Reuschlaw Reuschlaw

KRITIS‑Dachgesetz in Kraft getreten

Was jetzt auf Unter­neh­men zukommt

Am 16.03.2026 wur­de das KRITIS-Dachgesetz im Bun­des­ge­setz­blatt ver­kün­det und damit die CER-Richtlinie (EU) 2022/2557 in deut­sches Recht umge­setzt. Das Gesetz tritt wei­test­ge­hend einen Tag nach der Ver­kün­dung, also am 17.03.2026 in Kraft. Mit dem KRITIS-Dachgesetz wird erst­mals ein eigen­stän­di­ger bun­des­wei­ter Rechts­rah­men für den phy­si­schen Schutz und die Resi­li­enz kri­ti­scher Infra­struk­tu­ren geschaf­fen. Ziel ist es, die Wider­stands­fä­hig­keit kri­ti­scher Anla­gen gegen­über phy­si­schen Bedro­hun­gen, Natur­ge­fah­ren und hybri­den Risi­ken sys­te­ma­tisch zu erhöhen.

Was regelt das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz schafft erst­mals einen eigen­stän­di­gen bun­des­recht­li­chen Rah­men für den phy­si­schen Schutz kri­ti­scher Infra­struk­tu­ren. Es ergänzt die Vor­ga­ben der NIS-2-Richtlinie und des BSI-Gesetzes um spe­zi­fi­sche Anfor­de­run­gen an Schutz, Vor­sor­ge und Resilienz.

Zen­tra­ler Anknüp­fungs­punkt des Geset­zes ist die Iden­ti­fi­ka­ti­on und Regis­trie­rung von Betrei­bern kri­ti­scher Anla­gen. Die Regis­trie­rung ist gesetz­lich ver­pflich­tend und bil­det die Grund­la­ge für wei­ter­ge­hen­de Dokumentations‑, Organisations- und Compliance-Pflichten. Flan­kie­rend sieht das Gesetz natio­na­le Risi­ko­ana­ly­sen sowie sek­tor­spe­zi­fi­sche Risi­ko­be­wer­tun­gen vor, die als Maß­stab für die Ange­mes­sen­heit der jeweils zu tref­fen­den Schutz­maß­nah­men die­nen. Die Bun­des­län­der erhal­ten zudem die Befug­nis, über den Bun­des­rah­men hin­aus wei­te­re kri­ti­sche Anla­gen zu bestim­men, was ins­be­son­de­re für regio­nal bedeut­sa­me Infra­struk­tu­ren rele­vant sein kann. Ergänzt wird das Rege­lungs­sys­tem durch eine Ver­ord­nungs­er­mäch­ti­gung zuguns­ten des Bun­des­in­nen­mi­nis­te­ri­ums, die der Zustim­mung des Bun­des­ra­tes bedarf.

Beson­de­re prak­ti­sche Bedeu­tung kommt dem neu ein­ge­führ­ten Mel­de­we­sen für erheb­li­che Stö­run­gen zu. KRITIS-Betreiber müs­sen Pro­zes­se eta­blie­ren, die eine frist­ge­rech­te, voll­stän­di­ge und kon­sis­ten­te Mel­dung sicher­stel­len. Dabei sind nicht nur regu­la­to­ri­sche Anfor­de­run­gen zu erfül­len, son­dern auch Haftungs- und Repu­ta­ti­ons­ri­si­ken zu berücksichtigen.

Was wur­de zusätz­lich beschlossen?

Über das eigent­li­che Gesetz hin­aus hat der Bun­des­tag eine beglei­ten­de Ent­schlie­ßung beschlos­sen, die eine poli­ti­sche Wei­chen­stel­lung erken­nen lässt. Die Bun­des­re­gie­rung wird auf­ge­for­dert, Transparenz‑, Informations- und Ver­öf­fent­li­chungs­pflich­ten für KRITIS-Betreiber kri­tisch zu über­prü­fen und sicher­heits­re­le­van­te Aus­nah­men kon­se­quent anzu­wen­den. Ziel ist es, die unkon­trol­lier­te Ver­füg­bar­keit sen­si­bler Infra­struk­tur­in­for­ma­tio­nen zu begren­zen und bereits öffent­lich zugäng­li­che Anga­ben auf ein sicher­heits­ver­träg­li­ches Maß zu redu­zie­ren. Damit wird deut­lich, dass Trans­pa­renz künf­tig nicht mehr als Selbst­zweck ver­stan­den wird, son­dern stets im Lich­te poten­zi­el­ler Sicher­heits­ri­si­ken zu bewer­ten ist. Unter­neh­men soll­ten dies schon jetzt zum Anlass neh­men, neben der Umset­zung tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men auch die exter­ne Kom­mu­ni­ka­ti­on neu zu den­ken ist. Web­sites, Pres­se­infor­ma­tio­nen und tech­ni­sche Doku­men­ta­tio­nen soll­ten dar­auf­hin über­prüft wer­den, ob sie Rück­schlüs­se auf Stand­or­te, Schutz­maß­nah­men oder Ver­wund­bar­kei­ten zulas­sen. Dar­über hin­aus hat der Bun­des­rat in einer beglei­ten­den Ent­schlie­ßung zahl­rei­che Nach­bes­se­run­gen gefor­dert. Unter ande­rem soll Schwel­len­wert für kri­ti­sche Infra­struk­tur auf 150.000 ver­sorg­te Ein­woh­ner abge­senkt wer­den. Wei­ter­hin moniert der Bun­des­rat, dass die Län­der die Auf­sicht bei Eisen­bah­nen, die nicht dem Bund gehö­ren, über­neh­men sol­len, wäh­rend ansons­ten das Eisenbahn-Bundesamt (EBA) zustän­dig sei.

Wie geht es weiter?

Das KRITIS-Dachgesetz tritt wei­test­ge­hend einen Tag nach Ver­kün­dung, am 17.03.2026, in Kraft tritt. Es besteht daher unmit­tel­ba­rer Hand­lungs­be­darf. Die not­wen­di­gen Prü­fun­gen, Regis­trie­run­gen und Kon­zept­ent­wick­lun­gen sind zeit- und res­sour­cen­in­ten­siv und las­sen sich nicht kurz­fris­tig umset­zen. Unter­neh­men soll­ten daher früh­zei­tig mit der Ana­ly­se ihrer Betrof­fen­heit und der Anpas­sung ihrer Struk­tu­ren beginnen.

Schnell gele­sen

  • Am 16.03.2026 wur­de das KRITIS-Dachgesetz im Bun­des­ge­setz­blatt ver­kün­det und damit die CER-Richtlinie (EU) 2022/2557 in deut­sches Recht umgesetzt.
  • Erst­mals gibt es damit einen bun­des­weit ein­heit­li­chen Rechts­rah­men für den phy­si­schen Schutz kri­ti­scher Infrastrukturen.
  • Das Gesetz ver­pflich­tet Betrei­ber zur Iden­ti­fi­ka­ti­on, Regis­trie­rung und zur Umset­zung von Resilienzmaßnahmen.
  • Zen­tra­le Ele­men­te sind Risi­ko­ana­ly­sen sowie ein neu­es Mel­de­we­sen für erheb­li­che Störungen.
  • Unter­neh­men soll­ten sofort prü­fen, ob sie betrof­fen sind, da die Umset­zung zeit- und res­sour­cen­in­ten­siv ist.
zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.