Am 10. September 2025 hat das Bundeskabinett den Gesetzentwurf zum KRITIS-Dachgesetz beschlossen. Damit setzt Deutschland die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) um. Ziel ist ein bundeseinheitlicher Rahmen, um Betreiber kritischer Infrastrukturen besser gegen Störungen, Angriffe und Katastrophen abzusichern.

Kritische Infrastrukturen (KRITIS) sind dabei all jene Einrichtungen und Systeme, die für das Funktionieren von Staat, Wirtschaft und Gesellschaft unverzichtbar sind, von der Energie- und Wasserversorgung über das Gesundheitswesen bis hin zu Transport und digitalen Netzen. Fällt eine dieser Strukturen aus, kann dies gravierende Folgen für die öffentliche Sicherheit, die Versorgung der Bevölkerung und das wirtschaftliche Leben haben.

Die CER-Richtlinie ist seit Oktober 2024 verbindlich, Deutschland hinkte bislang hinterher. Mit dem Dachgesetz startet nun die parlamentarische Umsetzung. Für Betreiber bedeutet dies, dass sie konkrete Maßnahmen ergreifen müssen.

Wichtig: Bei dem nun vorliegenden Entwurf handelt es sich um den aktuellen Stand der Gesetzgebung. Im weiteren parlamentarischen Verfahren können Änderungen, Konkretisierungen oder Ergänzungen vorgenommen werden, bevor das Dachgesetz endgültig verabschiedet wird. Betreiber kritischer Infrastrukturen sollten die Entwicklung daher aufmerksam verfolgen, um frühzeitig auf neue Pflichten reagieren zu können.

Das KRITIS-Dachgesetz schließt eine Lücke: Während NIS-2 den Fokus auf die Cybersicherheit legt, adressiert dieses Gesetz vor allem die physische Resilienz kritischer Einrichtungen nach einem All-Gefahren-Ansatz. Der All-Gefahren-Ansatz bedeutet, dass alle Arten von Gefahren und Bedrohungen berücksichtigt werden müssen, die die Funktionsfähigkeit kritischer Infrastrukturen beeinträchtigen können, unabhängig von Ursache oder Auslöser. Es geht also nicht darum, nur einzelne Szenarien (z. B. Cyberangriffe) isoliert zu betrachten, sondern die gesamte Bandbreite möglicher Störungen in die Risikoanalyse einzubeziehen.

Betroffen sind nicht nur IT-Systeme, sondern auch Gebäude, Personal, Logistik und Versorgungsketten. Damit trägt das Gesetz zur Stärkung der staatlichen Sicherheitsarchitektur bei und macht Anforderungen für Betreiber transparenter und einheitlicher.

Welche Sektoren und Betreiber fallen unter das KRITIS-Dachgesetz?

Der Gesetzentwurf legt Sektoren fest, die als kritische Sektoren bezeichnet werden. Weitere Sektoren können durch Verordnungen ergänzt werden, wenn sie für die Versorgungssicherheit essenziell sind. Die definierten Sektoren sind: 

• Energie

• Transport und Verkehr

• Finanzwesen

• Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende

• Gesundheitswesen

• Wasser

• Ernährung

• Informationstechnik und Telekommunikation

• Weltraum

• Siedlungsabfallentsorgung

Ab wann gilt eine Anlage als kritisch?

Anlagen gelten als kritisch, wenn sie mehr als 500.000 Menschen mit essenziellen Diensten versorgen. Zusätzlich können Einrichtungen, die zwar kleiner, aber aufgrund ihrer Funktion systemrelevant sind, einbezogen werden. Betreiber müssen sich registrieren und eine jederzeit erreichbare Kontaktstelle einrichten.

Ausnahmen und besondere Regelungen

Das KRITIS-Dachgesetz gilt grundsätzlich für alle Betreiber kritischer Anlagen in den definierten Sektoren. Allerdings sieht der aktuelle Entwurf auch Ausnahmen und Sonderregelungen vor. So unterliegen bestimmte Bereiche wie Finanzwesen und Versicherungen primär der europäischen DORA-Verordnung, während Teile der Informations- und Telekommunikationsinfrastruktur sowie die Entsorgung und die Sozialversicherung nur eingeschränkt reguliert werden. Auch für die Bundesverwaltung gelten Sonderregeln: Einrichtungen, die ausschließlich Aufgaben in den Bereichen nationale Sicherheit, Verteidigung oder Strafverfolgung wahrnehmen, sind weitgehend ausgenommen. Diese differenzierten Regelungen sollen Überschneidungen vermeiden und bestehende branchenspezifische Gesetze berücksichtigen.

• Risikoanalysen und Resilienzpläne: Betreiber müssen regelmäßige Risikoanalysen durchführen, die alle Gefährdungen berücksichtigen, von Naturkatastrophen über Terroranschläge bis zu Lieferkettenunterbrechungen. Darauf aufbauend ist ein Resilienzplan zu erstellen, der technische, organisatorische und bauliche Maßnahmen bündelt.

• Physische und organisatorische Sicherheitsmaßnahmen: Gefordert werden bauliche Schutzmaßnahmen, Zugangskontrollen, Schutz kritischer Anlagenkomponenten sowie Personal- und Awarenessprogramme. Ziel ist es, sowohl präventive Schutzmaßnahmen als auch Notfallvorsorge umzusetzen.

• Meldepflichten bei Störungen und Krisen: Erhebliche Störungen müssen unverzüglich gemeldet werden. In der Regel gilt: Erstmeldung innerhalb von 24 Stunden, ein vollständiger Bericht innerhalb eines Monats. So sollen Behörden frühzeitig reagieren können.

• Aufsicht, Registrierung und Kontaktstellen: Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übernimmt die zentrale Aufsicht in Zusammenarbeit mit dem BSI und sektoralen Aufsichtsbehörden. Betreiber müssen sich registrieren und eine ständig erreichbare Kontaktstelle einrichten. Bei Verstößen drohen Bußgelder.

Verantwortung der Geschäftsleitung

Besonders hervorzuheben ist die persönliche Verantwortung der Geschäftsleitung. Nach § 20 des Entwurfs müssen Geschäftsführer und Vorstände sicherstellen, dass die Resilienzmaßnahmen im Unternehmen umgesetzt werden. Dazu gehören die Einrichtung geeigneter Organisationsstrukturen, die klare Zuweisung von Verantwortlichkeiten sowie die Kontrolle der Einhaltung. Bei Pflichtverletzungen drohen nicht nur Bußgelder für das Unternehmen, sondern auch eine Haftung der Leitungsebene nach Gesellschaftsrecht oder spezialgesetzlichen Vorgaben.

Nachweis- und Prüfungspflichten

Betreiber müssen künftig nachweisen, dass sie die geforderten Risikoanalysen und Resilienzmaßnahmen umgesetzt haben. Dazu gehört die Dokumentation in Form von Resilienzplänen, die auf Aufforderung der Aufsichtsbehörden vorzulegen sind. Das BBK und andere zuständige Stellen können diese Nachweise prüfen, Audits anordnen und im Bedarfsfall auch Vor-Ort-Kontrollen durchführen. Für den Energiesektor gelten abweichende Vorgaben: Hier wird das Energiewirtschaftsgesetz (EnWG) um entsprechende Nachweisregelungen ergänzt. Grundsätzlich verfolgt die Aufsicht einen risikobasierten Ansatz, bei dem besonders gefährdete Betreiber intensiver kontrolliert werden.

Zeitplan: Fristen und Übergangsregelungen für Betreiber

Die CER-Richtlinie ist auf EU-Ebene am 16. Januar 2023 in Kraft getreten. Die Umsetzungsfrist in nationales Recht endete mit dem 17. Oktober 2024 und wurde von Deutschland nicht eingehalten. Spätestens bis zum 17. Juli 2026 müssen nun alle kritischen Einrichtungen identifiziert sein. Das KRITIS-Dachgesetz tritt in Kraft, sobald es von Bundestag und Bundesrat verabschiedet und anschließend im Bundesgesetzblatt verkündet wurde. Welche Übergangsfristen im Detail gelten, wird erst im weiteren parlamentarischen Verfahren festgelegt und kann je nach Sektor unterschiedlich ausfallen.

Konkrete Umsetzungsfristen für Betreiber

Das KRITIS-Dachgesetz sieht neben der allgemeinen CER-Umsetzungsfrist auch detaillierte Übergangsfristen vor:

• Registrierung als Betreiber: innerhalb von drei Monaten nachdem die Anlage als kritisch gilt, frühestens aber ab dem 17.06.202

• Risikoanalyse: spätestens neun Monate nach Registrierung

• Resilienzmaßnahmen, Resilienzplan und Meldewesen: spätestens zehn Monate nach Registrierung (Damit bleibt Unternehmen zwar etwas Vorbereitungszeit, dennoch empfiehlt es sich, bereits jetzt mit der Planung zu beginnen, um die knappen Fristen einzuhalten.)

Welche Behörden überwachen die Umsetzung?

Die Aufsicht über das KRITIS-Dachgesetz ist auf mehrere Schultern verteilt und folgt einer föderalen Aufsichtsstruktur. Ziel ist es, die Verantwortung sektorspezifisch zu bündeln und gleichzeitig eine nationale Koordination sicherzustellen.

• Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK): Das BBK übernimmt die Rolle der nationalen Resilienzbehörde und ist für die Gesamtkoordination zuständig. Es stellt Leitlinien, Vorlagen und Beratung bereit und ist zentrale Anlaufstelle für Meldungen.

• Bundesamt für Sicherheit in der Informationstechnik (BSI): Zuständig für die digitale Infrastruktur. Es kontrolliert, ob die Anforderungen im Bereich Telekommunikation und Datenverarbeitung eingehalten werden.

• Bundesnetzagentur (BNetzA): Übernimmt die Aufsicht im Energie- und Telekommunikationssektor (Strom, Gas, Wasserstoff, TK-Dienste).

• BaFin: Reguliert den Finanzmarkt und achtet auf die Einhaltung der DORA-Verordnung sowie der Schnittstellen zum KRITIS-Dachgesetz.

• Eisenbahn-Bundesamt und weitere Fachbehörden: Übernehmen die Kontrolle im Verkehrssektor (z. B. Eisenbahnverkehr, Schifffahrt, Luftfahrt).

• Landesbehörden: Für die Sektoren Gesundheit, Wasser, Ernährung und Abfallwirtschaft liegt die Aufsicht bei den zuständigen Landesministerien und Behörden.

Damit ergibt sich ein Mehrebenen-System, in dem BBK und BSI die übergreifende Koordination sicherstellen, während Fach- und Landesbehörden die Aufsicht in ihren Bereichen übernehmen. Für Betreiber bedeutet das, dass sie sich, abhängig von Branche und Standort, auf verschiedene Aufsichtskanäle einstellen müssen.

Während die NIS-2-Richtlinie in erster Linie die Sicherheit von Netz- und Informationssystemen reguliert und damit den Fokus auf den Schutz vor Cyberangriffen, IT-Ausfällen und Datenmanipulation legt, setzt das KRITIS-Dachgesetz an einer anderen Stelle an. Es ergänzt die rein digitale Perspektive um verbindliche Anforderungen an die physische Resilienz kritischer Einrichtungen. Dazu gehören bauliche Schutzmaßnahmen, Zutrittskontrollen, organisatorische Vorkehrungen und Notfallpläne, die sicherstellen sollen, dass kritische Dienstleistungen auch bei Naturkatastrophen, Sabotage oder Versorgungsengpässen aufrechterhalten werden können.

Für viele Betreiber bedeutet dies, dass sie künftig mehrere Regulierungsrahmen parallel erfüllen müssen: NIS-2 für den digitalen Bereich, das KRITIS-Dachgesetz für den physischen Schutz und – je nach Sektor – weitere Gesetze wie die DORA-Verordnung für Finanzunternehmen oder das Energiewirtschaftsgesetz (EnWG) für Betreiber im Energiesektor. Gerade deshalb ist es entscheidend, Synergien zwischen den verschiedenen Vorgaben zu nutzen. Ein integrierter Ansatz verhindert Doppelarbeit und erhöht die Effizienz. So lassen sich etwa Informationssicherheitsmanagementsysteme (ISMS), die für NIS-2 ohnehin erforderlich sind, mit den Anforderungen an Risikoanalysen, Resilienzpläne und Meldeprozesse aus dem KRITIS-Dachgesetz verbinden. Auf diese Weise entsteht ein ganzheitliches Sicherheits- und Resilienzmanagement, das digitale, physische und branchenspezifische Risiken gemeinsam adressiert und gleichzeitig die Nachweisführung gegenüber den Behörden erleichtert.

1. Gap-Analyse starten: Der erste Schritt sollte eine systematische Bestandsaufnahme sein. Welche Strukturen, Prozesse und Schutzmaßnahmen existieren bereits, und in welchen Bereichen gibt es Abweichungen zu den Anforderungen der CER-Richtlinie und des KRITIS-Dachgesetzes? Dazu gehört auch die Analyse von Dokumentationen, bestehenden Notfall- und Krisenplänen sowie internen Verantwortlichkeiten. Eine Gap-Analyse schafft Klarheit über Handlungsbedarf und ermöglicht es, Prioritäten zu setzen.

2. Risikobewertungen aktualisieren: Betreiber sollten ihre Risikoanalysen nicht nur auf klassische Bedrohungen wie Naturkatastrophen oder technische Ausfälle beschränken, sondern auch Abhängigkeiten von Drittanbietern und Lieferketten berücksichtigen. Besonders im Kontext von Energie- und Wasserversorgung können externe Partner oder Subunternehmer kritische Schwachstellen sein. Eine moderne Risikoanalyse muss interdisziplinär sein und physische, digitale sowie organisatorische Risiken in einem Gesamtbild darstellen.

3. Resilienzplan entwickeln: Auf Basis der Risikobewertung ist ein umfassender Resilienzplan zu erarbeiten. Dieser sollte technische Maßnahmen (z. B. Redundanzen, Backup-Systeme), bauliche Maßnahmen (z. B. Zugangsschutz, physische Barrieren) und organisatorische Maßnahmen (z. B. Notfallteams, Verantwortlichkeitsketten) in einem konsistenten Konzept bündeln. Ein solcher Plan dient nicht nur der internen Orientierung, sondern auch als Nachweis gegenüber Aufsichtsbehörden.

4. Meldeprozesse einüben: Die Meldepflichten sehen kurze Fristen vor: eine Erstmeldung innerhalb von 24 Stunden und eine Detailmeldung nach spätestens einem Monat. Betreiber sollten diese Prozesse vorab simulieren, um sicherzustellen, dass Informationen rechtzeitig gesammelt, bewertet und weitergegeben werden können. Empfehlenswert sind Probeläufe, die sowohl technische Abläufe (IT-Systeme für das Reporting) als auch organisatorische Aspekte (Alarmierung von Schlüsselpersonen) umfassen.

5. Rechtsmonitoring etablieren: Das Gesetz befindet sich noch im parlamentarischen Verfahren und kann in Details nachgeschärft werden, etwa bei Fristen, Schwellenwerten oder Aufsichtsstrukturen. Betreiber sollten deshalb ein kontinuierliches Rechtsmonitoring einrichten, um über Änderungen informiert zu bleiben. Dies kann intern durch Compliance-Teams erfolgen oder extern durch Verbände, Kanzleien oder spezialisierte Beratungen unterstützt werden. Nur so lässt sich sicherstellen, dass die eigenen Maßnahmen stets auf dem neuesten Stand sind.

Jetzt Beratung zur KRITIS-Compliance anfordern