German Slovak Swedish
Materna IT-Dienstleister  |  News  |  Blog  |  Cyber Security  |  KRITIS-Dachgesetz: Diese ...
13.05.2026
Blog
Cyber Security

KRITIS-Dachgesetz: Diese neuen Anforderungen kommen jetzt auf KRITIS-Betreiber zu

Der Schutz kritischer Infrastrukturen ist für viele Unternehmen und Behörden bereits seit Jahren ein zentrales Thema. Mit dem neuen KRITIS-Dachgesetz schafft Deutschland nun erstmals einen sektorübergreifenden gesetzlichen Rahmen, der über bestehende Regelungen hinausgeht und zusätzliche Resilienzanforderungen für Betreiber kritischer Anlagen definiert. Für Organisationen, die kritische Dienstleistungen erbringen, bedeutet das vor allem eines: erweiterte Pflichten beim Risiko- und Resilienzmanagement sowie stärkere regulatorische Aufsicht.

Adobe Stock ©
Heike Abels
Referentin für Unternehmenskommunikation

Key Takeaways

  • Das KRITIS-Dachgesetz erweitert die Anforderungen an Schutz und Resilienz kritischer Infrastrukturen deutlich. 
  • Betreiber müssen umfassende Risikoanalysen sowie technische und organisatorische Schutzmaßnahmen umsetzen. 
  • Neue Registrierungs- und Meldepflichten erhöhen die regulatorischen Anforderungen. 
  • Behörden erhalten stärkere Aufsichts- und Sanktionsmöglichkeiten. 
  • Unternehmen sollten jetzt ihre KRITIS-Compliance und Resilienzstrukturen überprüfen.

Was sich durch das KRITIS-Dachgesetz konkret ändert

Das neue Gesetz erweitert den bisherigen Fokus der KRITIS-Regulierung deutlich. Während bestehende Vorgaben – etwa aus dem IT-Sicherheitsgesetz und NIS2 – vor allem Cyberrisiken adressieren, verfolgt das KRITIS-Dachgesetz einen umfassenderen Ansatz zum physischen Schutz kritischer Infrastruktur.

Die wichtigsten Neuerungen betreffen vor allem Resilienzmaßnahmen, Registrierungs- und Meldepflichten sowie die staatliche Aufsicht.

1. Ganzheitliche Risikoanalysen werden verpflichtend

Eine zentrale Neuerung ist die verpflichtende systematische Risikoanalyse für Betreiber kritischer Anlagen.

KRITIS-Betreiber müssen künftig regelmäßig umfangreicher analysieren, welchen Gefährdungen ihre kritischen Anlagen und Dienstleistungen ausgesetzt sind.

Zu berücksichtigen sind unter anderem:

  • Naturkatastrophen und Extremwetter
  • Sabotage und physische Angriffe
  • technische Ausfälle
  • sektorübergreifende Risiken
  • geopolitische und hybride Bedrohungen
  • Abhängigkeiten in Lieferketten

Diese Risikoanalysen bilden die Grundlage für alle weiteren Maßnahmen zur Sicherstellung der Resilienz kritischer Infrastruktur.

2. Neue Anforderungen an Resilienz und Schutzmaßnahmen

Auf Basis der Risikoanalyse müssen KRITIS-Betreiber geeignete technische und organisatorische Maßnahmen umsetzen, um die Funktionsfähigkeit kritischer Dienstleistungen sicherzustellen.

Zu den zentralen KRITIS-Dachgesetz-Anforderungen gehören unter anderem:

  • Schutz kritischer Anlagen vor physischem Zugriff (Resilienzplan)
  • Sicherheitskonzepte für kritische Standorte (physischer Schutz)
  • Redundanzen für zentrale Systeme (Risikomanagement)
  • Notfall- und Krisenmanagement (Business-Continuity-Management)
  • Sensibilisierung von Mitarbeitenden und Dienstleistern

Ziel ist es, kritische Dienstleistungen auch bei Störungen oder Krisensituationen möglichst aufrechtzuerhalten oder zügig wiederherzustellen.

3. Erweiterte Registrierungs- und Meldepflichten

Das KRITIS-Dachgesetz führt außerdem neue Registrierungs- und Meldepflichten für Betreiber kritischer Anlagen ein.

Erfasste Organisationen müssen sich künftig zentral über eine vom BBK und BSI bereitgestellte Plattform registrieren. Die Registrierung muss spätestens innerhalb von drei Monaten nach Eintritt der Betroffenheit erfolgen. Bei Verstößen drohen Bußgelder von bis zu einer Million Euro. Zusätzlich sind Unternehmen verpflichtet, eine zentrale Kontaktstelle für Behörden einzurichten. Das BBK kann Organisationen im Zweifel auch eigenständig registrieren.

Darüber hinaus müssen Betreiber erhebliche sicherheitsrelevante Vorfälle über eine zentrale Meldestelle an zuständige Behörden melden, beispielsweise:

  • größere Ausfälle kritischer Systeme (Erstmeldung spätestens nach 24 Stunden)
  • Sabotageversuche oder Sicherheitsverletzungen
  • schwerwiegende Störungen in kritischen Prozessen

Bei andauernden oder sich weiterentwickelnden Vorfällen müssen die Meldungen zudem fortlaufend aktualisiert werden, damit Behörden ein möglichst aktuelles Lagebild erhalten. Spätestens nach einem Monat ist zusätzlich ein ausführlicher Abschluss- beziehungsweise Lagebericht an die zuständigen Stellen zu übermitteln.

Durch diese Registrierungs- und Meldepflichten soll ein besseres Lagebild über Risiken und Bedrohungen für kritische Infrastruktur entstehen.

4. Stärkere Aufsicht über KRITIS-Betreiber

Ein weiterer wichtiger Aspekt des KRITIS-Dachgesetzes ist die stärkere staatliche Aufsicht über kritische Einrichtungen.

Behörden können künftig unter anderem:

  • Nachweise über Sicherheits- und Resilienzmaßnahmen anfordern
  • Prüfungen durchführen
  • bei Verstößen Sanktionen verhängen

Für Betreiber bedeutet das: Resilienzmaßnahmen müssen nachvollziehbar dokumentiert und auditfähig sein.

Was KRITIS-Betreiber jetzt konkret tun sollten

Für viele Organisationen besteht der wichtigste nächste Schritt darin, ihre bestehenden Sicherheits- und Risikomanagementstrukturen im Hinblick auf die neuen KRITIS-Anforderungen zu überprüfen.

Dabei stehen insbesondere folgende Fragen im Fokus:

  • Sind alle kritischen Anlagen und Dienstleistungen identifiziert?
  • Existiert eine umfassende Risikoanalyse für relevante Bedrohungsszenarien?
  • Sind Notfall- und Krisenmanagementprozesse ausreichend etabliert?
  • Gibt es klare Verantwortlichkeiten für KRITIS-Compliance?
  • Sind Registrierungs- und Meldeprozesse definiert?

Eine strukturierte Selbstbewertung hilft dabei, mögliche Lücken frühzeitig zu identifizieren.

KRITIS-Dachgesetz-Checkliste: Sind Sie auf die neuen KRITIS-Anforderungen vorbereitet?

Die folgende Checkliste unterstützt Unternehmen und Behörden dabei, ihre Vorbereitung auf das KRITIS-Dachgesetz zu überprüfen.

Betroffenheit und regulatorische Analyse

  • Gehört Ihre Organisation zu einem vom KRITIS-Dachgesetz erfassten Sektor?
  • Sind kritische Anlagen und kritische Dienstleistungen identifiziert?
  • Wurden regulatorische Anforderungen aus KRITIS-Dachgesetz, NIS2 und IT-Sicherheitsgesetz analysiert?
  • Ist die fristgerechte Registrierung über die zentrale Plattform vorbereitet?
  • Wurde eine zentrale Kontaktstelle für Behörden benannt?

Risikoanalyse

  • Existiert eine strukturierte Risikoanalyse für kritische Anlagen und Dienstleistungen?
  • Werden naturbedingte, technische oder menschliche Risiken berücksichtigt?
  • Sind Szenarien wie Naturkatastrophen, Sabotage oder Systemausfälle analysiert?

Resilienzmaßnahmen

  • Existieren Sicherheitsmaßnahmen zum Schutz kritischer Anlagen?
  • Gibt es Redundanzen für kritische Systeme und Prozesse?
  • Werden Schutzmaßnahmen regelmäßig überprüft?

Business Continuity und Krisenmanagement

  • Existiert ein Business-Continuity-Management (BCM)?
  • Gibt es Notfall- und Krisenpläne für kritische Szenarien?
  • Werden regelmäßig Krisenübungen durchgeführt?

Governance und Meldeprozesse

  • Sind Verantwortlichkeiten für KRITIS-Compliance definiert?
  • Existieren Prozesse zur Meldung sicherheitsrelevanter Vorfälle?
  • Sind Prozesse für laufende Aktualisierungen und Abschlussberichte etabliert?
  • Sind Sicherheitsmaßnahmen dokumentiert und auditfähig?

Wie Materna KRITIS-Betreiber unterstützen kann

Die Umsetzung der neuen KRITIS-Anforderungen erfordert häufig Anpassungen in Organisation, Technologie und Governance. Materna unterstützt KRITIS-Betreiber bei der strukturierten Umsetzung des KRITIS-Dachgesetzes, unter anderem durch:

  • KRITIS-Readiness-Assessments zur Bewertung des aktuellen Reifegrads
  • Durchführung von Risiko- und Resilienzanalysen
  • Aufbau von Business-Continuity-Management
  • Entwicklung moderner Sicherheitsarchitekturen
  • Unterstützung bei Compliance und Audits

So können Unternehmen und Behörden nicht nur regulatorische Anforderungen erfüllen, sondern auch ihre Resilienz gegenüber Krisen und Störungen nachhaltig stärken.

Weitere Informationen

Kritische Infrastrukturen

Heike Abels
Referentin für Unternehmenskommunikation

Heike Abels arbeitet bei Materna als Referentin für Unternehmenskommunikation. Sie betreut redaktionell verschiedene Formate für die externe Kommunikation. Thematischer Schwerpunkt ist der Bereich Cross Market Services. Dazu zählen Enterprise Service Management, Customer Service und Cyber Security.

Nachricht schreiben

Materna Information & Communications SE

Wir digitalisieren Ihre Welt

Wir sind gerne für Sie da

Robert-Schuman-Straße 20 44263 Dortmund
+49 231 559 9 - 00
Kontakt aufnehmen
Kundenservice

Quick Links

Karriere Events Materna-Gruppe Services Presse Trainingscenter WIKI - Deep Dive

IT mit Vertrauen

Materna Trust Center Zertifizierungen Lieferantenkodex Lieferantenbewerbung Datenschutz für Lieferanten Datenschutz für Kunden

Materna Newsletter

Erfahren Sie monatlich die wichtigsten News rund um das Unternehmen, Kundenprojekte, Produkte und Services.

Jetzt abonnieren
© Materna 2026
Impressum
| Datenschutz
| Datenschutzeinstellungen