Am 10. September 2025 hat das Bundeskabinett den Gesetzentwurf zum KRITIS-Dachgesetz beschlossen, am 29. Januar 2026 hat es den deutschen Bundestag passiert und am 6. März 2026 hat auch der Bundesrat dem KRITIS Dachgesetz zugestimmt. Seit dem 16.03.2026 ist es nun auch offiziell in Kraft getreten und im Bundesgesetzblatt kommuniziert. Damit setzt Deutschland die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) um. Ziel ist ein bundeseinheitlicher Rahmen, um Betreiber kritischer Infrastrukturen besser gegen Störungen, Angriffe und Katastrophen abzusichern.

Kritische Infrastrukturen (KRITIS) sind dabei all jene Einrichtungen und Systeme, die für das Funktionieren von Staat, Wirtschaft und Gesellschaft unverzichtbar sind, von der Energie- und Wasserversorgung über das Gesundheitswesen bis hin zu Transport und digitalen Netzen. Fällt eine dieser Strukturen aus, kann dies gravierende Folgen für die öffentliche Sicherheit, die Versorgung der Bevölkerung und das wirtschaftliche Leben haben.

Die CER-Richtlinie ist bereits seit dem 17. Oktober 2024 in nationales Recht umzusetzen. Deutschland hatte diese Frist zunächst verfehlt. Mit dem KRITIS-Dachgesetz ist diese Umsetzung nun erfolgt.

Das KRITIS-Dachgesetz schließt eine Lücke: Während NIS-2 den Fokus auf die Cybersicherheit legt, adressiert dieses Gesetz vor allem die physische Resilienz kritischer Einrichtungen nach einem All-Gefahren-Ansatz. Der All-Gefahren-Ansatz bedeutet, dass alle Arten von Gefahren und Bedrohungen berücksichtigt werden müssen, die die Funktionsfähigkeit kritischer Infrastrukturen beeinträchtigen können, unabhängig von Ursache oder Auslöser. Es geht also nicht darum, nur einzelne Szenarien (z. B. Cyberangriffe) isoliert zu betrachten, sondern die gesamte Bandbreite möglicher Störungen in die Risikoanalyse einzubeziehen.

Betroffen sind nicht nur IT-Systeme, sondern auch Gebäude, Personal, Logistik und Versorgungsketten. Damit trägt das Gesetz zur Stärkung der staatlichen Sicherheitsarchitektur bei und macht Anforderungen für Betreiber transparenter und einheitlicher.

Welche Sektoren und Betreiber fallen unter das KRITIS-Dachgesetz?

Der Gesetzentwurf legt Sektoren fest, die als kritische Sektoren bezeichnet werden. Weitere Sektoren können durch Verordnungen ergänzt werden, wenn sie für die Versorgungssicherheit essenziell sind. Die definierten Sektoren sind: 

• Energie

• Transport und Verkehr

• Finanzwesen

• Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende

• Gesundheitswesen

• Wasser

• Ernährung

• Informationstechnik und Telekommunikation

• Weltraum

• Siedlungsabfallentsorgung

Ab wann gilt eine Anlage als kritisch?

Anlagen gelten als kritisch, wenn sie mehr als 500.000 Menschen mit essenziellen Diensten versorgen. Zusätzlich können Einrichtungen, die zwar kleiner, aber aufgrund ihrer Funktion systemrelevant sind, einbezogen werden. Betreiber müssen sich registrieren und eine jederzeit erreichbare Kontaktstelle einrichten.

Ausnahmen und besondere Regelungen

Das KRITIS-Dachgesetz gilt grundsätzlich für alle Betreiber kritischer Anlagen in den definierten Sektoren. Allerdings sieht der aktuelle Entwurf auch Ausnahmen und Sonderregelungen vor. So unterliegen bestimmte Bereiche wie Finanzwesen und Versicherungen primär der europäischen DORA-Verordnung, während Teile der Informations- und Telekommunikationsinfrastruktur sowie die Entsorgung und die Sozialversicherung nur eingeschränkt reguliert werden. Auch für die Bundesverwaltung gelten Sonderregeln: Einrichtungen, die ausschließlich Aufgaben in den Bereichen nationale Sicherheit, Verteidigung oder Strafverfolgung wahrnehmen, sind weitgehend ausgenommen. Diese differenzierten Regelungen sollen Überschneidungen vermeiden und bestehende branchenspezifische Gesetze berücksichtigen.

• Risikoanalysen und Resilienzpläne: Betreiber müssen regelmäßige Risikoanalysen durchführen, die alle Gefährdungen berücksichtigen, von Naturkatastrophen über Terroranschläge bis zu Lieferkettenunterbrechungen. Darauf aufbauend ist ein Resilienzplan zu erstellen, der technische, organisatorische und bauliche Maßnahmen bündelt.

• Physische und organisatorische Sicherheitsmaßnahmen: Gefordert werden bauliche Schutzmaßnahmen, Zugangskontrollen, Schutz kritischer Anlagenkomponenten sowie Personal- und Awarenessprogramme. Ziel ist es, sowohl präventive Schutzmaßnahmen als auch Notfallvorsorge umzusetzen.

• Meldepflichten bei Störungen und Krisen: Erhebliche Störungen müssen unverzüglich gemeldet werden. In der Regel gilt: Erstmeldung innerhalb von 24 Stunden, ein vollständiger Bericht innerhalb eines Monats. So sollen Behörden frühzeitig reagieren können.

• Aufsicht, Registrierung und Kontaktstellen: Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übernimmt die zentrale Aufsicht in Zusammenarbeit mit dem BSI und sektoralen Aufsichtsbehörden. Betreiber müssen sich registrieren und eine ständig erreichbare Kontaktstelle einrichten. Bei Verstößen drohen Bußgelder.

Verantwortung der Geschäftsleitung

Besonders hervorzuheben ist die persönliche Verantwortung der Geschäftsleitung. Nach § 20 des Entwurfs müssen Geschäftsführer und Vorstände sicherstellen, dass die Resilienzmaßnahmen im Unternehmen umgesetzt werden. Dazu gehören die Einrichtung geeigneter Organisationsstrukturen, die klare Zuweisung von Verantwortlichkeiten sowie die Kontrolle der Einhaltung. Bei Pflichtverletzungen drohen nicht nur Bußgelder für das Unternehmen, sondern auch eine Haftung der Leitungsebene nach Gesellschaftsrecht oder spezialgesetzlichen Vorgaben.

Nachweis- und Prüfungspflichten

Betreiber müssen künftig nachweisen, dass sie die geforderten Risikoanalysen und Resilienzmaßnahmen umgesetzt haben. Dazu gehört die Dokumentation in Form von Resilienzplänen, die auf Aufforderung der Aufsichtsbehörden vorzulegen sind. Das BBK und andere zuständige Stellen können diese Nachweise prüfen, Audits anordnen und im Bedarfsfall auch Vor-Ort-Kontrollen durchführen. Für den Energiesektor gelten abweichende Vorgaben: Hier wird das Energiewirtschaftsgesetz (EnWG) um entsprechende Nachweisregelungen ergänzt. Grundsätzlich verfolgt die Aufsicht einen risikobasierten Ansatz, bei dem besonders gefährdete Betreiber intensiver kontrolliert werden.

Zeitplan: Fristen und Übergangsregelungen für Betreiber

Die CER-Richtlinie ist auf EU-Ebene am 16. Januar 2023 in Kraft getreten. Die Umsetzungsfrist in nationales Recht endete mit dem 17. Oktober 2024 wurde von Deutschland nicht eingehalten. Mit der verspäteten, inzwischen aber abgeschlossenen nationalen Umsetzung der CER-Richtlinie durch das KRITIS-Dachgesetz verschiebt sich der Fokus für Betreiber kritischer Anlagen deutlich: Weg von der regulatorischen Beobachtung, hin zur konkreten Umsetzung. Entscheidend sind jetzt belastbare Resilienzmaßnahmen, klare Verantwortlichkeiten und eine nachvollziehbare Dokumentation der getroffenen Vorkehrungen.

Konkrete Umsetzungsfristen für Betreiber

Das KRITIS-Dachgesetz sieht neben der allgemeinen CER-Umsetzungsfrist auch detaillierte Übergangsfristen vor:

• Registrierung als Betreiber: innerhalb von drei Monaten nachdem die Anlage als kritisch gilt, frühestens aber ab dem 17.06.2026

• Risikoanalyse: spätestens neun Monate nach Registrierung

• Resilienzmaßnahmen, Resilienzplan und Meldewesen: spätestens zehn Monate nach Registrierung 

Welche Behörden überwachen die Umsetzung?

Die Aufsicht über das KRITIS-Dachgesetz ist auf mehrere Schultern verteilt und folgt einer föderalen Aufsichtsstruktur. Ziel ist es, die Verantwortung sektorspezifisch zu bündeln und gleichzeitig eine nationale Koordination sicherzustellen.

• Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK): Das BBK übernimmt die Rolle der nationalen Resilienzbehörde und ist für die Gesamtkoordination zuständig. Es stellt Leitlinien, Vorlagen und Beratung bereit und ist zentrale Anlaufstelle für Meldungen.

• Bundesamt für Sicherheit in der Informationstechnik (BSI): Zuständig für die digitale Infrastruktur. Es kontrolliert, ob die Anforderungen im Bereich Telekommunikation und Datenverarbeitung eingehalten werden.

• Bundesnetzagentur (BNetzA): Übernimmt die Aufsicht im Energie- und Telekommunikationssektor (Strom, Gas, Wasserstoff, TK-Dienste).

• BaFin: Reguliert den Finanzmarkt und achtet auf die Einhaltung der DORA-Verordnung sowie der Schnittstellen zum KRITIS-Dachgesetz.

• Eisenbahn-Bundesamt und weitere Fachbehörden: Übernehmen die Kontrolle im Verkehrssektor (z. B. Eisenbahnverkehr, Schifffahrt, Luftfahrt).

• Landesbehörden: Für die Sektoren Gesundheit, Wasser, Ernährung und Abfallwirtschaft liegt die Aufsicht bei den zuständigen Landesministerien und Behörden.

Damit ergibt sich ein Mehrebenen-System, in dem BBK und BSI die übergreifende Koordination sicherstellen, während Fach- und Landesbehörden die Aufsicht in ihren Bereichen übernehmen. Für Betreiber bedeutet das, dass sie sich, abhängig von Branche und Standort, auf verschiedene Aufsichtskanäle einstellen müssen.

Während die NIS-2-Richtlinie in erster Linie die Sicherheit von Netz- und Informationssystemen reguliert und damit den Fokus auf den Schutz vor Cyberangriffen, IT-Ausfällen und Datenmanipulation legt, setzt das KRITIS-Dachgesetz an einer anderen Stelle an. Es ergänzt die rein digitale Perspektive um verbindliche Anforderungen an die physische Resilienz kritischer Einrichtungen. Dazu gehören bauliche Schutzmaßnahmen, Zutrittskontrollen, organisatorische Vorkehrungen und Notfallpläne, die sicherstellen sollen, dass kritische Dienstleistungen auch bei Naturkatastrophen, Sabotage oder Versorgungsengpässen aufrechterhalten werden können.

Für viele Betreiber bedeutet dies, dass sie künftig mehrere Regulierungsrahmen parallel erfüllen müssen: NIS-2 für den digitalen Bereich, das KRITIS-Dachgesetz für den physischen Schutz und – je nach Sektor – weitere Gesetze wie die DORA-Verordnung für Finanzunternehmen oder das Energiewirtschaftsgesetz (EnWG) für Betreiber im Energiesektor. Gerade deshalb ist es entscheidend, Synergien zwischen den verschiedenen Vorgaben zu nutzen. Ein integrierter Ansatz verhindert Doppelarbeit und erhöht die Effizienz. So lassen sich etwa Informationssicherheitsmanagementsysteme (ISMS), die für NIS-2 ohnehin erforderlich sind, mit den Anforderungen an Risikoanalysen, Resilienzpläne und Meldeprozesse aus dem KRITIS-Dachgesetz verbinden. Auf diese Weise entsteht ein ganzheitliches Sicherheits- und Resilienzmanagement, das digitale, physische und branchenspezifische Risiken gemeinsam adressiert und gleichzeitig die Nachweisführung gegenüber den Behörden erleichtert.

Mit dem KRITIS-Dachgesetz steigen für Betreiber kritischer Anlagen nicht nur die regulatorischen Anforderungen auf übergeordneter Ebene. Besonders relevant für die praktische Umsetzung ist § 13, denn dieser Paragraph konkretisiert die Resilienzpflichten im Betrieb. Er macht deutlich, dass physischer Schutz, Überwachung, Detektion, Reaktionsfähigkeit und dokumentierte Maßnahmenplanung keine optionalen Einzelmaßnahmen mehr sind, sondern Bestandteil eines systematischen Resilienzansatzes.

§ 13 des KRITIS-Dachgesetzes konkretisiert die Resilienzpflichten von Betreibern kritischer Anlagen. Betreiber müssen Maßnahmen treffen, um Vorfälle zu verhindern, kritische Anlagen und Liegenschaften physisch angemessen zu schützen, auf Störungen wirksam zu reagieren und die betroffene kritische Dienstleistung nach einem Vorfall zügig wiederherzustellen. Die Maßnahmen müssen risikobasiert, verhältnismäßig und am Stand der Technik orientiert sein. Grundlage sind nationale Risikoanalysen sowie die individuelle Risikoanalyse des Betreibers. Welche Maßnahmen konkret erforderlich sind, hängt daher von Risiko, Kritikalität der Anlage und den wirtschaftlichen Rahmenbedingungen ab.

§ 13 nennt dafür insbesondere Notfallvorsorge, baulichen, technischen und organisatorischen Objektschutz, Überwachung der Umgebung, Detektionsgeräte, Zugangskontrollen, Risiko- und Krisenmanagementverfahren, Abläufe im Alarmfall, Maßnahmen zur Aufrechterhaltung des Betriebs sowie Vorkehrungen für eine schnellere Wiederaufnahme der Dienstleistung. Auch Sicherheitsmanagement für Mitarbeitende und externe Dienstleister sowie Schulungen und Übungen sind ausdrücklich Teil der Anforderungen.

Eine zentrale Vorgabe ist zudem der Resilienzplan. Betreiber müssen ihre Maßnahmen dokumentieren, anwenden und regelmäßig aktualisieren. Der Plan muss nachvollziehbar machen, auf welchen Risikoüberlegungen die Maßnahmen beruhen und wie sie zur Resilienz der kritischen Anlage beitragen.

Besonders relevant für technische Lösungen sind damit die in § 13 ausdrücklich genannten Anforderungen rund um Objektschutz, Überwachung, Detektion und Reaktionsfähigkeit.

PHYSEC SEAL im Kontext des KRITIS-Dachgesetzes

PHYSEC SEAL unterstützt Betreiber kritischer Infrastrukturen dabei, die physische Integrität von Anlagen und Komponenten zu überwachen, Manipulationen frühzeitig zu erkennen und sicherheitsrelevante Ereignisse nachvollziehbar zu dokumentieren. Damit adressiert die Lösung insbesondere Anforderungen, die im Kontext des KRITIS-Dachgesetzes besonders relevant sind: Überwachung, Detektion und Nachweisfähigkeit.

SEAL ist dabei kein isoliertes Einzelsystem, sondern ein ergänzender Baustein innerhalb einer ganzheitlichen Sicherheitsarchitektur. Während klassische Systeme den Zugang zu Objekten regeln oder das Umfeld absichern, schafft SEAL eine zusätzliche Ebene: die Integritätsprüfung kritischer Infrastruktur selbst. So werden sicherheitsrelevante Veränderungen dort sichtbar, wo herkömmliche Schutzsysteme oft keine ausreichende Transparenz bieten.

• Überwachung kritischer Assets und Umgebungen: Gerade bei verteilten, dezentralen oder schwer zugänglichen Anlagen ist eine rein manuelle Kontrolle aufwendig. SEAL ermöglicht eine kontinuierliche beziehungsweise zustandsbasierte Überwachung und schafft so mehr Transparenz über den tatsächlichen Sicherheitszustand.

• Detektion physischer Manipulationen: Eine wesentliche Stärke von SEAL liegt in der frühzeitigen Erkennung physischer Eingriffe, unautorisierter Zugriffe und sicherheitsrelevanter Veränderungen. Damit wird eine Sicherheitslücke geschlossen, die zwischen klassischem Objektschutz und IT-Sicherheitsmonitoring häufig bestehen bleibt.

• Revisionsfähige Ereignisprotokollierung: Für Betreiber ist nicht nur entscheidend, dass ein Vorfall erkannt wird, sondern auch, dass dieser nachvollziehbar dokumentiert werden kann. SEAL unterstützt mit einer zeitgestempelten, auditierbaren Ereignis- und Zustandsprotokollierung und verbessert damit die Nachweisfähigkeit gegenüber Auditoren, Prüfinstanzen und Behörden.

Wo ergänzende Maßnahmen weiterhin erforderlich sind

PHYSEC SEAL deckt insbesondere Anforderungen rund um Überwachung, Manipulationserkennung und Auditfähigkeit ab. Andere Pflichtbereiche des KRITIS-Dachgesetzes müssen weiterhin durch ergänzende technische und organisatorische Maßnahmen umgesetzt werden. Dazu zählen insbesondere Zutrittssteuerung und Identitätsprüfung, baulicher und perimetrischer Objektschutz, Business Continuity Management, organisatorisches Risikomanagement sowie Lieferketten-, Personal- und Schulungsprozesse.

SEAL ist damit kein Ersatz für ein vollständiges KRITIS-Resilienzmanagement, sondern ein spezialisierter Baustein, der eine bislang häufig unzureichend abgedeckte Ebene physischer Sicherheit ergänzt.

1. Gap-Analyse starten: Der erste Schritt sollte eine systematische Bestandsaufnahme sein. Welche Strukturen, Prozesse und Schutzmaßnahmen existieren bereits, und in welchen Bereichen gibt es Abweichungen zu den Anforderungen der CER-Richtlinie und des KRITIS-Dachgesetzes? Dazu gehört auch die Analyse bestehender Dokumentationen, Notfall- und Krisenpläne sowie interner Verantwortlichkeiten. Eine Gap-Analyse schafft Klarheit über den Handlungsbedarf und hilft, Prioritäten zu setzen.

2. Risikobewertungen aktualisieren: Betreiber sollten ihre Risikoanalysen nicht nur auf klassische Gefahren wie Naturkatastrophen oder technische Ausfälle beschränken, sondern auch Abhängigkeiten von Drittanbietern und Lieferketten berücksichtigen. Gerade in der Energie- und Wasserversorgung können externe Partner oder Subunternehmer kritische Schwachstellen darstellen. Eine belastbare Risikoanalyse sollte physische, digitale und organisatorische Risiken zusammenführen.

3. Resilienzplan operativ ausarbeiten: Auf Basis der Risikobewertung sollte der Resilienzplan konkretisiert und in die Praxis überführt werden. Entscheidend ist, dass technische, bauliche und organisatorische Maßnahmen nicht nur dokumentiert, sondern auch mit Zuständigkeiten, Abläufen und Nachweisen hinterlegt sind. Der Resilienzplan sollte damit sowohl als internes Steuerungsinstrument als auch als belastbare Grundlage gegenüber Aufsichtsbehörden dienen.

4. Meldeprozesse einüben: Die Meldepflichten sehen kurze Fristen vor. Betreiber sollten diese Prozesse vorab simulieren, damit Informationen im Ereignisfall rechtzeitig gesammelt, bewertet und weitergegeben werden können. Sinnvoll sind Probeläufe, die sowohl technische Abläufe als auch organisatorische Aspekte wie Alarmierung, Eskalation und Verantwortlichkeiten abdecken.

5. Umsetzungs- und Rechtsmonitoring etablieren: Das KRITIS-Dachgesetz ist inzwischen beschlossen, vom Bundesrat gebilligt und seit dem 17. März 2026 in Kraft. Für Betreiber geht es deshalb nicht mehr um die Beobachtung des parlamentarischen Verfahrens, sondern um die konkrete Umsetzung und das laufende Monitoring weiterer Detailregelungen, Fristen, Konkretisierungen und branchenspezifischer Anforderungen. Ein kontinuierliches Rechts- und Umsetzungsmonitoring hilft dabei, Maßnahmen aktuell zu halten und neue Vorgaben frühzeitig zu berücksichtigen. 
    

Buchen Sie jetzt eine unverbindliche Beratung.