Manager
B.Sc. Informationsmanagement
Bundestag beschließt KRITIS-Dachgesetz (KRITISDachG): Was Betreiber kritischer Anlagen jetzt wissen müssen.
- KRITIS-Dachgesetz: Neuer Rechtsrahmen zur physischen Resilienz kritischer Infrastrukturen
- Anforderungen für Betreiber: Registrierung, Risikoanalyse, Resilienzmaßnahmen
- Überblick über Anwendungsbereich, Pflichten und aktuelle Umsetzung des Gesetzes
Kontaktieren Sie uns:
Jetzt Kontakt aufnehmen
Der Bundestag hat am Donnerstag, 29. Januar 2026 das KRITIS-Dachgesetz beschlossen. Damit setzt Deutschland die EUCER-Richtlinie in nationales Recht um und führt erstmals sektorenübergreifende Mindestvorgaben für den physischen Schutz kritischer Anlagen ein. Für Betreiber bedeutet das: Registrierung, Risikoanalysen, Resilienz-Pläne, Melde und Nachweispflichten – mit klaren Fristen und Aufsicht.
Einordnung und Zielsetzung
Kritische Infrastrukturen sichern zentrale Versorgungsleistungen – von Strom und Wasser über Gesundheitsversorgung bis zu Transport und Kommunikation. Der neue Rechtsrahmen richtet den Blick über die IT-Sicherheit hinaus auf alle Gefahrenlagen (Natur, Technik, menschliches Handeln) und etabliert ein kohärentes System für physische Resilienz, Meldewesen und behördliche Aufsicht. Grundlage ist die Richtlinie (EU) 2022/2557 (CER), deren Mindestvorgaben der deutsche Gesetzgeber mit dem KRITIS-Dachgesetz nun gebündelt umsetzt.
Anwendungsbereich und Begriffe – wer fällt darunter?
Das Gesetz adressiert Betreiber kritischer Anlagen in definierten Sektoren (u. a. Energie, Transport/Verkehr, Finanzwesen, Leistungen der Sozialversicherung/Grundsicherung, Gesundheitswesen, Wasser, Ernährung, IT & Telekommunikation, Weltraum, Siedlungsabfall). Kritisch ist eine Anlage, wenn sie für eine „kritische Dienstleistung“ erheblich ist. Maßgeblich ist grundsätzlich ein Regel‑Schwellenwert von 500.000 zu versorgenden Personen je Anlage; daneben fließen qualitative Kriterien wie Interdependenzen, Marktanteil und geografische Reichweite ein.
Pflichten für Betreiber – was konkret zu tun ist
Die folgenden Pflichten bilden den operativen Kern für betroffene Unternehmen. Sie geben einen schnellen Überblick, Details ergeben sich aus dem Gesetz und nachgelagerten Verordnungen.
Registrierung beim BBK
- Digitale Registrierung (gemeinsame Plattform BBK/BSI, voraussichtlich also das seit 06.01.2026 verfügbare BSI-Meldeportal), sobald die Anlage als kritisch gilt.
- Frist: spätestens 3 Monate nach Einstufung, jedoch frühestens bis einschließlich 17.07.2026
- Änderungen sind fortlaufend mitzuteilen.
Risikoanalyse und Risikobewertung
- Mindestens alle vier Jahre, bedarfsweise häufiger, ist eine Risikoanalyse mit anschließender Risikobewertung durchzuführen.
- Grundlage sind die nationalen Risikoanalysen sowie eigene Erkenntnisse des Betreibers. Berücksichtigt werden müssen Natur‑, technische und menschlich verursachte Gefahren sowie Interdependenzen innerhalb und zwischen Sektoren.
Resilienzmaßnahmen und Resilienzplan
- Maßnahmen müssen verhältnismäßig sein und vier Ziele abdecken:
- Vorfälle verhindern
- physischen Schutz sicherstellen
- reagieren/folgenbegrenzen
- Wiederherstellung gewährleisten
- Alle Maßnahmen sind in einem Resilienzplan zu dokumentieren und bei Bedarf zu aktualisieren (Vorlagen soll das BBK bereitstehen).
Meldewesen für Vorfälle
- Das Meldewesen und die Fristen von NIS-2 gelten:
- Erstmeldung müssen binnen 24 Stunden nach Kenntnis vorliegen.
- Aktualisierung sind bei Andauern notwendig.
- Ein ausführlicher Bericht muss binnen 1 Monat erfolgen.
- Meldungen müssen über ein gemeinsames Portal von BBK und BSI erfolgen
Nachweise, Audits, Aufsicht
- Betreiber müssen die Einhaltung ihrer Resilienzpflichten auf Verlangen nachweisen.
- Die Aufsicht kann Audits sowie risikobasierte Vor‑Ort‑Kontrollen anordnen und Mängelbeseitigungen innerhalb angemessener Fristen verlangen.
- Um Doppelaufwände zu vermeiden, dürfen zuständige Behörden – über das BBK – gezielt auf Teile der nach § 39 BSIG vorgelegten Nachweise zurückgreifen, soweit sie die physische Resilienz betreffen.
Aktueller Stand der Gesetzgebung
Der Bundestag hat das KRITIS-Dachgesetz am 29.01.2026 beschlossen; die weiteren formalen Schritte (Befassung des Bundesrats in der Schlussrunde/Verkündung im Bundesgesetzblatt) stehen an.
Wesentliche Änderungen im Gesetz im Vergleich zum Entwurf vom 03.11.2025 sind:
- Nationale Resilienzstrategie: Die Frist entfällt, stattdessen werden Erwägungen zu Transparenzpflichten enthalten sein. Es ist damit zu rechnen, dass Transparenzpflichten dadurch reduziert werden – zum Schutz der kritischen Infrastruktur.
- Nationale Risikoanalysen: Auch hier entfällt die verbindliche Frist; weiterhin sind die Rechtsverordnungen zur Methodik zustimmungspflichtig durch den Bundesrat.
- Auch sektorenübergreifende Mindestanforderungen per Verordnung benötigten ebenfalls eine Zustimmung im Bundesrat
- Länder können Betreiber unterhalb von Schwellenwerten mittels einer neuen Rechtsverordnung bestimmen, falls die zuständige Behörde eine Landesbehörde ist.
- Erhöhung der Geldbußen auf bis zu 1 Mio. EUR
Fazit: Was Unternehmen jetzt tun sollten
Betroffene Betreiber sollten kurzfristig ihre Betroffenheit gegen die Sektor‑/Dienstleistungsdefinitionen prüfen, Registrierungsdaten vorbereiten (inkl. Versorgungsgrad, Standorte, Kontaktstelle), die Methodik für physische Risikoanalysen (inkl. Interdependenzen) definieren, den Resilienzplan vorbereiten (mit Übungen/Schulungen) und Melde‑ sowie Nachweisprozesse organisatorisch fest verankern – unter Synchronisation mit bestehenden Pflichten aus BSIG/NIS2 bzw. DORA.
Eine aktive Mitarbeit an branchenweiten Standards kann sich lohnen, da anerkannte Standards sektorspezifische Verordnungen überflüssig machen können.