Europäische Kommission durch einen oder mehrere Durchführungsrechtsakte gemäß Artikel 13 Absatz 6 der Richtlinie (EU) 2022/2557 die technischen und methodischen Spezifikationen für die Verpflichtungen nach § 13 Absatz 1, so gehen die Regelungen entgegenstehenden Vorschriften des § 13 und entgegenstehenden Regelungen, die auf Grundlage von § 14 erlassen wurden, vor.

(1) Um die Einhaltung der Verpflichtungen nach § 13 Absatz 1 zu überprüfen, kann die zuständige Behörde über das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe das Bundesamt für Sicherheit in der Informationstechnik um die Übersendung derjenigen Bestandteile der nach § 39 des BSI-Gesetzes vorgelegten Nachweise ersuchen, die für die Überprüfung der Einhaltung der Maßnahmen nach § 13 Absatz 1 erforderlich sind.

(2) Sofern die nach Absatz 1 übermittelten Informationen zur Feststellung der Einhaltung der Verpflichtungen nach § 13 Absatz 1 nicht ausreichen, kann die zuständige Behörde einzelne Betreiber kritischer Anlagen zur Vorlage weiterer Informationen und geeigneter Nachweise auffordern. Insbesondere kann sie die Vorlage des Resilienzplans verlangen. Bei der Auswahl, von welchen Betreibern kritischer Anlagen Nachweise nach Satz 1 angefordert werden, verfolgt die zuständige Behörde einen risikobasierten Ansatz. Sie wählt die zu kontrollierenden Betreiber kritischer Anlagen anhand des Ausmaßes der Risikoexposition, der Größe des Betreibers kritischer Anlagen und der Eintrittswahrscheinlichkeit und Schwere von möglichen Vorfällen sowie deren möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen aus. Der Grundsatz der Wirtschaftlichkeit der Verwaltung soll dabei berücksichtigt werden.

(3) Ein Nachweis zur Einhaltung der Verpflichtung nach § 13 Absatz 1 kann durch Audits erfolgen. Der Betreiber kritischer Anlagen übermittelt der zuständigen Behörde auf deren Verlangen die Ergebnisse des Audits einschließlich der dabei aufgedeckten Mängel. Die zuständige Behörde kann die Vorlage der Dokumentation, die der Überprüfung durch ein Audit oder auf andere Weise zugrunde gelegt wurde, verlangen.

(4) Die zuständige Behörde kann die Einhaltung der Verpflichtungen nach § 13 Absatz 1 bei den nach Absatz 2 Satz 3 ausgewählten Betreibern kritischer Anlagen überprüfen. Bei der Durchführung der Überprüfung kann die zuständige Behörde sich eines qualifizierten unabhängigen Dritten bedienen. Der Betreiber kritischer Anlagen hat der zuständigen Behörde und den in ihrem Auftrag handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren.

(5) Die zuständige Behörde kann bei Mängeln die Vorlage eines geeigneten Mängelbeseitigungsplans und Maßnahmen zur Beseitigung der Mängel innerhalb einer angemessenen Frist anordnen. Sie kann die Vorlage eines geeigneten Nachweises der Mängelbeseitigung verlangen. Absatz 3 gilt entsprechend.

(6) Für die Absätze 2 bis 5 gilt § 8 Absatz 2 Satz 2 sinngemäß.

(7) Die Absätze 1 bis 6 gelten nicht für die Betreiber kritischer Anlagen, die für die Erbringung kritischer Dienstleistungen in einem der Bereiche des § 3 Absatz 2 Nummer 2 Buchstabe a bis c erheblich sind. Stattdessen ist § 5f des Energiewirtschaftsgesetzes anzuwenden.

(8) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe kann zur Ausgestaltung des Verfahrens der Erbringung des Nachweises und der Audits nach Absatz 3 Anforderungen an die Art und Weise der Durchführung, an die Geeignetheit der zu erbringenden Nachweise sowie fachliche und organisatorische Anforderungen an die Prüfer und die prüfende Stelle im Einvernehmen mit dem fachlich zuständigen Bundesministerium sowie dem Bundesamt für Sicherheit in der Informationstechnik festlegen. § 4 Absatz 4 gilt entsprechend. Die Festlegung nach Satz 1 wird durch eine öffentliche Mitteilung auf der Internetseite des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe veröffentlicht.

(1) Risikoanalysen, Risikobewertungen sowie Dokumente und Maßnahmen und Zertifikate zur Stärkung der Resilienz, die der Betreiber kritischer Anlagen auf Grund sonstiger rechtlicher Verpflichtungen oder freiwillig erstellt, ergriffen oder erlangt hat, können zum Nachweis der Einhaltung der Verpflichtungen nach diesem Gesetz herangezogen werden.

(2) Die tatsächlichen Feststellungen anderer Behörden zu Risikoanalysen und Risikobewertungen sowie zu Dokumenten und Maßnahmen zur Stärkung der Resilienz sind zugunsten des Betreibers kritischer Anlagen bindend.

(3) Das Bundesministerium des Innern kann durch Rechtsverordnung, die der Zustimmung des Bundesrates bedarf, allgemein feststellen, dass bestimmte Verpflichtungen auf Grund sonstiger öffentlich-rechtlicher Vorschriften, die auch für Betreiber kritischer Anlagen gelten, gleichwertig mit bestimmten Verpflichtungen sind, die für Betreiber kritischer Anlagen nach diesem Gesetz gelten. § 4 Absatz 4 und 5 gilt entsprechend.

(4) Die Verpflichtungen nach diesem Gesetz gelten als eingehalten, soweit die in der Rechtsverordnung nach Absatz 3 Satz 1 als diesen gleichwertig festgestellten sonstigen Verpflichtungen eingehalten werden. Feststellungen anderer Behörden zur Einhaltung der sonstigen Verpflichtungen sind bindend.

(1) Der Betreiber kritischer Anlagen ist verpflichtet, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Vorfälle unverzüglich, spätestens 24 Stunden nach Kenntnis der vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichteten gemeinsamen Meldestelle nach § 32 Absatz 1 des BSI-Gesetzes zu melden. Bei einem andauernden Vorfall ist die Erstmeldung zu aktualisieren. Spätestens einen Monat nach Kenntnis des Vorfalls ist ein ausführlicher Bericht zu übermitteln. Meldepflichten auf Grund sonstiger gesetzlicher Vorgaben bleiben unberührt.

(2) Die Meldungen müssen die zu ihrem Zeitpunkt verfügbaren Informationen enthalten, die erforderlich sind, damit Art, Ursache und mögliche, auch grenzüberschreitende, Auswirkungen und Folgen des Vorfalls ermittelt und nachvollzogen werden können. Insbesondere sind folgende Angaben zu machen:

1.

die Anzahl und der Anteil der von dem Vorfall Betroffenen,

2.

die bisherige und voraussichtliche Dauer des Vorfalls sowie

3.

das betroffene geografische Gebiet des Vorfalls, unter Berücksichtigung des Umstands, ob das Gebiet geografisch isoliert ist.

(3) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe legt die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte nach Anhörung der zuständigen Behörden und der Behörden nach § 3 Absatz 5 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik fest, soweit sie möglichen Durchführungsrechtsakten der Europäischen Kommission nicht widersprechen. Die Informationen nach Satz 1 werden durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe auf dessen Internetseite veröffentlicht.

(4) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe unterrichtet die zentralen Anlaufstellen anderer betroffener Mitgliedstaaten der Europäischen Union, sofern der Vorfall erhebliche Auswirkungen auf kritische Einrichtungen im Sinne des Artikels 2 Nummer 1 der Richtlinie (EU) 2022/2557 und die Aufrechterhaltung der Erbringung wesentlicher Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 in mindestens einem anderen Mitgliedstaat der Europäischen Union hat oder haben könnte.

(5) Hat ein Vorfall erhebliche Auswirkungen auf die Kontinuität der Erbringung wesentlicher Dienste im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 für oder in mindestens sechs Mitgliedstaaten der Europäischen Union oder könnte er solche Auswirkungen haben, so meldet das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe diesen Vorfall der Europäischen Kommission.

(6) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermittelt dem von dem Vorfall betroffenen Betreiber kritischer Anlagen unverzüglich eine Bestätigung über den Eingang der Meldung nach Absatz 1 und unverzüglich nach seiner Meldung sachdienliche Folgeinformationen, unter anderem Informationen, die die wirksame Reaktion dieses Betreibers auf den betreffenden Vorfall unterstützen könnten. Dabei kann es sich um passende Leitlinien zu Reaktionsverfahren und zur Resilienzstärkung handeln.

(7) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übermittelt den zuständigen Behörden, den nach § 3 Absatz 5 benannten Landesbehörden sowie den nach § 11 Absatz 1 zuständigen Stellen Auswertungen zu Meldungen von Vorfällen im Rahmen vorab zwischen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und den Empfängern abgestimmter Prozesse zur Weitergabe und Wahrung der notwendigen Vertraulichkeit. Das Bundesministerium des Innern wird ermächtigt, durch Rechtsverordnung, die der Zustimmung des Bundesrates bedarf, die Prozesse zur Weitergabe der Meldungen an die Länder zu regeln. Die Rechtsverordnung beschreibt die Rahmenbedingungen, insbesondere die technischen und personellen Voraussetzungen, Kriterien für eine Weiterleitung von Meldungen und die Prozessbeschreibung für den Informationsaustausch. § 4 Absatz 4 und 5 gilt entsprechend.

(8) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe erstellt auf der Grundlage der eingegangenen Meldungen nach Absatz 1 sowie weiterer Informationen regelmäßige und anlassbezogene Lagebilder zur Situation der kritischen Anlagen und stellt diese den zuständigen Behörden, den nach § 3 Absatz 5 benannten Landesbehörden, den nach § 11 Absatz 1 zuständigen Stellen, den Betreibern und weiteren betroffenen Adressaten zur Verfügung.

(9) Liegt die Offenlegung des Vorfalls im öffentlichen Interesse, so kann das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe nach Anhörung des Betreibers der betroffenen kritischen Anlage und im Einvernehmen mit der zuständigen Behörde des Bundes oder im Benehmen mit der zuständigen Behörde des Landes die Öffentlichkeit über den Vorfall informieren oder den Betreiber verpflichten, dies zu tun.

(1) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stellt Betreibern kritischer Anlagen Vorlagen, Muster und Leitlinien zur Umsetzung der Verpflichtungen nach diesem Gesetz zur Verfügung. Es kann zu diesem Zweck auch Beratungen, Schulungen und Übungen anbieten.

(2) Das Bundesministerium des Innern kann bei der Europäischen Kommission mit Zustimmung des betroffenen Betreibers kritischer Anlagen einen Antrag auf Organisation einer Beratungsmission zur Bewertung der Maßnahmen stellen, die der Betreiber kritischer Anlagen ergriffen hat, um seine Verpflichtungen nach den §§ 12, 13 und 18 zu erfüllen. Falls für die betroffene Dienstleistung eine Behörde des Bundes die zuständige Behörde ist, erfolgt die Antragstellung im Einvernehmen mit dem Bundesministerium, zu dessen Geschäftsbereich die Behörde gehört. Liegt die Fach- oder Rechtsaufsicht für den Teil einer Behörde, der für die betroffene kritische Dienstleistung zuständig ist, nicht bei dem Bundesministerium, zu dessen Geschäftsbereich sie gehört, erfolgt die Antragstellung nach Satz 1 im Einvernehmen mit dem Bundesministerium, dessen Fach- oder Rechtsaufsicht der betreffende Teil dieser Behörde untersteht. Im Übrigen erfolgt sie im Benehmen mit dem Landesministerium, zu dessen Geschäftsbereich die für die betroffene Dienstleistung zuständige Behörde gehört.

(1) Geschäftsleitungen von Betreibern kritischer Anlagen sind verpflichtet, die von den Betreibern kritischer Anlagen nach § 13 Absatz 1 zu ergreifenden Resilienzmaßnahmen umzusetzen und ihre Umsetzung durch geeignete Organisationsmaßnahmen sicherzustellen.

(2) Geschäftsleitungen, die ihre Pflicht nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.

(1) Das Bundesministerium des Innern übermittelt folgende Informationen an die Europäische Kommission:

1.

innerhalb von drei Monaten nach Durchführung von nationalen Risikoanalysen und Risikobewertungen jeweils aufgeschlüsselt nach den im Anhang der Richtlinie (EU) 2022/2557 genannten Sektoren und Teilsektoren Informationen

a)

über die ermittelten Arten von Risiken und

b)

über die Ergebnisse dieser Risikoanalysen und Risikobewertungen,

2.

nach der Ermittlung der Betreiber kritischer Anlagen unverzüglich und anschließend alle vier Jahre

a)

eine Liste der wesentlichen Dienste im Sinne des Artikels 7 Absatz 2 Buchstabe a der Richtlinie (EU) 2022/2557,

b)

die Zahl der Betreiber kritischer Anlagen für jeden im Anhang der Richtlinie (EU) 2022/2557 genannten Sektor und Teilsektor und für jeden wesentlichen Dienst im Sinne des Artikels 2 Nummer 5 der Richtlinie (EU) 2022/2557 und des Artikels 2 der Delegierten Verordnung (EU) 2023/2450 sowie

c)

die Schwellenwerte, die in der Rechtsverordnung nach § 5 Absatz 1 Satz 1 Nummer 2 zur Spezifizierung eines oder mehrerer der in Artikel 7 Absatz 1 der Richtlinie (EU) 2022/2557 genannten Kriterien festgelegt werden.

(2) Das Bundesministerium des Innern übermittelt der Europäischen Kommission und der Gruppe für die Resilienz kritischer Einrichtungen zur Unterrichtung anderer Mitgliedstaaten der Europäischen Union bis einschließlich 17. Juli 2028 und danach alle zwei Jahre einen zusammenfassenden Bericht über die Anzahl und die Art

1.

der eingegangenen Meldungen nach § 18 und

2.

der auf Grundlage von § 18 Absatz 4 ergriffenen Maßnahmen.

(3) Informationen, deren Offenlegung wesentlichen nationalen Interessen im Bereich der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung entgegenlaufen würde, sind von der Übermittlung von Informationen nach den Absätzen 1 und 2 ausgeschlossen.

(4) Das Bundesministerium des Innern übermittelt die Informationen nach Absatz 1 und den zusammenfassenden Bericht nach Absatz 2 jeweils gleichzeitig mit der Übermittlung an die Europäische Kommission an den Bundestag und an die Bundesregierung.

(5) Für die Zwecke von Absatz 1 Nummer 1 Buchstabe a und b übermitteln die Bundesministerien und Landesministerien jeweils für die kritischen Dienstleistungen, für die eine Behörde die zuständige Behörde ist, die zu ihrem Geschäftsbereich gehört und soweit sie die Fach- oder Rechtsaufsicht über diese zuständige Behörde ausüben, die erforderlichen Informationen an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Liegt die Fach- oder Rechtsaufsicht für die zuständige Behörde hinsichtlich der betroffenen kritischen Dienstleistung bei einem anderen Bundesministerium, übermittelt dieses Bundesministerium die erforderlichen Informationen an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.

(6) Die zuständigen Behörden übermitteln dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe die für die Zwecke des § 9 Absatz 4 erforderlichen Unterlagen. Die zuständigen Behörden übermitteln dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe erstmals bis einschließlich 15. Juli 2027 und fortan jährlich einen zusammenfassenden Bericht über die Überprüfungen und Anordnungen nach § 16. Der Bericht darf keine Handels- oder Geschäftsgeheimnisse enthalten.

(7) Die Berichte nach den Absätzen 1, 2, 4 und 5 dürfen keine Informationen enthalten, die zu einer Identifizierung einzelner Meldungen oder einzelner Betreiber kritischer Anlagen führen können und dürfen keine Handels- oder Geschäftsgeheimnisse enthalten.

(1) Das Bundesministerium des Innern kann auf Vorschlag des Bundeskanzleramtes, des Bundesministeriums der Justiz und für Verbraucherschutz, des Bundesministeriums der Verteidigung oder auf eigenes Betreiben Betreiber kritischer Anlagen von Verpflichtungen nach diesem Gesetz nach Maßgabe des Absatzes 2 teilweise befreien (einfacher Ausnahmebescheid) oder nach Maßgabe des Absatzes 3 insgesamt befreien (erweiterter Ausnahmebescheid), wenn die Resilienz des Betreibers anderweitig gewährleistet und staatlich beaufsichtigt ist.

(2) Betreiber kritischer Anlagen, die

1.

in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Ermittlung, Aufdeckung und Verfolgung von Straftaten tätig sind oder

2.

für Behörden, die Aufgaben in den in Nummer 1 genannten Bereichen erfüllen, tätig sind,

(3) Betreiber kritischer Anlagen, die ausschließlich im Sinne des Absatzes 2 Nummer 1 oder 2 tätig sind, können insgesamt von den Verpflichtungen nach diesem Gesetz befreit werden.

(4) Ein einfacher Ausnahmebescheid oder ein erweiterter Ausnahmebescheid ist vorbehaltlich der Sätze 2 und 3 zu widerrufen, wenn nachträglich Tatsachen eintreten, die zu dessen Versagung führen würden. Ein erweiterter Ausnahmebescheid kann im Falle des Satzes 1 in einen einfachen Ausnahmebescheid umgewandelt werden, wenn dessen Voraussetzungen vorliegen. Wenn die Voraussetzungen des einfachen Ausnahmebescheids oder des erweiterten Ausnahmebescheids nur kurzfristig wegfallen, kann von einem Widerruf oder einer Umwandlung abgesehen werden.

(5) Die Entscheidungen nach diesem Paragrafen erfolgen im Benehmen mit dem Bundesministerium oder Landesministerium, zu dessen Geschäftsbereich die für den betroffenen Betreiber kritischer Anlagen zuständige Behörde gehört. Liegt die Fach- oder Rechtsaufsicht für den Teil einer Behörde, der für die betroffene kritische Dienstleistung zuständig ist, nicht bei dem Bundesministerium, zu dessen Geschäftsbereich sie gehört, erfolgen die Entscheidungen nach diesem Paragrafen im Benehmen mit dem Bundesministerium, dessen Fach- oder Rechtsaufsicht der betreffende Teil dieser Behörde untersteht.

(1) Die Verarbeitung personenbezogener Daten durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, das Bundesamt für Sicherheit in der Informationstechnik, die Bundesnetzagentur, die Bundesanstalt für Finanzdienstleistungsaufsicht, die zuständigen Behörden und die nach Vorschriften dieses Gesetzes zuständigen Bundesministerien und Landesministerien ist zulässig, soweit dies zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben erforderlich ist.

(2) Die Verarbeitung personenbezogener Daten durch die in Absatz 1 genannten Stellen zu anderen Zwecken als demjenigen, zu dem die Daten ursprünglich erhoben wurden, ist unbeschadet von § 23 des Bundesdatenschutzgesetzes und Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 zulässig, soweit

1.

die Verarbeitung erforderlich ist zur Sammlung, Auswertung oder Untersuchung von Informationen über nach § 18 gemeldete Vorfälle oder

2.

dies der Unterstützung oder Beratung von Betreibern kritischer Anlagen bei der Gewährleistung ihrer Resilienz dient und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

(2a) Die Erforderlichkeit der Verarbeitung personenbezogener Daten im Sinne der Absätze 1 und 2 ist insbesondere dann nicht gegeben, wenn durch eine Verarbeitung anonymisierter oder künstlich erzeugter Daten der Zweck in gleicher Weise erfüllt werden kann.

(3) Die in Absatz 1 genannten Stellen sehen angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person nach § 22 Absatz 2 Satz 2 des Bundesdatenschutzgesetzes vor.

(1) Ordnungswidrig handelt, wer

1.

entgegen § 8 Absatz 1

a)

Nummer 1 bis 3, 5 oder 6 oder

b)

Nummer 4 in Verbindung mit einer Rechtsverordnung nach § 5 Absatz 1 Satz 1

eine dort genannte Angabe nicht, nicht richtig, nicht vollständig, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig übermittelt,

2.

einer vollziehbaren Anordnung nach

a)

§ 8 Absatz 2 Satz 1 oder

b)

§ 16 Absatz 2 Satz 1 oder 2 oder Absatz 3 Satz 3, auch in Verbindung mit Absatz 5 Satz 3, oder nach § 16 Absatz 5 Satz 1 oder 2

zuwiderhandelt,

3.

entgegen § 16 Absatz 3 Satz 3, auch in Verbindung mit Absatz 5 Satz 3, ein Ergebnis eines Audits nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt oder

4.

entgegen § 16 Absatz 4 Satz 3 das Betreten eines Geschäfts- oder Betriebsraums oder einen dort genannten Zugang nicht gestattet, eine Aufzeichnung, ein Schriftstück oder eine Unterlage nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorlegt oder eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt.

(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 2 Buchstabe a mit einer Geldbuße bis zu einer Million Euro, in den Fällen des Absatzes 1 Nummer 3 mit einer Geldbuße bis zu fünfhunderttausend Euro, in den Fällen des Absatzes 1 Nummer 2 Buchstabe b mit einer Geldbuße bis zu zweihunderttausend Euro und in den übrigen Fällen mit einer Geldbuße bis zu hunderttausend Euro geahndet werden.

(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 1 Nummer 1 und 2 Buchstabe a das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und in den übrigen Fällen die jeweils nach § 3 Absatz 2 Satz 1 zuständige Behörde.

Das Bundesministerium des Innern wird dieses Gesetz regelmäßig alle fünf Jahre und erstmalig zwei Jahre nach Inkrafttreten im Benehmen mit den zuständigen Behörden der Länder auf wissenschaftlich fundierter Grundlage evaluieren, insbesondere im Hinblick auf die Identifizierung der Betreiber kritischer Anlagen und auf die gegebenenfalls abgestufte Ausgestaltung des Regelschwellenwertes gemäß § 5 Absatz 2 sowie die Höhe der Bußgelder gemäß § 24 und die Frage der Notwendigkeit eines Zertifizierungssystems für Nachweise gemäß § 16.

§ 8 Absatz 1 Nummer 2, 6 und 7 ist erst anzuwenden, wenn eine auf der Grundlage von § 4 Absatz 3 und § 5 Absatz 1 erlassene Rechtsverordnung gilt. Bis zur Geltung dieser Rechtsverordnung ist § 8 Absatz 1 Nummer 2 und 6 in der bis einschließlich 16. März 2026 geltenden Fassung weiter anzuwenden.