News

Neu: KRITIS-Dachgesetz

Das neue KRITIS-Dachgesetz führt erstmals bundesweite Anforderungen an die physische Resilienz kritischer Anlagen ein. Betreiber kritischer Infrastruktur müssen sich registrieren, Risikoanalysen durchführen und Vorfälle melden. Für Unternehmen gelten gestaffelte Pflichten ab 2026.

17. März 2026
Neu: KRITIS-Dachgesetz

Wer ist betroffen?

Das KRITIS-Dachgesetz richtet sich an Betreiber kritischer Anlagen in insgesamt zehn Sektoren (u. a. Finanzwesen, Gesundheitswesen, Ernährung, Weltraum). Für Unternehmen aus Industrie und Infrastruktur sind insbesondere relevant:

  • Energie
  • Transport und Verkehr
  • Wasser
  • Informationstechnik und Telekommunikation
  • Siedlungsabfallentsorgung

Ob eine Anlage als kritisch gilt, wird erst durch eine noch ausstehende Rechtsverordnung konkret festgelegt. Das Gesetz nennt dafür drei Wege:

  • Schwellenwertregelung:
    Als gesetzlicher Ausgangspunkt nennt das Gesetz 500.000 versorgte Einwohner. Auf dieser Basis legt die Rechtsverordnung sektorspezifische Schwellenwerte fest.
  • Kategorienregelung:
    Bestimmte Anlagenkategorien können unabhängig von Schwellenwerten als kritisch eingestuft werden.
  • Einzelfallfeststellung:
    Für Anlagen mit bundesbehördlicher Zuständigkeit kann das Bundesministerium des Innern im Einzelfall feststellen, dass eine Anlage als kritisch gilt oder nicht gilt.

Bis zum Erlass der Rechtsverordnung ist daher noch nicht abschließend klar, welche Anlagen konkret erfasst werden. Für Industrieunternehmen können z. B. betroffen sein:

  • große Energie- oder Versorgungsinfrastrukturen
  • Betreiber industrieller Infrastruktur (z. B. Industrieparks)
  • große Wasser- oder Entsorgungsanlagen
  • Betreiber kritischer Logistik- oder Transportinfrastruktur

Wichtig: Betreiber im IT- und Telekommunikationssektor sowie bestimmte Finanzunternehmen sind von zentralen Pflichten des Gesetzes ausgenommen. Für sie gelten stattdessen umfassende Vorgaben des BSI-Gesetzes (NIS-2-Regime) bzw. im Finanzsektor das DORA-Regime.

Was ändert sich konkret?

Neues Regelwerk für physische Resilienz
Das KRITIS-Dachgesetz führt erstmals sektorübergreifende Mindestanforderungen für den physischen Schutz kritischer Anlagen ein („All-Gefahren-Ansatz“). Es ergänzt die bestehenden Cyber-Sicherheitsregelungen des BSI-Gesetzes.

Registrierungspflicht
Betreiber kritischer Anlagen müssen sich spätestens bis 17.07.2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.
Zu übermitteln sind u. a.: Unternehmensdaten, Sektor und kritische Dienstleistung, Standort und Versorgungsgebiet, eine ständig erreichbare Kontaktstelle

Risikoanalyse und Risikobewertung
Spätestens neun Monate nach Registrierung müssen Betreiber eine Risikoanalyse durchführen und anschließend mindestens alle vier Jahre aktualisieren.
Zu berücksichtigen sind insbesondere: Naturereignisse, technische Störungen und Unfälle, hybride Bedrohungen, Abhängigkeiten zu anderen kritischen Infrastrukturen

Resilienzplan und Vorfallmeldung
Spätestens zehn Monate nach Registrierung müssen Betreiber:

  • einen Resilienzplan erstellen und anwenden
  • Präventions-, Krisen- und Wiederherstellungsmaßnahmen festlegen
  • erhebliche Vorfälle innerhalb von 24 Stunden an das BBK melden.

Ein ausführlicher Bericht ist spätestens einen Monat nach Kenntnis nachzureichen.

Verantwortung der Geschäftsleitung
Die Geschäftsleitung ist für die Umsetzung der Resilienzmaßnahmen verantwortlich und haftet bei schuldhafter Pflichtverletzung nach den allgemeinen gesellschaftsrechtlichen Regeln.

Bußgelder

  • bis 100.000 Euro bei Verstößen gegen die Registrierungspflicht
  • bis 1.000.000 Euro bei Verstößen gegen behördliche Anordnungen

Was ist zu tun?

  • Betroffenheit prüfen
    Prüfen Sie, ob Ihre Anlagen grundsätzlich in einen der betroffenen Sektoren fallen könnten. Die konkreten Schwellenwerte werden erst durch eine noch ausstehende Rechtsverordnung festgelegt.
  • Registrierung vorbereiten
    Stellen Sie Unternehmensdaten, Standortangaben und eine ständig erreichbare Kontaktstelle zusammen. Die Registrierung muss spätestens bis 17.07.2026 erfolgen.
  • Risikoanalyse vorbereiten
    Die erste Risikoanalyse wird neun Monate nach Registrierung fällig.
  • Resilienzprozesse aufbauen
    Planen Sie Resilienzplan, Vorfallmeldeprozesse und organisatorische Zuständigkeiten so, dass diese zehn Monate nach Registrierung umgesetzt sind.

Hintergrund

Das KRITIS-Dachgesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in deutsches Recht um.

Während das BSI-Gesetz vor allem die IT-Sicherheit kritischer Anlagen regelt, schafft das KRITIS-Dachgesetz erstmals ein sektorübergreifendes Regelwerk für deren physische Resilienz.

Die bisherige BSI-Kritisverordnung, die Sektoren und Schwellenwerte definiert, wird künftig durch eine neue Rechtsverordnung auf Grundlage des KRITIS-Dachgesetzes abgelöst. Bis zu deren Inkrafttreten gilt die BSI-KritisV weiter.

Ab wann gilt das?

  • Inkrafttreten: 17.03.2026
  • Registrierungspflicht: spätestens bis 17.07.2026
  • Risikoanalyse: erstmals neun Monate nach Registrierung
  • Resilienzplan / Vorfallmeldung / Geschäftsleitungspflichten: erstmals zehn Monate nach Registrierung
  • Rechtsverordnung zu Schwellenwerten: noch nicht erlassen, bis dahin gilt die BSI-KritisV weiter