17.03.2026
Mit dem Inkrafttreten des KRITIS‑Dachgesetzes (KRITIS‑DachG) wurde die CER‑Richtlinie in deutsches Recht überführt. Das Gesetz steht neben Vorgaben wie BSIG und dem NIS 2 Umsetzungsgesetz, die vor allem Cyberbedrohungen adressieren, und stärkt erstmals in einem eigenständigen, sektorenübergreifenden Rechtsrahmen die physische Resilienz kritischer Infrastrukturen.
Das KRITIS‑DachG setzt die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (Critial Entities Directive (CER‑Richtlinie) in deutsches Recht um. Es verfolgt das Ziel, die Widerstandsfähigkeit kritischer Anlagen gegenüber physischen Bedrohungen zu erhöhen und schafft hierfür einen einheitlichen Rahmen für Mindeststandards, Aufsicht und Unterstützungsmaßnahmen. Das Gesetz sieht bundeseinheitliche Grundanforderungen für die physische Sicherheit vor und schafft einen einheitlichen Rahmen für staatliche Aufsicht und Unterstützungsmaßnahmen.
Als kritische Anlagen gelten Einrichtungen, die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind und deren Ausfall zu erheblichen Versorgungsengpässen oder Gefährdungen führen würde. Quantitativ wird eine Anlage in der Regel ab der Versorgung von etwa 500.000 Personen als kritisch eingestuft; daneben werden qualitative Faktoren wie Abhängigkeiten, Marktanteil und mögliche Schadensauswirkungen berücksichtigt.
Mit dem Inkrafttreten des KRITIS‑Dachgesetzes am 17. März 2026 hat sich der rechtliche Rahmen für Betreiber kritischer Infrastrukturen um einen eigenständigen Fokus auf physische Resilienz erweitert. Das Gesetz verpflichtet Betreiber, ihre Risikoanalysen sowie Schutz‑ und Resilienzmaßnahmen nachvollziehbar zu dokumentieren und gegenüber den zuständigen Behörden darzulegen.
Unternehmen müssen künftig strukturiert nachweisen, wie sie ihre gesetzlichen Pflichten erfüllen und welche Maßnahmen sie zur Sicherung ihrer Anlagen geplant und umgesetzt haben. Zudem schafft das Gesetz eine verbindlichere Grundlage dafür, welche Einrichtungen als kritische Anlagen gelten; die konkrete Einstufung erfolgt anhand gesetzlich vorgegebener Kriterien und nachgelagerter Schwellenwerte und Vorgaben.
Vom KRITIS-DachG betroffen sind Betreiber kritischer Anlagen in den folgenden Sektoren:
Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung.
Einige dieser Sektoren, insbesondere das Finanz‑ und Versicherungswesen sowie Teile der Informations‑ und Telekommunikationsbranche, unterliegen parallel spezialgesetzlichen europäischen Vorgaben (etwa der DORA‑Verordnung bzw. NIS2). Für diese Bereiche sieht das KRITIS‑Dachgesetz teils besondere Regelungen und Überschneidungen mit bestehenden Pflichten vor, sodass die konkrete Betroffenheit im Einzelfall zu prüfen ist.
Registrierung:
Betreiber kritischer Anlagen müssen sich und ihre Anlagen innerhalb von drei Monaten nach Einstufung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren und eine zentrale, rund um die Uhr erreichbare Kontaktstelle benennen.
Risikoanalysen:
Betreiber sind verpflichtet, regelmäßig Risikoanalysen durchzuführen, die sämtliche relevanten Gefahren – einschließlich naturbedingter, klimatischer und menschlich verursachter Risiken – im Sinne eines All‑Gefahren‑Ansatzes berücksichtigen. In der Regel müssen diese Analysen mindestens alle vier Jahre aktualisiert werden, bei wesentlichen Änderungen auch früher.
Resilienzmaßnahmen & ‑pläne:
Spätestens zehn Monate nach der Registrierung müssen geeignete technische, organisatorische und sicherheitsbezogene Resilienzmaßnahmen umgesetzt und in einem Resilienzplan dokumentiert werden. Dieser Plan bündelt die Ergebnisse der Risikoanalysen, die getroffenen Maßnahmen sowie Notfall‑ und Wiederherstellungsprozesse und ist fortlaufend zu überprüfen und bei Bedarf anzupassen.
Nachweispflichten:
Die zuständigen Aufsichtsbehörden können Nachweise zur Umsetzung der gesetzlichen Pflichten verlangen, etwa durch die Vorlage des Resilienzplans, Berichte oder Audits. Das BBK und weitere Behörden konkretisieren Form und Umfang dieser Nachweise und können auch Vor‑Ort‑Kontrollen anordnen.
Pflichten der Geschäftsleitung:
Die Geschäftsleitung muss die wesentlichen Resilienzmaßnahmen billigen, deren Umsetzung überwachen und für eine angemessene Qualifizierung im Umgang mit Risiken sorgen, beispielsweise durch regelmäßige Schulungen im Risikomanagement. Die Verantwortung für die Einhaltung der Pflichten liegt ausdrücklich auf Leitungsebene.
Meldepflichten:
Erhebliche Störungen sind unverzüglich, in der Regel spätestens binnen 24 Stunden nach Kenntnis, über die gemeinsame Meldestelle von BBK und BSI zu melden. Auf eine erste Kurzmeldung folgt ein ausführlicher Bericht innerhalb eines vorgegebenen Zeitraums, typischerweise innerhalb eines Monats.
Bußgelder:
Verstöße gegen zentrale Pflichten – etwa Registrierung, Risikoanalysen, Umsetzung von Resilienzmaßnahmen oder Meldepflichten – können mit empfindlichen Bußgeldern geahndet werden. In schweren Fällen drohen zusätzlich weitere aufsichtsrechtliche Maßnahmen bis hin zu Betriebsbeschränkungen
Unsere Dienstleistungen im Zusammenhang mit dem KRITIS-DachG:
Die ISO/IEC 27001 bietet Ihnen einen international anerkannten Rahmen, mit dem Sie zahlreiche Anforderungen des KRITIS‑DachG strukturiert adressieren und nachweisbar machen können. Sie schafft Klarheit im Risikomanagement, stärkt Ihre Sicherheitsorganisation und erleichtert die notwendige Dokumentation.
Die ISO 22301 ergänzt diesen Ansatz, indem sie Ihnen hilft, die Geschäftskontinuität auch in Krisensituationen sicherzustellen. Sie bildet die Grundlage für Notfallkonzepte, Wiederanlaufstrategien und eine verlässliche Krisenkommunikation. Diese Elemente stehen in engem Zusammenhang mit den Resilienzvorgaben des KRITIS‑DG.
Durch die Kombination beider Standards unterstützen wir Sie umfassend bei der Umsetzung der aus dem KRITIS‑DachG resultierenden Anforderungen. So entsteht ein ganzheitlicher Ansatz, der physische Sicherheit, organisatorische Resilienz und Informationssicherheit miteinander verbindet und Ihr Unternehmen nachhaltig stärkt.
