Der Deutsche Bundestag hat das KRITIS-Dachgesetz (KRITISDachG) verabschiedet, der Bundesrat hat am 6. März 2026 zugestimmt. Mit dem Gesetz werden erstmals bundesweit einheitliche Mindeststandards für den physischen Schutz kritischer Infrastrukturen verbindlich – ein Schritt, der für Betreiber in zehn Sektoren erheblichen Umsetzungsaufwand bedeutet und auch für Banken und Finanzdienstleister mit entsprechenden Infrastrukturberührungspunkten relevant ist.
Hintergrund: CER-Richtlinie als europäische Grundlage
Das KRITIS-Dachgesetz setzt die EU-Richtlinie CER (EU) 2022/2557 in nationales Recht um. Die Richtlinie verpflichtet die Mitgliedstaaten, kritische Einrichtungen in mindestens zehn Sektoren – darunter Energie, Transport, Gesundheit, Wasser und IT – besser gegen Naturkatastrophen, technische Störungen und vorsätzliche Angriffe zu schützen. Regelungen zur Cybersicherheit sind ausdrücklich nicht Teil des KRITIS-Dachgesetzes; diese wurden bereits durch das NIS-2-Umsetzungsgesetz geregelt, das am 6. Dezember 2025 in Kraft getreten ist.
Anwendungsbereich: Wer ist betroffen?
Voraussetzung ist, dass eine Einrichtung essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Personen versorgt. Damit wird ein bundeseinheitlicher Regelschwellenwert eingeführt, der die Identifizierung kritischer Infrastrukturen sektorübergreifend vereinheitlicht.
Die konkrete Ausgestaltung und weitere Differenzierungen erfolgen durch eine noch zu erlassende Rechtsverordnung, die sektorspezifische Kriterien (z. B. Kapazitäten oder Versorgungsgrade) festlegt.
Darüber hinaus besteht die Möglichkeit, im Einzelfall weitere Einrichtungen als kritisch einzustufen, wenn dies für die Versorgungssicherheit erforderlich ist.
Pflichten für Betreiber kritischer Anlagen
Das Gesetz begründet einen mehrstufigen Umsetzungsprozess mit folgenden Kernelementen:
- Registrierung: Betreiber kritischer Anlagen sind künftig zur Registrierung verpflichtet.
- Risikobewertungen und Resilienz-Pläne: Regelmäßige Risikoanalysen sowie die Erstellung von Resilienz-Plänen werden zur Pflicht.
- Physische Schutzmaßnahmen: Betreiber müssen angemessene technische, organisatorische und bauliche Maßnahmen ergreifen, um Ausfälle zu verhindern, auf Störungen zu reagieren und die schnelle Wiederherstellung der Versorgung zu gewährleisten.
- Meldepflichten: Erhebliche Störungen müssen binnen 24 Stunden an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeldet werden. Dazu wird eine zentrale digitale Meldeplattform gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtet.
- Branchenspezifische Standards: Wirtschaftsverbände können eigene Resilienz-Standards entwickeln, die vom BBK anerkannt werden können.
Aufsicht und Sanktionen
Die Einhaltung der gesetzlichen Vorgaben wird behördlich überprüft. Bei Verstößen drohen Bußgelder von bis zu einer Million Euro – im parlamentarischen Verfahren wurde der ursprünglich vorgesehene Höchstbetrag von 500.000 Euro verdoppelt. Ebenfalls im Verfahren ergänzt wurden Regelungen zu Transparenzpflichten für kritische Infrastrukturen in der KRITIS-Resilienz-Strategie sowie Konkretisierungen beim Meldewesen, insbesondere bei der Erstellung von Lagebildern durch das BBK.
Inkrafttreten und Umsetzungsaufwand
Das Gesetz soll überwiegend am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Für Wirtschaft und Verwaltung wird laut Bundestag mit erheblichem Umsetzungsaufwand gerechnet.
Veröffentlicht in Aktuelle Themen