Teil 1: Allgemeine Vorschriften

§ 5f Nachweise und behördliche Anordnungen zu Resilienzpflichten nach dem KRITIS-Dachgesetz; Festlegungskompetenz [1]

(1) ¹Ein Betreiber kritischer Anlagen nach § 2 Nummer 1 des KRITIS-Dachgesetzes vom 11. März 2026 (BGBl 2026 I Nr. 66), der für die Erbringung einer kritischen Dienstleistung nach § 2 Nummer 4 des KRITIS- Dachgesetzes in einem der in § 3 Absatz 2 Nummer 2 Buchstabe a bis c des KRITIS-Dachgesetzes bestimmten Bereiche erheblich ist, hat die Einhaltung der Verpflichtungen nach § 13 Absatz 1 des KRITIS- Dachgesetzes zum Zwecke des Nachweises zu dokumentieren. ²Die Bundesnetzagentur kann verlangen, dass der Nachweis zur Einhaltung der Verpflichtung nach § 13 Absatz 1 des KRITIS-Dachgesetzes durch ein Zertifikat auf der Grundlage eines Audits nach Absatz 2 erbracht wird. Der Betreiber nach Satz 1 hat die Einhaltung der Verpflichtung nach § 13 Absatz 1 des KRITIS-Dachgesetzes der Bundesnetzagentur nach Maßgabe des Absatzes 3 Satz 1 und 2 nachzuweisen.

(2) ¹Die Bundesnetzagentur kann zum Zwecke der Überprüfung, ob die Verpflichtungen nach § 13 Absatz 1 des KRITIS-Dachgesetzes durch den in Absatz 1 genannten Betreiber eingehalten werden, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe durch Festlegung nach § 29 Absatz 1 in einem Sicherheitskatalog für die physische Resilienz Bestimmungen treffen:

1. zur Durchführung der Zertifizierung einschließlich des Audits,

2. zu fachlichen und organisatorischen Anforderungen an die zertifizierende Stelle, Bundesgesetzblatt Jahrgang 2026 Teil I Nr. 66, ausgegeben zu Bonn am 16. März 2026 Seite 16 von 22

3. zu Format, Inhalt und Gestaltung von Nachweisen,

4. zur Behebung von Mängeln bei der Einhaltung der Verpflichtungen nach § 13 Absatz 1 des KRITIS- Dachgesetzes,

5. zum Schutz von Handels- und Geschäftsgeheimnissen und

6. zur Überprüfung der Einhaltung der Verpflichtungen nach § 13 Absatz 1 des KRITIS-Dachgesetzes.

²Soweit maritime Infrastrukturen in der ausschließlichen Wirtschaftszone nach § 2 Nummer 12 des KRITIS- Dachgesetzes in einem der in § 3 Absatz 2 Nummer 2 Buchstabe a bis c des KRITIS-Dachgesetzes bestimmten Bereiche betroffen sind, stellt die Bundesnetzagentur auch das Benehmen mit dem Bundesamt für Seeschifffahrt und Hydrographie her.

(3) ¹Auf Verlangen der Bundesnetzagentur hat der Betreiber nach Absatz 1 die Dokumentation nach Absatz 1 Satz 1 und das Zertifikat nach Absatz 1 Satz 2 zu übermitteln. ²Die Bundesnetzagentur kann dabei auch die Vorlage der nach § 13 Absatz 1 des KRITIS-Dachgesetzes durchgeführten Risikoanalysen und Risikobewertungen sowie des Resilienzplans verlangen. ³§ 8 Absatz 2 Satz 2 des KRITIS-Dachgesetzes ist entsprechend anzuwenden. ⁴Bei der Auswahl, von welchem Betreiber kritischer Anlagen Nachweise nach den Sätzen 1 und 2 angefordert werden, verfolgt die Bundesnetzagentur einen risikobasierten Ansatz. ⁵Sie wählt hierfür die Betreiber kritischer Anlagen anhand des Ausmaßes der Risikoexposition, der Größe des Betreibers kritischer Anlagen und der Eintrittswahrscheinlichkeit und Schwere von möglichen Vorfällen sowie deren möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen aus. ⁶Soweit maritime Infrastrukturen in der ausschließlichen Wirtschaftszone nach § 2 Nummer 12 des KRITIS-Dachgesetzes in einem der in § 3 Absatz 2 Nummer 2 Buchstabe a bis c des KRITIS-Dachgesetzes bestimmten Bereiche betroffen sind, trifft die Bundesnetzagentur eine Anordnung nach den Sätzen 1 und 2 im Benehmen mit dem Bundesamt für Seeschifffahrt und Hydrographie.

(4) ¹Die Bundesnetzagentur kann die Einhaltung der in § 13 Absatz 1 des KRITIS-Dachgesetzes geregelten Pflichten jederzeit überprüfen. ²Absatz 3 Satz 4 und 5 ist dabei entsprechend anzuwenden. ³Bei der Durchführung der Überprüfung kann die Bundesnetzagentur sich eines qualifizierten unabhängigen Dritten bedienen.

(5) ¹Der Betreiber nach Absatz 1 hat der Bundesnetzagentur und den in ihrem Auftrag handelnden Personen zum Zweck der Überprüfung nach Absatz 4 das Betreten der Geschäfts- und Betriebsräume sowie Zugang zu Informationen, Systemen und Anlagen im Zusammenhang mit der Erbringung ihrer kritischen Dienstleistung während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. ²§ 8 Absatz 2 Satz 2 des KRITIS-Dachgesetzes ist entsprechend anzuwenden.

(6) ¹Die Bundesnetzagentur kann bei der Verletzung einer in § 13 des KRITIS-Dachgesetzes geregelten Pflicht von dem in Absatz 1 genannten Betreiber die Vorlage eines geeigneten Plans zur Beseitigung der Pflichtverletzung und die Durchführung von Maßnahmen zur Herstellung eines pflichtgemäßen Verhaltens innerhalb einer angemessenen Frist anordnen. ²Sie kann von dem in Absatz 1 genannten Betreiber auch die Vorlage eines geeigneten Nachweises der Beseitigung der Pflichtverletzung verlangen. ³Absatz 1 Satz 2, Absatz 4 Satz 1 und 3 und Absatz 5 sind entsprechend anzuwenden.

(7) ¹Die Bundesnetzagentur beteiligt die betroffenen Betreiber nach Absatz 1 und die betroffenen Branchenverbände vor Festlegung des Sicherheitskatalogs für die physische Resilienz. ²Die Bundesnetzagentur überprüft den Sicherheitskatalog für die physische Resilienz alle zwei Jahre und aktualisiert ihn bei Bedarf.