Mediehendelser som angrepene på Nord Stream-rørledningene, men også hendelser som lokale myndigheter som er deaktivert av løsepengeprogramvare, kuttede fiberoptiske kabler, oversvømmelsen av Ahr-dalen eller bekymringer om strømbrudd er for tiden i sentrum av politikken. Og krigstilfellet er også et tilbakevendende scenario. Hvor sterk er Forbundsrepublikken? Hva skjer hvis det verste kommer til det verste? Kan motstanden forbedres på kort sikt? I tillegg er det bekymringer om avhengigheter av stater som regjeringen ikke har tillit til.

I denne blandede situasjonen brøt det ut hektisk aktivitet. Forbundsregjeringen jobber med den såkalte Kritis-paraplyloven, det føderale innenriksdepartementet under Nancy Faeser (SPD) har ansvaret. Avtalt i koalisjonsavtalen, forventes den nå å være fullført innen midten av 2023.

Alt under ett tak

Paraplyloven er først og fremst ment å fokusere på fysisk beskyttelse av infrastruktur. Men først må Faeser ordne opp i ansvaret og låse inn eksisterende lover. Det legges vekt på spørsmålet: Hva er uunnværlig for et samfunn? Hvordan kan du forhindre at en tjeneste eller et produkt svikter – og setter i gang en dominoeffekt som ender opp med at ingenting fungerer?

Hjørnesteinene i Kritis-rammeloven inkluderer «obligatoriske beskyttelsesstandarder for fysisk sikkerhet». Det er allerede et stort antall sektorkrav til hvordan tjenester eller produksjonsprosesser av enkelte produkter skal beskyttes. De respektive sektortilsynsmyndighetene er ansvarlige for dette – eller de av forbundsstatene som er ansvarlige for sivilbeskyttelse i Tyskland. For å se gjennom denne jungelen, Federal Office for Civil Protection and Disaster Relief (BBK) fikk mange flere oppgaver og fullmakter i Bonn. Den har som mål å koordinere føderale myndigheter, stater, kommuner og andre EU-stater med hverandre, så sier nøkkelpunktene.

Tallene viser hvor nødvendig dette ville være: 20 BBK-ansatte jobber for tiden med kritisk infrastruktur. Så langt har imidlertid myndigheten i Bonn ingen oversikt over hva som egentlig burde tilhøre den: så langt er det bare nabomyndigheten i Bonn, Federal Office for Security «informasjon (BSI), om tallene for operatører av kritisk infrastruktur, siden BBK ikke er juridisk ansvarlig for dem, ifølge en talskvinne.

BBK og BSI vil være juridisk forpliktet til å samarbeide tett i fremtiden. I prinsippet gir dette mening: «Verden er ikke et fredens paradis der ingen prøver å bryte seg inn i en bygning for å ta bilder eller sage og slå av hele kommunikasjonsstrukturen for tusenvis av mennesker,» sa Konstantin von Notz, styreleder i den parlamentariske etterretningskomitéen. Tiltakene som er planlagt må imidlertid ikke koste for mye: «Når operatøren sikrer kritisk infrastruktur, må det finnes en balanse mellom økonomisk effektivitet og sannsynligheten for at risikoen inntreffer», indikerer en formulering tatt opp i hovedsaksdokumentet om Kritis Paraply Law etter en debatt i begynnelsen av desember ville.

Europeisk motstandskraft

EU-direktivet om motstandskraft for kritiske enheter (CER), som ble forhandlet frem i år sammen med det nye direktivet om nettverks- og informasjonssikkerhet (NIS2), viser hvordan sammenkoblede domener må være. CER-direktivet er den europeiske paraplyen for fremtidens tyske rammelov: energi, transport, banker, finansmarkedsinfrastruktur, helse, drikkevann og avløpsvann, digital infrastruktur og offentlig administrasjon samt operatører av romfartsinfrastruktur vil i fremtiden være godt dekket av CER og NIS2, så både fysiske og IT-sikkerhetskrav må tas i betraktning.

Imidlertid definerer REB bare minimumskravene. Individuelle medlemsland kan gå utover EUs sikkerhetskrav. I Tyskland vil for eksempel post- og budtjenester, avfallshåndtering, kjemisk industri, medisinsk utstyrsindustri, maskin- og kjøretøykonstruksjon samt alle store digitale tjenesteleverandører og institutter for forskning også være underlagt NIS2-spesifikasjoner i fremtiden. Det er også store matprodusenter, foredlere og handelsmenn samt skoler, barnehager og andre barnehager. Tilsynelatende har innenriksdepartementet nå lagt merke til at mange kritiske infrastrukturarbeidere ville være borte uten barnepass.

Plikt til å rapportere sikkerhetshendelser

Både NIS2 og CER fastsetter sikkerhetsnivåer som ennå ikke er definert. I mange tilfeller er dette standarder med sertifisert samsvar. I henhold til Kritis-rammeloven skal relevante sikkerhetshendelser i Tyskland rapporteres til BBK i fremtiden. Denne rapporteringsplikten er sammenlignbar med datasikkerhetshendelser med BSI.

Frykten for å være for avhengig av leverandører eller tjenesteleverandører fra problematiske tredjeland finnes også i begge direktivene. Akkurat som det nylig er nedfelt i IT-sikkerhetsloven at leverandøren skal søke om «kritiske komponenter» i kjernenett, legger EU også stor vekt på risikoklassifisering av avhengighet. I Tyskland har det nå utviklet seg en viss rutine innen telekommunikasjon: i samsvar med paragraf 9b i BSI-loven er det nå sendt inn seks søknader om første gangs bruk av kritiske komponenter – innenriksdepartementet, som ansvarlig testmyndighet, protesterte ikke mot tre forespørsler.

Reservestrøm til telefonstolper

Et annet eksempel viser hvor tett de to områdene er sammenvevd. de Federal Network Agency publiserte et strategisk notat på slutten av sommeren: «Resilience of telecommunications networks». Den beskriver ulike scenarier – for eksempel avbrudd i energiforsyningen, naturkatastrofer og pandemier, men også sabotasje, solstormer og krigshandlinger. For uten tilgjengelig telekommunikasjonsinfrastruktur forblir mange ting brakk.

Så, hva gjør vi? Hvis det ikke er nok strøm tilgjengelig, vurderer Federal Network Agency å bytte mobilnett slik at de kun sender i lavbåndsspekteret (700 til 900 MHz), som «av fysiske årsaker har lengre rekkevidde». Dette kan redusere energiforbruket til nettverkene vil.» Men mange master mangler nødstrømforsyning – batterier og solcelleanlegg kan øke driftssikkerheten, er håpet til operatøren og myndighetene fra Bonn.

Målet er «å øke motstandskraften til offentlige telekommunikasjonsnettverk og offentlig tilgjengelige telekommunikasjonstjenester med BSI,» sa en talsperson for Federal Network Agency til forespørselen. I tillegg til bedrifter og foreninger er BSI og Digitaldepartementet involvert. Hvem var uenig i prosessen: Federal Office for Civil Protection and Disaster Protection (BBK) – det vil si kontoret som i henhold til rammeloven skal koordinere fysisk sikkerhet i fremtiden.

Det er nettopp disse prosessene som angår profesjonsforeningene. Det er «nødvendig at prosessene som for tiden foregår i parallelle ansvarsområder skjer i koordinert handling mellom alle berørte departementer, myndighetene – spesielt Federal Network Agency, BSI og BBK – statene, kommunene og «økonomien», en sa talskvinne for Federal Energy and Water Management Association. «Dette er den eneste måten å sikre planleggingssikkerhet.»

Åpne kompetansespørsmål

Med alle ideene om mer robusthet av infrastrukturer som anses som kritiske, vil det ikke være noen klar suverenitet verken i Tyskland eller i Europa. Fordi det europeiske CER-direktivet overlater et stort handlingsrom til medlemslandene, forklarer Christer Pursiainen ved Institutt for sikkerhets- og utviklingspolitikk ved Universitetet i Tromsø i Norge. «Det gjenstår å se om nasjonale implementeringer vil være tilstrekkelig koordinert.»

Et eksempel på dette handlingsrommet er sanksjonsmekanismen: Det er opp til medlemsstatene å bestemme hvilke sanksjoner de ilegger ved brudd på reglene – den eneste betingelsen er at de er effektive, forholdsmessige og avskrekkende.

Hva den føderale regjeringen ikke tør: Sortere ansvaret i landet fra bunnen av. Hvorvidt Kritis-paraplyloven faktisk skaper mer trygghet er i det minste åpent for spørsmål. Hvorvidt dette oppfyller kravene og trusselsituasjonen vil bli diskutert intensivt de neste månedene: Trafikklyskoalisjonen ønsker å vedta loven neste sommer.

(gammel heks)