Das BMDV hat sich aufgrund der verschärften Bedrohungslage zur besseren Krisenvorsorge und Krisenreaktion neu aufgestellt und eine Stabsstelle Krisen und Sicherheit in der Leitungsabteilung eingerichtet, unter der drei Referate zusammengeführt wurden. Zum Entwurf des KRITIS-Dachgesetzes erläuterte Marc-Andor Lorenz zwei Ziele: Erstens solle bis Herbst 2024 die europäische CER-Richtlinie (Critical Entities Resilience) eins zu eins umgesetzt werden. Zweitens wolle man weitere Bereiche integrieren, um den physischen Schutz von Infrastruktur im nötigen Umfang zu regeln. Dies sei durch die (mittlerweile modifizierte und nunmehr in § 4 Absatz 2 zu findende) Öffnungsklausel in § 6 möglich, die auch Betreibern kritischer Infrastrukturen, die unterhalb der Schwellenwerte liegen, resilienzsteigernde Maßnahmen nahelegt. „Das KRITIS-Dachgesetz ist auf den physischen Schutz kritischer Einrichtungen ausgerichtet. Ziel des Gesetzes ist es, den bestehenden Regulierungsrahmen für die IT-Sicherheit entsprechend zu ergänzen und so ein insgesamt kohärentes Regelungsregime zu definieren.“ In der Ressortabstimmung verfolge das BMDV das Ziel, das notwendige Schutzniveau und die wirtschaftlichen Belastungen der Betreiber in ein ausgewogenes Verhältnis zu bringen, so Lorenz.
"Ziel des Gesetzes ist es, den bestehenden Regulierungsrahmen für die IT-Sicherheit entsprechend zu ergänzen und so ein insgesamt kohärentes Regelungsregime zu definieren.“
Marc-Andor Lorenz
Mit der neuen CER-Richtlinie sollen unter anderem physische Barrieren und Zugangsbeschränkungen Angriffe verhindern. Außerdem verlangt die Richtlinie Vorkehrungen zur Bewältigung von Angriffen und zur Rückkehr zum Normalbetrieb. Lorenz erklärte die im Entwurf des KRITIS-Dachgesetzes vorgesehene Äquivalenzprüfung, wonach vorhandene Schutzmaßnahmen und Zertifikate angerechnet werden können. Außerdem haben die erfassten Sektoren die Möglichkeit, über Branchenstandards ihre Resilienzvorgaben einheitlich selbst zu regeln.
Das BMDV habe vor, Muster-Resilienzpläne zu entwickeln, die auch Hilfestellung bei der Definition von branchenspezifischen Resilienzstandards geben könnten. Bis zum 17. Januar 2026 müssen die EU-Mitgliedstaaten eine eigene Resilienzstrategie vorlegen und bis zum 17. Juli 2026 die kritischen Einrichtungen in den Sektoren des Anhangs ermitteln. Die Mitgliedstaaten müssen den kritischen Einrichtungen spätestens einen Monat später ihre Einstufung mitteilen. Nach (weiteren) zehn Monaten gelten für sie die Vorgaben des KRITIS-Dachgesetzes.