(1) Ein Betreiber kritischer Anlagen nach § 2 Nummer 1 des KRITIS-Dachgesetzes vom 11. März 2026 (BGBl. 2026 I Nr. 66), der für die Erbringung einer kritischen Dienstleistung nach § 2 Nummer 4 des KRITIS-Dachgesetzes in einem der in § 3 Absatz 2 Nummer 2 Buchstabe a bis c des KRITIS-Dachgesetzes bestimmten Bereiche erheblich ist, hat die Einhaltung der Verpflichtungen nach § 13 Absatz 1 des KRITIS-Dachgesetzes zum Zwecke des Nachweises zu dokumentieren. Die Bundesnetzagentur kann verlangen, dass der Nachweis zur Einhaltung der Verpflichtung nach § 13 Absatz 1 des KRITIS-Dachgesetzes durch ein Zertifikat auf der Grundlage eines Audits nach Absatz 2 erbracht wird. Der Betreiber nach Satz 1 hat die Einhaltung der Verpflichtung nach § 13 Absatz 1 des KRITIS-Dachgesetzes der Bundesnetzagentur nach Maßgabe des Absatzes 3 Satz 1 und 2 nachzuweisen.
(2) Die Bundesnetzagentur kann zum Zwecke der Überprüfung, ob die Verpflichtungen nach § 13 Absatz 1 des KRITIS-Dachgesetzes durch den in Absatz 1 genannten Betreiber eingehalten werden, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe durch Festlegung nach § 29 Absatz 1 in einem Sicherheitskatalog für die physische Resilienz Bestimmungen treffen:
- 1.
zur Durchführung der Zertifizierung einschließlich des Audits,
- 2.
zu fachlichen und organisatorischen Anforderungen an die zertifizierende Stelle,
- 3.
zu Format, Inhalt und Gestaltung von Nachweisen,
- 4.
zur Behebung von Mängeln bei der Einhaltung der Verpflichtungen nach § 13 Absatz 1 des KRITIS-Dachgesetzes,
- 5.
zum Schutz von Handels- und Geschäftsgeheimnissen und
- 6.
zur Überprüfung der Einhaltung der Verpflichtungen nach § 13 Absatz 1 des KRITIS-Dachgesetzes.
Soweit maritime Infrastrukturen in der ausschließlichen Wirtschaftszone nach § 2 Nummer 12 des KRITIS-Dachgesetzes in einem der in § 3 Absatz 2 Nummer 2 Buchstabe a bis c des KRITIS-Dachgesetzes bestimmten Bereiche betroffen sind, stellt die Bundesnetzagentur auch das Benehmen mit dem Bundesamt für Seeschifffahrt und Hydrographie her.
(3) Auf Verlangen der Bundesnetzagentur hat der Betreiber nach Absatz 1 die Dokumentation nach Absatz 1 Satz 1 und das Zertifikat nach Absatz 1 Satz 2 zu übermitteln. Die Bundesnetzagentur kann dabei auch die Vorlage der nach § 13 Absatz 1 des KRITIS-Dachgesetzes durchgeführten Risikoanalysen und Risikobewertungen sowie des Resilienzplans verlangen. § 8 Absatz 2 Satz 2 des KRITIS-Dachgesetzes ist entsprechend anzuwenden. Bei der Auswahl, von welchem Betreiber kritischer Anlagen Nachweise nach den Sätzen 1 und 2 angefordert werden, verfolgt die Bundesnetzagentur einen risikobasierten Ansatz. Sie wählt hierfür die Betreiber kritischer Anlagen anhand des Ausmaßes der Risikoexposition, der Größe des Betreibers kritischer Anlagen und der Eintrittswahrscheinlichkeit und Schwere von möglichen Vorfällen sowie deren möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen aus. Soweit maritime Infrastrukturen in der ausschließlichen Wirtschaftszone nach § 2 Nummer 12 des KRITIS-Dachgesetzes in einem der in § 3 Absatz 2 Nummer 2 Buchstabe a bis c des KRITIS-Dachgesetzes bestimmten Bereiche betroffen sind, trifft die Bundesnetzagentur eine Anordnung nach den Sätzen 1 und 2 im Benehmen mit dem Bundesamt für Seeschifffahrt und Hydrographie.
(4) Die Bundesnetzagentur kann die Einhaltung der in § 13 Absatz 1 des KRITIS-Dachgesetzes geregelten Pflichten jederzeit überprüfen. Absatz 3 Satz 4 und 5 ist dabei entsprechend anzuwenden. Bei der Durchführung der Überprüfung kann die Bundesnetzagentur sich eines qualifizierten unabhängigen Dritten bedienen.
(5) Der Betreiber nach Absatz 1 hat der Bundesnetzagentur und den in ihrem Auftrag handelnden Personen zum Zweck der Überprüfung nach Absatz 4 das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. § 8 Absatz 2 Satz 2 des KRITIS-Dachgesetzes ist entsprechend anzuwenden.
(6) Die Bundesnetzagentur kann bei der Verletzung einer in § 13 des KRITIS-Dachgesetzes geregelten Pflicht von dem in Absatz 1 genannten Betreiber die Vorlage eines geeigneten Plans zur Beseitigung der Pflichtverletzung und die Durchführung von Maßnahmen zur Herstellung eines pflichtgemäßen Verhaltens innerhalb einer angemessenen Frist anordnen. Sie kann von dem in Absatz 1 genannten Betreiber auch die Vorlage eines geeigneten Nachweises der Beseitigung der Pflichtverletzung verlangen. Absatz 1 Satz 2, Absatz 4 Satz 1 und 3 und Absatz 5 sind entsprechend anzuwenden.
(7) Die Bundesnetzagentur beteiligt die betroffenen Betreiber nach Absatz 1 und die betroffenen Branchenverbände vor Festlegung des Sicherheitskatalogs für die physische Resilienz. Die Bundesnetzagentur überprüft den Sicherheitskatalog für die physische Resilienz alle zwei Jahre und aktualisiert ihn bei Bedarf.
zurück