German Slovak Swedish
Materna IT-Dienstleister  |  Wiki  |  KRITIS-Dachgesetz

KRITIS-Dachgesetz - Warum KRITIS-Unternehmen und Behörden vor einer neuen Realität stehen und jetzt handeln müssen

Der Bundesrat hat dem KRITIS-Dachgesetz zugestimmt. Dieses legt bundeseinheitliche Mindeststandards zum Schutz kritischer Infrastrukturen fest mit weitreichenden Folgen für Organisationen zahlreicher Branchen und Segmente. 

Die CER-Richtlinie (EU) 2022/2557 und das KRITIS-Dachgesetz verschärfen die regulatorischen Anforderungen an physischen Schutz, Meldeketten und Nachweispflichten sowie Haftungsrisiken für Unternehmensleitungen, ergänzend zu bestehenden Regularien nach BSI-Gesetz, NIS2 oder jeweiligen Sektorengesetze- und Standards. Die gesetzlichen Vorgaben ergänzen dabei bestehende unternehmensinterne Vorsorgemaßnahmen wie die Corporate Security, Business Continuity Management (ISO 22301), Informationssicherheit (ISO 27001), Supply-Chain-Security, Crisis & Incident Management, Security Information and Event Management (SIEM), Security Operations Center (SOC) und integrieren alle Anteile zu einem operativen Resilienzsystem.  

Pflichten für Betreiber kritischer Infrastrukturen

1. KRITIS Registrierung 2026 

Die Betreiber in Deutschland müssen sich innerhalb von drei Monaten nach Einstufung als KRITIS-Anlage registrieren, aber spätestens bis zum 17. Juli 2026. (Melde- und Informationsportal) 

2. Risikoanalyse  

Die erste Analyse muss spätestens neun Monate nach der Registrierung vorliegen. Eine umfassende Risikoanalyse ist alle vier Jahre erneut durchzuführen. 

3. Resilienzplan 

Der Resilienzplan nach Stand der Technik ist innerhalb von 10 Monaten nach Registrierung umzusetzen, inklusive präventiver, reaktiver Maßnahmen zur Stärkung der physischen und organisatorischen Resilienz.  

4. Meldepflicht 

Es sind Voraussetzungen zu schaffen, um erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden über das Meldeportal des BSI zu melden. Ein detaillierter Bericht ist innerhalb von 30 Tagen nachzureichen.  

Meldeablauf schematisch dargestellt: Erheblicher Sicherheitsvorfall geht an die interne Meldestelle innerhalb von 24 Stunden, im Zeitraum eines Monats erfolgt ein ausführlicher Bericht. Die Meldestelle ist das BBK/BSI. Meldeablauf schematisch dargestellt: Erheblicher Sicherheitsvorfall geht an die interne Meldestelle innerhalb von 24 Stunden, im Zeitraum eines Monats erfolgt ein ausführlicher Bericht. Die Meldestelle ist das BBK/BSI. Meldeablauf schematisch dargestellt: Erheblicher Sicherheitsvorfall geht an die interne Meldestelle innerhalb von 24 Stunden, im Zeitraum eines Monats erfolgt ein ausführlicher Bericht. Die Meldestelle ist das BBK/BSI. Meldeablauf schematisch dargestellt: Erheblicher Sicherheitsvorfall geht an die interne Meldestelle innerhalb von 24 Stunden, im Zeitraum eines Monats erfolgt ein ausführlicher Bericht. Die Meldestelle ist das BBK/BSI. Meldeablauf schematisch dargestellt: Erheblicher Sicherheitsvorfall geht an die interne Meldestelle innerhalb von 24 Stunden, im Zeitraum eines Monats erfolgt ein ausführlicher Bericht. Die Meldestelle ist das BBK/BSI. Meldeablauf schematisch dargestellt: Erheblicher Sicherheitsvorfall geht an die interne Meldestelle innerhalb von 24 Stunden, im Zeitraum eines Monats erfolgt ein ausführlicher Bericht. Die Meldestelle ist das BBK/BSI.

5. Nachweis und KRITIS Audit Export 

Alle Maßnahmen müssen fortlaufend dokumentiert und auf Anfrage gegenüber den zuständigen Behörden als KRITIS Meldung an das BBK oder BSI nachgewiesen werden. BBK und BSI können Audits durchführen und Nachbesserungen anordnen

Schematische Abbildung des Resilienz laut KRITIS-Dach-Gesetz​: Registrierung, Risikoanalyse, Resilienzmaßnahmen, Audits/Nachweise, Meldepflicht und Sanktionen. Schematische Abbildung des Resilienz laut KRITIS-Dach-Gesetz​: Registrierung, Risikoanalyse, Resilienzmaßnahmen, Audits/Nachweise, Meldepflicht und Sanktionen. Schematische Abbildung des Resilienz laut KRITIS-Dach-Gesetz​: Registrierung, Risikoanalyse, Resilienzmaßnahmen, Audits/Nachweise, Meldepflicht und Sanktionen. Schematische Abbildung des Resilienz laut KRITIS-Dach-Gesetz​: Registrierung, Risikoanalyse, Resilienzmaßnahmen, Audits/Nachweise, Meldepflicht und Sanktionen. Schematische Abbildung des Resilienz laut KRITIS-Dach-Gesetz​: Registrierung, Risikoanalyse, Resilienzmaßnahmen, Audits/Nachweise, Meldepflicht und Sanktionen. Schematische Abbildung des Resilienz laut KRITIS-Dach-Gesetz​: Registrierung, Risikoanalyse, Resilienzmaßnahmen, Audits/Nachweise, Meldepflicht und Sanktionen.

Warum der Schutz kritischer Infrastrukturen ein Thema für Entscheidungsträger ist

Kritische Infrastrukturen sichern u. a. Energie, Wasser, Transport, Gesundheit, digitale Kommunikation, Weltraum, Entsorgung und Verwaltung. Die physischen und virtuellen Bedrohungen nehmen stark zu. 

  • Hybride Angriffe: Spionage, Sabotage, Innentäter, UAV-Überflüge (Unmanned Aerial Vehicle)
  • Das Bundeskriminalamt (BKA) registrierte 2025 in seinem Lagebericht u. a. tausende Drohnensichtungen und hunderte Sabotage- und Ausspähversuche im KRITIS-Kontext.
  • Gefahr von Versorgungsengpässen, wirtschaftlichen Schäden und Vertrauensverlust
  • KRITIS-Haftung der Geschäftsleitung: Das KRITIS-Dach-Gesetz schafft keine eigene Haftungsnorm für die Geschäftsleitung. Jedoch besteht eine persönliche Haftbarkeit nach § 43 GmbHG / § 93 AktG (Organisations/Aufsichtsverschulden), wenn nachweislich die Pflichten für die geforderte Risikoanalyse, den Resilienzplan, den Aufbau von Meldeketten sowie die geeigneten Schutzmaßnahmen nicht umgesetzt werden.
  • Verstöße gegen die Pflichten aus CER-Richtlinie und KRITIS-Dachgesetz haben spürbare Folgen: Betreiber müssen mit empfindlichen Bußgeldern rechnen: Je nach Verstoß bis zu 500.000 Euro (rein physisch) bzw. bei zeitgleichen Verstößen gegen die IT-Sicherheit (NIS2) bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. und Aufsichtsbehörden wie BBK und BSI können jederzeit Audits anordnen und Nachbesserungen verlangen.  

Betroffen sind Unternehmen, die in einem der 11 KRITIS-Sektoren (darunter Energie, Transport & Verkehr, Finanzwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung, Weltraum und Ernährung) tätig sind und eine Anlage betreiben, die bei einem Ausfall große Teile der Bevölkerung oder kritische Dienstleistungen negativ beeinträchtigen. CER erweitert den Fokus zusätzlich auf wichtige Einrichtungen ohne klassische technische Anlagen. 

Sind alle Unternehmen aus KRITIS-Sektoren betroffen?

Nicht jedes Unternehmen in einem KRITIS-Sektor fällt automatisch unter die Regulierung. Entscheidend ist, ob eine Anlage bestimmte Schwellenwerte erreicht, die ihre Bedeutung für die Versorgungssicherheit definieren. Als kritisch gilt eine Anlage in der Regel dann, wenn ihr Ausfall mehr als 500.000 Menschen betreffen würde. Zusätzlich gelten sektorbezogene, technische Grenz- bzw. Schwellenwerte, etwa Megawatt Leistung im Stromsektor, Kapazitäten in der Trinkwasserversorgung, Patientenversorgungszahlen oder Standortanforderungen für Rechenzentren, wie sie in der BSIKRITIS-Verordnung festgelegt sind. Erst wenn diese Kriterien erfüllt sind, wird ein Unternehmen als KRITIS-Betreiber eingestuft und fällt damit unter die Pflichten der CER-Richtlinie und des KRITISDachgesetzes. 

FAQs rund um das KRITIS-Dachgesetz

Beide Regelwerke decken elf kritische Sektoren ab, darunter Energie, Transport & Verkehr, Finanzwesen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung, Weltraum und Ernährung. Diese Sektoren orientieren sich an den Grundlagen der CER-Richtlinie. 

Nein. Ein Unternehmen wird erst dann als KRITIS-Betreiber eingestuft, wenn es bestimmte Schwellenwerte erfüllt, die die Bedeutung der Anlage für die Versorgungssicherheit definieren. 

  • Die Betreiber müssen eine Selbsteinschätzung auf Basis der BSI-Kritisverordnung vornehmen.
  • Die finale Prüfung erfolgt häufig durch ein KRITIS-Audit (Auditor/Prüfer), das gesetzlich alle zwei Jahre vorgeschrieben ist.  

Wichtige Anlaufstelle: 
Informationen finden Sie auf der Website des BSI (Bundesamt für Sicherheit in der Informationstechnik) unter dem Punkt "Kritische Infrastrukturen 

  • Versorgungsgrad: Kritisch ist eine Anlage typischerweise dann, wenn ihr Ausfall mehr als 500.000 Menschen betreffen würde. Dieser von vielen Bundesländern und des Deutschen Städtetages als zu hoch kritisierte Regelschwellwert ist in einer Protokollerklärung der Bundesregierung bereits zur Überprüfung im weiteren Verfahren angekündigt worden. Weiterhin können kritische Anlagen, für die Länderbehörden zuständig sind, nach eigenen Kriterien der Bundesländer zusätzlich als Unternehmen erfasst werden.
  • Technische Grenzwerte: Dazu gehören z. B. Megawatt Leistung (Strom), Kubikmeter Kapazität (Wasser) oder Standortkriterien (Rechenzentren). Diese sind in der BSI-KRITIS-Verordnung definiert. 

CER betrachtet nicht nur technische Anlagen, sondern auch „kritische Einrichtungen“, deren Dienstleistungen für das Gemeinwesen essenziell sind – etwa Verwaltung, Labore oder Teile der Logistik. Damit können auch Unternehmen ohne klassische Anlagen KRITISrelevant werden. 

Das Dachgesetz schafft erstmals bundeseinheitliche Mindeststandards für die physische Sicherheit kritischer Infrastrukturen in Deutschland – ergänzt um Meldepflichten, Risikoanalysen, Resilienzpläne und Aufsicht durch BBK/BSI. 

Laut BMI liegt die Verantwortung grundsätzlich beim Betreiber selbst, unabhängig davon, ob die Einrichtung staatlich oder privat geführt wird. 

Zentrale Pflichten wie Registrierung, Risikoanalyse, Schutzmaßnahmen und Meldewesen treten nach aktuellem Stand ab Mitte 2026 in Kraft. Für die Registrierung kritischer Anlagen gilt die Frist: spätestens 17. Juli 2026  

Das KRITIS-Dach-Gesetz schafft keine eigene Haftungsnorm für Geschäftsleiter. Wer Pflichten wie Risikoanalyse, Resilienzplan, Meldeketten oder Schutzmaßnahmen unzureichend organisiert, riskiert jedoch persönliche Haftung nach § 43 GmbHG / § 93 AktG (Organisations/Aufsichtsverschulden). 

Die EU CER-Richtlinie (Critical Entities Resilience Directive, Richtlinie (EU) 2022/2557) ist ein europäisches Gesetz, das am 16. Januar 2023 in Kraft getreten ist. Ihr Ziel: Die Widerstandsfähigkeit (Resilienz) sogenannter kritischer Einrichtungen in der EU deutlich zu verbessern. Risikoanalysen, Resilienzmaßnahmen und das Meldewesen zu verbessern. CER-Richtlinie: Neue Pflichten für kritische Infrastrukturen 

Sprechen Sie uns gerne an

Stephan Ursuleac
Lead Business Development Safety & Defense

Quelle: https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html 

Materna Information & Communications SE

Wir digitalisieren Ihre Welt

Wir sind gerne für Sie da

Robert-Schuman-Straße 20 44263 Dortmund
+49 231 559 9 - 00
Kontakt aufnehmen
Kundenservice

Quick Links

Karriere Events Materna-Gruppe Services Presse Trainingscenter WIKI - Deep Dive

IT mit Vertrauen

Materna Trust Center Zertifizierungen Lieferantenkodex Lieferantenbewerbung Datenschutz für Lieferanten Datenschutz für Kunden

Materna Newsletter

Erfahren Sie monatlich die wichtigsten News rund um das Unternehmen, Kundenprojekte, Produkte und Services.

Jetzt abonnieren
© Materna 2026
Impressum
| Datenschutz
| Datenschutzeinstellungen