Begründung der Bundesregierung
§ 31 definiert zusätzliche Anforderungen für Betreiber kritischer Anlagen.
Zu Absatz 1
Absatz 1 sieht vor, dass bei den nach § 30 umzusetzenden Maßnahmen durch Betreiber kritischer Anlagen in Bezug auf versorgungsrelevante informationstechnische Systeme, Komponenten und Prozesse erhöhte Anforderungen bestehen im Vergleich zu den Anforderungen an besonders wichtige Einrichtungen für sonstige, nicht versorgungsrelevante Bereiche. Betreiber kritischer Anlagen haben innerhalb ihrer Einrichtung für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, gegenüber wichtigen und besonders wichtigen Einrichtungen ein nochmals erhöhtes Sicherheitsniveau zu gewährleisten. Hinsichtlich der besonders schweren gesellschaftlichen und wirtschaftlichen Auswirkungen einer Beeinträchtigung ist die Versorgungserheblichkeit der kritischen Anlagen für die Bevölkerung besonderes Indiz für die wirtschaftliche Angemessenheit der Vornahme von Sicherungsmaßnahmen. Daher gelten Maßnahmen, welche die Resilienz der Anlage erhöhen, um auch in Bezug auf gängige realistische Bedrohungsszenarien entsprechend der aktuellen Lageberichte und Bewertungen des Bundesamtes die Versorgungssicherheit der Bevölkerung auf einem möglichst hohen Niveau sicherzustellen, grundsätzlich gegenüber dem erforderlichen Aufwand als angemessen.
Der Absatz trifft mit dem Bezug auf Absatz 2 keine Aussage zur technischen Angemessenheit im Sinne der Eignung einer Maßnahme für die Minimierung eines Risikos, sondern konkretisiert, dass bei kritischen Anlagen eine grundsätzliche Abwägung zugunsten der Vornahme einer Maßnahme gegenüber dagegenstehenden Wirtschaftlichkeitserwägungen zu treffen ist. Dabei fällt in Abgrenzung zu wichtigen und besonders wichtigen Einrichtungen die Abwägung noch stärker zugunsten der Sicherheit der Funktionsfähigkeit der Anlage aus. Die Abwägung bezieht sich auf Maßnahmen für die zur Funktionsfähigkeit erforderlichen informationstechnischen Systeme, Komponenten und Prozesse in der Anlage und somit nicht auf die gesamte Einrichtung.
Zu Absatz 2
Absatz 2 verpflichtet Betreiber kritischer Anlagen, Systeme zur Angriffserkennung einzusetzen.