Auf den Punkt: Der KritisV-Entwurf enthält Definitionslücken und greift auf einen 20 Jahre alten, methodisch umstrittenen Schwellenwert von 500.000 Personen zurück, der die tatsächlichen kritischen Infrastrukturen-Risiken nicht angemessen abbildet.
Das Bundesinnenministerium hat Ende Mai einen Referentenentwurf zur Kritisverordnung (KritisV) vorgelegt, die künftig bestimmen soll, welche Infrastrukturen in Deutschland als kritisch gelten. Der IT-Sicherheitsverband TeleTrust übt in einer Stellungnahme grundlegende Kritik an der Umsetzung und moniert semantische, methodische und redaktionelle Schwächen.
Die neue KritisV soll die bisherige BSI-Kritisverordnung ablösen und als einheitliche Rechtsverordnung für physische Resilienz und IT-Sicherheit fungieren. Während TeleTrust das Ziel der größeren Einheitlichkeit und Rechtssicherheit grundsätzlich befürwortet, kritisiert der Verband erhebliche Mängel in der Ausgestaltung. Ein zentrales Problem ist bereits in Paragraph 1 zu finden: Der Begriff „Anlage“ wird als Anknüpfungspunkt verwendet, ohne ihn zu definieren. In Paragraph 7 erscheint dasselbe Wort mit völlig anderer Bedeutung, bezogen auf Kreditgeschäfte, was sich erst aus späteren Absätzen erschließt.
Die Anlagen der Verordnung enthalten weitere handwerkliche Fehler, die für Compliance-Verantwortliche problematisch sind: Querverweise führen ins Leere, Nummern sind doppelt vergeben und springen ohne Erklärung von 2.12 auf 2.16. Ein besonders gravierendes Beispiel betrifft Computerreservierungsdienste: Anlage 7 nennt einen Schwellenwert von 20 Millionen Flugbuchungen pro Jahr, während die Begründung von 200.000 ausgeht. TeleTrust kritisiert zudem, dass betroffene Unternehmen ohne Übergangsfrist materiell verpflichtet sein würden, obwohl der Entwurf nach „ungewöhnlich langer Vorbereitungszeit“ noch immer urabgestimmt ist.
Das Herzstück der Verordnung ist ein Regelschwellenwert von 500.000 versorgten Personen, der bereits im IT-Sicherheitsgesetz von 2015 Anwendung fand und auf einen Stromausfall im Münsterland von November 2005 zurückgeht. Über 20 Jahre später wird diese Zahl unverändert auf alle Sektoren – von Stromversorgung bis Weltraum und Telekommunikation – angewendet. Der TeleTrust-Vorsitzende Karsten U. Bartels erklärt: „Die Schwellenwert-Methode in der hergebrachten Weise ist nicht im Mindesten geeignet, die tatsächlichen Risiken in ein angemessenes Verhältnis zum Anwendungsrahmen des Gesetzes zu bringen. Die Bezugsgröße von 500.000 versorgten Personen ist methodisch widerlegt und stellt ein Risiko dar.“
Dass deutlich kleinere Ausfälle erhebliche Störungen verursachen können, zeigten der Blackout in Berlin-Köpenick 2019 und ein weiterer im Berliner Südwesten 2026. Der Bundesrat hat bereits eine Absenkung auf 150.000 Personen vorgeschlagen. Der KritisV-Entwurf berücksichtigt zudem Kaskadeneffekte – also Szenarien, in denen der Ausfall einer Anlage weitere Ausfälle auslöst – überhaupt nicht.
Die CER-Richtlinie, die die KritisV umsetzen soll, fordert in Artikel 7 über bloße Kopfzahlen hinaus die Berücksichtigung sektorübergreifender Abhängigkeiten, geografischer Auswirkungen, Substituierbarkeit und möglicher Störungsdauer. Der Entwurf konzentriert sich aber fast ausschließlich auf versorgten Personen. TeleTrust fordert für digitale Infrastrukturen zusätzlich anlassbezogene Evaluierungen, da der vorgesehene Fünfjahresrhythmus angesichts schnell wandelnder Cloud-Architekturen und Bedrohungslagen zu starr ist.
Quelle: www.it-daily.net · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.