Perspective:
Perspective
09 März 2026
7 Minuten Lesezeit

Das KRITIS-Dachgesetz: Neuer Ordnungsrahmen für die Resilienz kritischer Anlagen

Das KRITIS-Dachgesetz (KRITIS-DachG), welches am 6. März 2026 den Bundesrat passiert hat, markiert einen Meilenstein im deutschen Sicherheitsrecht. Deutschland setzt damit die EU-Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) um. Mit dem KRITIS-DachG wird erstmals ein sektorenübergreifender Rahmen für den physischen und organisatorischen Schutz kritischer Anlagen gegen All-Gefahren wie Naturkatastrophen, technische Ausfälle, Sabotage oder Terroranschläge geschaffen. Zudem bildet das Gesetz die Grundlage für eine neue nationale KRITIS-Resilienzstrategie, welche die veraltete Strategie von 2009 ersetzen und die Leitlinie für Schutzmaßnahmen, Risikobewertungen und Koordination zwischen Bund, Ländern und Betreibern bilden wird.

Das KRITIS-DachG ergänzt nahtlos bestehende Regelungen wie das BSI-Gesetz (BSIG) zur Cybersicherheit und die NIS-2-Umsetzung, ohne diese zu ersetzen: Während BSIG und NIS-2 primär Cyberbedrohungen abdecken, adressiert das KRITIS-DachG die physische Resilienz.

Wer ist betroffen?

Kernadressaten sind Betreiber kritischer Anlagen, die für die Erbringung kritischer Dienstleistungen in zentralen Sektoren verantwortlich sind. Die Kritikalität richtet sich nach Versorgungsschwellenwerten – in der Regel ab etwa 500.000 versorgten Einwohnern oder Personen. Bundesrechtlich festgelegt sind Sektoren wie Energie, Transport und Verkehr, Finanz- und Sozialversicherungswesen, IT/Telekommunikation, Weltraum-Bodeninfrastruktur sowie öffentliche Verwaltung. Ländersektoren wie Gesundheitswesen, Trinkwasser- und Abwasserwirtschaft, Ernährung sowie Siedlungsabfallentsorgung unterliegen flexiblerer Einstufung durch die Länderbehörden.

Welche Anlagen im Einzelnen als kritisch gelten, wird in einer bundesrechtlichen Rechtsverordnung definiert werden, welche sektor‑ und anlagenspezifische Schwellenwerte festlegen und perspektivisch die bisherige BSI‑KRITIS‑VO ersetzen wird. Gleichzeitig wird den Ländern die Möglichkeit eröffnet, zusätzliche Anlagen als kritisch zu identifizieren, sofern die fachliche Zuständigkeit in ihrer Hoheit liegt.

Was sind die Kernpflichten für betroffene Unternehmen?

Betroffene Unternehmen müssen ihre Betroffenheit prüfen, sich ggf. registrieren und verschiedene technische und organisatorische Maßnahmen umsetzen:

Jeder Betreiber kritischer Anlagen muss sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) über ein gemeinsames Portal mit dem BSI registrieren (spätestens drei Monate, nachdem eine Anlage als kritische Anlage gilt, frühestens jedoch bis einschließlich zum 17. Juli 2026). Erforderlich sind Angaben zu Anlagenbezeichnung und -standorten, Kontaktdaten inklusive einer jederzeit erreichbaren Kontaktstelle sowie Angaben zu kritischen Komponenten (letztere nur ans BSI, § 2 Nr. 23 BSIG).

Das Gesetz sieht ein zweistufiges Verfahren vor:

  • Nationale und behördliche Risikobewertung:
    Zunächst entwickeln Bund und Länder eine Nationale Risikoanalyse und sektorspezifische Risikobewertungen, die die Gefährdungslage aus staatlicher Perspektive abbilden und den Betreibern zur Verfügung gestellt werden.
  • Betreiberseitige Risikoanalysen und Resilienzpläne:
    Betreiber sind auf dieser Basis verpflichtet, eigene Risikoanalysen durchzuführen, betriebsbezogene Schwachstellen zu identifizieren und darauf aufbauend Resilienzpläne mit konkreten organisatorischen, technischen und baulichen Maßnahmen zu erstellen. Zu den typischen Resilienzmaßnahmen zählen etwa physische Sicherung (Zutritts und Zugangskontrollen, bauliche Schutzvorkehrungen), Notstrom und Redundanzkonzepte, Krisenmanagement und Notfallpläne, Lieferketten und Abhängigkeitenanalysen sowie Schulungs und Übungskonzepte für Personal.

Das Meldewesen knüpft an das aus dem IT Sicherheitsrecht bekannte System an und erweitert dieses auf physische Resilienzfragen. Betreiber kritischer Anlagen müssen erhebliche Störungen, Zwischenfälle und Gefahrenlagen, die die Erbringung der kritischen Dienstleistung beeinträchtigen oder gefährden können, unverzüglich (spätestens innerhalb von 24 Stunden) an das BBK als zentrale Schaltstelle melden. Das BBK stellt sodann sachdienliche Folgeinformationen zur Verfügung (z. B. Umsetzungsempfehlungen), speist die Informationen in ein bundesweites Lagebild ein und leitet relevante Informationen an andere zuständige Behörden, insbesondere der Länder, weiter.

Betroffene Unternehmen müssen die Einhaltung ihrer Pflichten nachweisen, insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen (TOMs) (z.B. Zutrittskontrollen, Notstrom- und Redundanzkonzepte, Krisen- und Notfallpläne) sowie die Implementierung von wirksamen Meldeprozessen (z.B. Protokolle, Prozessdokumentation). Die Prüfung durch die Behörden erfolgt risikobasiert (keine starren Prüfintervalle). IT-Sicherheitsaudits nach BSIG/NIS-2 werden anerkannt und von den Behörden abgerufen, um Doppelprüfungen zu vermeiden.

Unternehmen aus den Sektoren Finanzwesen sowie IT/Telekommunikation sind – abgesehen von der Registrierungspflicht – von den operativen Nachweispflichten (Meldung, Prävention, Nachweise) weitgehend ausgenommen, weil für sie DORA bzw. NIS-2/BSI-G als Spezialregime gelten. Betreiber in den Bereichen Siedlungsabfallentsorgung und Sozialversicherung müssen zwar viele operative Vorgaben nicht erfüllen, jedoch verpflichtend alle vier Jahre eine Risikoanalyse nach § 12 KRITIS-DachG durchführen – auch diese ist entsprechend zu dokumentieren und im Zweifel nachzuweisen.

Zur Konkretisierung der gesetzlichen Pflichten ermächtigt das KRITIS DachG das Bundesministerium des Innern, sektorenübergreifende Mindestanforderungen an die Resilienz kritischer Anlagen per Rechtsverordnung festzulegen. Solche Vorgaben können beispielsweise Mindeststandards für Notfallvorsorge, Krisenkommunikation oder physische Sicherung definieren und gelten grundsätzlich sektorunabhängig, sofern nicht spezialgesetzliche Regelungen vorgehen.

Parallel eröffnet das Gesetz die Möglichkeit, branchenspezifische Resilienzstandards zu entwickeln. Diese können von Betreiberverbänden oder anderen fachlich legitimierten Organisationen erarbeitet und durch das BBK als geeigneter Maßstab anerkannt werden. Für die Aufsicht über die Einhaltung der Pflichten sind die jeweils zuständigen Fachbehörden des Bundes und der Länder verantwortlich. Sie können sich dabei Informationen aus bereits bestehenden Sicherheitsregimen, insbesondere aus dem BSI Recht, übermitteln lassen, um Doppelprüfungen und Mehrbelastungen zu vermeiden.

Welche Konsequenzen drohen bei Verstößen?

Das KRITIS-DachG sieht ein gestaffeltes Bußgeldregime abhängig von der Schwere des Verstoßes (Ordnungswidrigkeit) vor. Schwerwiegende Verstöße gegen Resilienzpflichten oder Verweigerung der Aufsichtskooperation können mit Bußgeldern bis 1 Million Euro geahndet werden. Wie auch das BSIG normiert das KRITIS-DachG eine Umsetzungs- und Überwachungspflicht sowie ggf. die persönliche Haftung der Geschäftsleitung auf Basis des Gesellschaftsrechts.

Fazit und Ausblick

Das KRITIS-DachG tritt am Tag nach der Bekanntmachung im Bundesgesetzblatt (voraussichtlich noch Ende März/Anfang April 2026) in Kraft. Deshalb sollten sich Unternehmen proaktiv auf die Anforderungen vorbereiten, beginnend mit einer Betroffenheitsprüfung (Identifizierung von Anlagen, Prüfung von Schwellwerten) und ggf. Vorbereitung der Registrierung. Um Synergien im Hinblick auf bereits bestehende Compliance Anforderungen zu realisieren, sollte die weitere Umsetzung im Sinne eines integrierten Compliance- und Nachweiskonzeptes erfolgen (insbesondere im Zusammenhang mit technischen und organisatorischen Maßnahmen aufgrund von BSIG-/NIS-2).

Did you find this useful?

Yes
No

Thanks for your feedback

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?

Kontaktieren Sie uns

Dr. Söntje Julia Hilberg, LL.M. (Fordham, NYC)

Dr. Söntje Julia Hilberg, LL.M. (Fordham, NYC)

Of Counsel | Digital Law
+49 170 7663 353
Dr. Till Contzen

Dr. Till Contzen

Partner | Lead Digital Law
+49 69 719188439

Einblicke und weiterführende Inhalte

Bundestag diskutiert über NIS2UmsuCG – Umsetzung der NIS2-Richtlinie naht

Mit der NIS2-Richtlinie soll innerhalb der EU ein einheitliches Mindestmaß an Cybersicherheit gewährleistet werden. Die NIS2-Richtlinie ersetzt dabei die NIS-Richtlinie aus dem Jahr 2016 und erweitert dabei deren Anwendungsbereich erheblich: Allein in Deutschland wird geschätzt, dass über die 1.000 Unternehmen, die durch die NIS-Richtlinie erfasst wurden, hinaus nun etwa 30.000 Unternehmen in den Anwendungsbereich der NIS2-Richtlinie fallen werden. Auch die erfassten Sektoren wurden erheblich ausgeweitet: Neben den schon zuvor regulierten KRITIS-Sektoren müssen sich nun auch z.B. Unternehmen des herstellenden Gewerbes mit Cybersicherheit befassen.
Perspective
10 Minuten Lesezeit

Künstliche Intelligenz (KI)

Als Teil unserer maßgeschneiderten Beratung im Bereich Künstliche Intelligenz (KI) unterstützen wir Unternehmen sowohl bei der Use-case spezifischen Einzelfallprüfung, um individuelle Anwendungen rechtlich abzusichern, als auch bei der Entwicklung von umfassenden Governance-Strukturen für den verantwortungsvollen Umgang mit KI. Dabei arbeiten wir Hand-in-Hand mit den KI-Spezialisten von Deloitte, sodass unsere Beratung stets eng an den technischen Gegebenheiten erfolgt.
Service

Daten­ und Daten­ssicherheit

Das Datenschutzrecht und Datenrecht umfasst die Beratung und Vertretung in allen Belangen rund um den Schutz, die Verarbeitung und die rechtliche Nutzung von (personenbezogenen) Daten. Ziel ist es, die Mandanten bei der Einhaltung der Datenschutzbestimmungen zu unterstützen und rechtliche Risiken im Umgang mit Daten zu minimieren.
Service

Digital Law: Intangibles, Data & Technology

Digitalisierung und technologische Innovationen schaffen nicht nur Wachstum und Beschäftigung, sondern sind auch Schlüssel zu den Innovationen und der Wettbewerbsfähigkeit von morgen.

Wir kombinieren juristische Exzellenz mit technologischem Verständnis und branchenspezifischen Know-How. Dank unseres OneDeloitte-Ansatzes und der engen Zusammenarbeit mit anderen Bereichen von Deloitte profitieren unsere Mandanten von interdisziplinären, maßgeschneiderten Lösungen, die alle Aspekte Ihrer geschäftlichen Anforderungen integrieren.

Service