Am 29. Januar 2026 hat der Bundestag das KRITIS-Dachgesetz verabschiedet. Es setzt die EU-CER-Richtlinie zur Resilienz kritischer Einrichtungen in deutsches Recht um und führt für Betreiber weitreichende neue Pflichten ein – von Risikoanalysen über physische Schutzmaßnahmen bis hin zu einem verschärften Meldewesen. Während viele Details noch durch Rechtsverordnungen konkretisiert werden müssen, sollten betroffene Unternehmen bereits jetzt mit den Vorbereitungen beginnen.
Bundestag beschließt KRITIS-Dachgesetz
Der Deutsche Bundestag hat das KRITIS-Dachgesetz in zweiter und dritter Lesung beschlossen. Ziel des Gesetzes ist die Umsetzung der Richtlinie (EU) 2022/2557 zur Resilienz kritischer Einrichtungen. Die Gesetzesgrundlage bildet der Regierungsentwurf (Drucksache 21/2510) sowie die vom Innenausschuss eingebrachten Änderungen in der Beschlussempfehlung (Drucksache 21/3906).
Zusammenspiel mit NIS2 und DORA: eine klare Abgrenzung
Das KRITIS-Dachgesetz konzentriert sich auf die physische Resilienz kritischer Infrastrukturen. Cybersecurity-Anforderungen bleiben weiterhin in der NIS2-Systematik nach Richtlinie (EU) 2022/2555 verankert. Für den Finanzsektor gelten zusätzlich die Vorgaben zur digitalen operationellen Resilienz nach der Verordnung (EU) 2022/2554 (DORA). Um Doppelregulierungen zu vermeiden, sieht das Gesetz Bereichsausnahmen vor: Zentrale Betreiberpflichten gelten nicht für die Sektoren Finanzwesen sowie Informationstechnik und Telekommunikation.
Betroffene Sektoren: Wer muss handeln?
Das Gesetz erfasst Betreiber kritischer Anlagen in zehn Sektoren: Energie, Transport und Verkehr, Finanzwesen, Sozialversicherung und Grundsicherung, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung. Ob eine Anlage als kritisch eingestuft wird, entscheidet sich primär anhand von Schwellenwerten, die in einer KRITIS-Verordnung konkretisiert werden. Ergänzend können Behörden im Einzelfall Feststellungen treffen.
Eine fundierte Übersicht zu offenen Fragen bietet die Analyse von OpenKRITIS, insbesondere zur zeitlichen Roadmap der Verordnungen und zur behördlichen Zuständigkeitsverteilung.
Die zentralen Pflichten für Betreiber im Überblick
- Registrierung und Erreichbarkeit: Betreiber müssen sich registrieren und eine zentrale Kontaktstelle benennen. Nach den Änderungen des Ausschusses sind außerdem die Typen eingesetzter kritischer Komponenten zu melden – diese Information geht ausschließlich an das BSI.
- Risikoanalyse und Risikobewertung: Mindestens alle vier Jahre sowie bei Bedarf müssen Betreiber ihre Risiken analysieren und bewerten. Dabei sind insbesondere sektorübergreifende Abhängigkeiten von anderen Betreibern sowie die Bedeutung der eigenen Dienstleistung für andere Sektoren zu berücksichtigen.
- Resilienzmaßnahmen und Resilienzplan: Betreiber sind verpflichtet, verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zu ergreifen. Diese dienen dazu, Vorfälle zu verhindern, physischen Schutz zu gewährleisten, auf Störungen angemessen zu reagieren und kritische Dienstleistungen zügig wiederherzustellen. Das Gesetz nennt als Beispiele Notfallvorsorge, Krisenmanagement-Protokolle, Alarmverfahren, Personalsicherheitsaspekte, Schulungen und Übungen, Notstromversorgung sowie alternative Lieferketten. Diese Maßnahmen müssen in einem Resilienzplan dokumentiert und regelmäßig aktualisiert werden.
- Nachweise und Audits: Betreiber müssen die Umsetzung der Maßnahmen gegenüber den zuständigen Behörden nachweisen. Das Gesetz sieht hierfür auch Audits als mögliches Prüfinstrument vor.
- Meldewesen für Vorfälle: Sicherheitsrelevante Vorfälle sind unverzüglich zu melden – spätestens innerhalb von 24 Stunden nach Kenntniserlangung. Einen Monat nach der Erstmeldung ist ein detaillierter Folgebericht zu übermitteln. Die Meldung erfolgt an die gemeinsame Meldestelle nach BSI-Gesetz.
- Governance und Verantwortlichkeiten: Das Gesetz verankert explizite Umsetzungs- und Überwachungspflichten auf Ebene der Geschäftsleitung. Damit wird Resilienz als strategisches Managementthema fest etabliert.
Sanktionen: mehr als nur Compliance
Im parlamentarischen Ausschussverfahren wurden die Bußgeldrahmen deutlich verschärft. Je nach Art des Verstoßes drohen Geldbußen von bis zu 1.000.000 Euro. Die Umsetzung des KRITIS-Dachgesetzes ist damit weit mehr als eine reine Compliance-Frage – sie wird zu einem handfesten Risiko- und Haftungsthema für Unternehmensleitungen.
KRITISDachG – Häufig gestellte Fragen
Grundsätzlich tritt das Gesetz am Tag nach seiner Verkündung in Kraft. Einzelne Regelungen gelten jedoch erst zu späteren Zeitpunkten, und zahlreiche Details werden erst durch nachgelagerte Rechtsverordnungen konkretisiert.
Diese Sektoren fallen zwar in den Geltungsbereich des Gesetzes, zentrale Betreiberpflichten werden jedoch weitgehend ausgenommen. Der Grund: NIS2 und DORA geben bereits vergleichbare Pflichtenregime vor. Bestimmte strategische und unterstützende Regelungen können dennoch relevant bleiben.
Der Resilienzplan ist das zentrale Dokument. Er bündelt die getroffenen Maßnahmen, deren Begründung auf Basis der Risikoanalysen sowie die fortlaufende Aktualisierung – und bildet damit die Grundlage für behördliche Prüfungen.
Die Erstmeldung muss unverzüglich, spätestens jedoch binnen 24 Stunden nach Kenntniserlangung, erfolgen. Ein ausführlicher Folgebericht ist spätestens einen Monat nach der Erstmeldung vorzulegen.
Betroffenheit klären, interne Verantwortlichkeiten definieren, eine Gap-Analyse hinsichtlich der geforderten Resilienzmaßnahmen durchführen, Meldeprozesse und Dokumentationsstrukturen aufsetzen – und die Entwicklung der kommenden Rechtsverordnungen aktiv beobachten. Beginnen ein solides Business Continuity Management System zu implementieren.
