Titeldaten
- Leinemann, Eva-Dorothee; Shevchuk, Yaroslav
- Vergabe News
-
Heft 5/2026
S.83-87
Zusätzliche Informationen:
Aufsatz
Abstract
Die Verfasser stellen das im März in Kraft getretene KRITIS-Dachgesetz vor und untersuchen, welche
Folgen sich daraus für die Vergabepraxis ergeben. Einleitend zeigen sie auf, dass das Gesetz erstmals
bundeseinheitliche Mindeststandards für den physischen Schutz kritischer Anlagen schafft und damit die
bestehenden IT-sicherheitsrechtlichen Vorgaben ergänzt. Anschließend erläutern sie den
Anwendungsbereich des Gesetzes, insbesondere die erfassten Sektoren, den Begriff des Betreibers
kritischer Anlagen und den Regelschwellenwert von 500.000 versorgten Einwohnern. Sodann gehen sie
auf die Pflichten der Betreiber, insbesondere der Registrierung, der Risikoanalyse, der
Resilienzmaßnahmen und der Meldepflichten bei Vorfällen ein. Dabei erläutern sie insbesondere die
Auswirkungen auf Vergabeverfahren. Das KRITIS-Dachgesetz ändere zwar keine vergaberechtlichen
Regelungen; öffentliche Auftraggeber, die kritische Anlagen betreiben, müssten jedoch die gesetzlichen
Anforderungen an Resilienz in Leistungsbeschreibung, Eignungskriterien, Ausführungsbedingungen und
Vertragsregelungen berücksichtigen. Abschließend weisen sie darauf hin, dass sicherheitsrelevante
Informationen in Vergabeverfahren besonders geschützt werden müssen.
Folgen sich daraus für die Vergabepraxis ergeben. Einleitend zeigen sie auf, dass das Gesetz erstmals
bundeseinheitliche Mindeststandards für den physischen Schutz kritischer Anlagen schafft und damit die
bestehenden IT-sicherheitsrechtlichen Vorgaben ergänzt. Anschließend erläutern sie den
Anwendungsbereich des Gesetzes, insbesondere die erfassten Sektoren, den Begriff des Betreibers
kritischer Anlagen und den Regelschwellenwert von 500.000 versorgten Einwohnern. Sodann gehen sie
auf die Pflichten der Betreiber, insbesondere der Registrierung, der Risikoanalyse, der
Resilienzmaßnahmen und der Meldepflichten bei Vorfällen ein. Dabei erläutern sie insbesondere die
Auswirkungen auf Vergabeverfahren. Das KRITIS-Dachgesetz ändere zwar keine vergaberechtlichen
Regelungen; öffentliche Auftraggeber, die kritische Anlagen betreiben, müssten jedoch die gesetzlichen
Anforderungen an Resilienz in Leistungsbeschreibung, Eignungskriterien, Ausführungsbedingungen und
Vertragsregelungen berücksichtigen. Abschließend weisen sie darauf hin, dass sicherheitsrelevante
Informationen in Vergabeverfahren besonders geschützt werden müssen.
Robert Thiele, MBA, BMDS, Berlin