VOICE warnt: Sicherheit darf Innovation und Wettbewerbsfähigkeit nicht bremsen
VOICE begrüßt das Ziel des KRITIS-Dachgesetzes, die Sicherheit kritischer Infrastrukturen zu stärken. Der aktuelle Entwurf ist für Unternehmen jedoch schwer umsetzbar: unklare Definitionen, vage Meldepflichten und fehlende Bewertungsmaßstäbe für Risikoanalysen schaffen Rechtsunsicherheit und Bürokratie. VOICE fordert klare, praxisnahe Regeln und eine ausgewogene Lastenverteilung zwischen Wirtschaft und Staat. Nur so lassen sich Sicherheit und Resilienz stärken, ohne Wettbewerbsfähigkeit und Innovation einzuschränken.
Berlin, 9. September 2025 – „Wenn das KRITIS-Dachgesetz Unternehmen mehr Aufwand abverlangt, ohne die Sicherheit kritischer Infrastrukturen spürbar zu erhöhen, bringt uns das nicht voran,“ sagt Robin Kaufmann, Geschäftsführer von VOICE – Bundesverband der IT-Anwender e.V. „Das Ziel ist richtig, doch die Rahmenbedingungen müssen klar und realistisch umsetzbar sein. Sonst leiden Innovation und Wettbewerbsfähigkeit.“
Vergangenen Freitag hat VOICE seine Stellungnahme zu dem Gesetz abgegeben, das das Bundesministerium des Innern noch im September verabschieden möchte. Damit soll die CER-Richtlinie der EU 2022/2557 in deutsches Recht umgesetzt und der physische Schutz kritischer Infrastrukturen gestärkt werden. Da die nationale Umsetzungsfrist bereits überschritten ist, läuft aktuell ein Vertragsverletzungsverfahren der EU.
Die aktuelle Bedrohungslage zeigt: Eine schnelle Umsetzung ist dringend notwendig, um kritische Infrastrukturen vor Spionage und Sabotage zu schützen. Damit das Gesetz Sicherheit und Resilienz wirklich stärkt, fordert VOICE konkrete Nachbesserungen.
Wesentliche Kritikpunkte von VOICE:
• Rechtsunsicherheit bei Risikoanalysen (§ 13 Abs. 2): Unternehmen müssen wirtschaftliche Zumutbarkeit und gesellschaftliche Sicherheitsinteressen ohne klare Kriterien abwägen. Fehlende Bewertungsmaßstäbe erhöhen Haftungsrisiken. Gefahr unlösbarerer Konflikte für Unternehmen.
• Unklare Definition „wesentlicher Einrichtungen“ (§ 3): Unternehmen können nicht sicher feststellen, ob sie vom Gesetz betroffen sind.
• Doppelte Nachweispflichten (§ 18): Bestehende Standards und Systeme werden nicht anerkannt, was zu Bürokratie und doppelter Dokumentation führt.
• Meldepflichten ohne klare Schwellen (§ 18 Abs. 4, § 20): Die unklare Definition „bedeutender Vorfall“ kann zu Flut an Meldungen führen.
• Ungleichgewicht zwischen Wirtschaft und Staat: Unternehmen tragen hohe Zusatzlasten, während Behörden nicht ausreichend mit Ressourcen und Befugnissen ausgestattet sind, um die Vorgaben effektiv zu unterstützen oder umzusetzen.
• Fehlende Harmonisierung mit NIS-2: Die Umsetzung wird erschwert, weil Zuständigkeiten und Definitionen unzusammenhängend sind.
• Kurze Frist für Stellungnahmen: Die Wirtschaft hat nicht genügend Zeit, sich angemessen zu beteiligen.
Klare Regeln für Risiko und Meldung: So wird KRITIS praxisnah
Für VOICE ist entscheidend, dass die Abwägung zwischen wirtschaftlicher Zumutbarkeit und gesellschaftlicher Notwendigkeit (§ 13 Abs. 2) klar im Gesetz geregelt wird. Bewertungsmaßstäbe und Kriterien sollten Gesetzgeber und Wirtschaftsverbände gemeinsam festlegen, um Unternehmen nicht in unlösbare Konflikte zu drängen.
Auch das Meldewesen für Vorfälle (§ 18 Abs. 4) muss praxisgerecht gestaltet sein: Betreiber und Wirtschaftsverbände sollten verbindlich beteiligt und die Regelungen – analog zur NIS2-Umsetzung – klar im Gesetz verankert werden.
So entsteht ein handlungsfähiger Rechtsrahmen, der Schutzpflichten vereinheitlicht, Zusammenarbeit stärkt, Krisenmechanismen wirksam macht und gleichzeitig Innovation und Wettbewerbsfähigkeit schützt. Die Orientierung an den Schwellenwerten der KRITIS-Rechtsverordnung und klare Vorgaben sind dafür entscheidend.
