Alles Wissenswerte zum KRITIS-Dachgesetz

+++ JETZT AUCH VERFÜGBAR +++

Whitepaper „Resilienz als Wettbewerbsfaktor: Wie sich Unternehmen mit Business Continuity Management auf Krisen vorbereiten“

Zum Whitepaper

 

Am 29. Januar 2026 hat der Bundestag das KRITIS-Dachgesetz (KRITIS-DachG) verabschiedet, am 6. März hat es nun auch den Bundesrat passiert. Damit kommen auf Betreiber kritischer Infrastrukturen neue Pflichten zu.

Was regelt das KRITIS-Dachgesetz?

Mit dem KRITIS-Dachgesetz schafft der Bund erstmals einen einheitlichen Rahmen, um die Widerstandsfähigkeit lebenswichtiger Systeme zu stärken – von der Energie- und Wasserversorgung über das Gesundheitswesen bis zur Verwaltung. Das Gesetz ist die nationale Umsetzung der europäischen CER-Richtlinie (EU 2022/2557) und ergänzt andere Regelungen wie die NIS-2-Richtlinie, die sich vor allem mit IT- und Cybersicherheit beschäftigt.

Wen betrifft das KRITIS-Dachgesetz?

Das Gesetz richtet sich grundsätzlich an alle, die kritische Infrastruktur betreiben oder verantworten. Dazu zählen:

• Energie- und Wasserversorger
• Abwasser- und Abfallbetriebe
• Krankenhäuser und Gesundheitseinrichtungen
• Betreiber von IT- und Telekommunikationssystemen
• Transport- und Logistikunternehmen
• öffentliche Verwaltungen

Das heißt: Das KRITIS-Gesetz betrifft nicht nur Unternehmen des KRITIS-Sektors, sondern auch Kommunen, sobald sie Versorgungs- oder Verwaltungsstrukturen betreiben, die für das öffentliche Leben unverzichtbar sind.

Dabei gilt eine Anlage als „kritisch“, wenn sie mindestens 500.000 Personen mit einer essenziellen Dienstleistung versorgt. Dieser Schwellenwert wurde im Bundesrat als zu hoch kritisiert, da so gerade im ländlichen Raum etliche essentielle Einrichtungen nicht erfasst würden.

Warum ist dieses Gesetz wichtig?

Strom, Wasser, Müllentsorgung, Gesundheitsvorsorge, Daten – dass diese Systeme funktionieren, ist für uns im Alltag selbstverständlich. Extreme Wetterereignisse, Hochwasser, Cyberangriffe oder gezielte Anschläge auf die Infrastruktur wie Anfang Januar in Berlin zeigen aber, wie verletzlich unsere Systeme sind. Krisen sind heute Teil der Realität.

Und neben Unternehmen tragen hier auch Kommunen besondere Verantwortung. Sie müssen dafür sorgen, dass zentrale Funktionen auch dann erhalten bleiben, wenn es ernst wird, zum Beispiel in den ersten Stunden eines großen Stromausfalls oder nach einem Unwetter. Das neue Gesetz soll genau das sicherstellen: dass Unternehmen, Städte und Gemeinden vorbereitet sind.

Welche Pflichten entstehen konkret?

Das KRITIS-Dachgesetz schafft zum ersten Mal einen einheitlichen Schutzstandard für kritische Infrastrukturen – unabhängig davon, ob es sich um ein kommunales Wasserwerk, ein Krankenhaus oder einen Energieversorger handelt.

Das Gesetz verpflichtet Betreiber künftig dazu:

• sich als KRITIS-Betreiber zu registrieren
• Risiko- und Folgeanalysen (Business Impact Analysen) durchzuführen
• technische/organisatorische Schutzmaßnahmen festzulegen und nachzuweisen
• Krisenstäbe, Alarmpläne und Meldeketten einzurichten
• Störungen unverzüglich zu melden

Damit wird aus der bisherigen Empfehlung, Vorsorge zu treffen, eine verbindliche Pflicht. Versehen mit klaren Fristen und möglichen Bußgeldern bei Verstößen.

Was ist zum Zeitplan bekannt?

• Nach der aktuellen Fassung müssen Betreiber selbst prüfen, ob sie als kritisch einzustufen sind.
• Binnen 3 Monaten nach der Einstufung als „kritisch“ müssen sie sich dann beim BBK registrieren.
• Binnen 9 Monaten nach Registrierung müssen Risikoanalysen durchgeführt und alle vier Jahre aktualisiert werden.
• Binnen 10 Monaten müssen Maßnahmen in einem Resilienzplan dokumentiert und nach Risikoanalysen aktualisiert werden.
• Sicherheitsrelevante Vorfälle müssen so schnell wie möglich, spätestens binnen 24 Stunden gemeldet werden.

Warum jetzt handeln?

Die Politik hat einige Zeit gebraucht, um die EU-Vorgabe in nationales Recht umzusetzen, drückt nun aber auf die Tube.

Für die KRITIS-Betreiber ist das eine Herausforderung. Die neuen Anforderungen nehmen Zeit in Anspruch, weil Maßnahmen zur Stärkung von Business Continuity und Katastrophenschutz viele Ebenen gleichzeitig betreffen: Organisation, Personal, Technik und Kommunikation.

Wer möglichst früh startet, gewinnt also nicht nur Zeit, sondern kann auch Synergien nutzen, etwa im Zusammenhang mit bestehenden Notfallkonzepten oder anderen parallel laufenden Maßnahmen.

Fazit

Resilienz ist künftig nicht mehr „nice to have“, sondern eine zentrale Managementaufgabe für KRITIS-Unternehmen und Kommunen. Denn nur, wer seine Risiken kennt, Zuständigkeiten klar regelt und Maßnahmen vorausschauend plant, bleibt in Krisenzeiten handlungsfähig und gegenüber Aufsichtsbehörden auf der sicheren Seite. Das schützt die Infrastruktur plus zusätzlich Vertrauen, Stabilität und das Funktionieren des Gemeinwesens. So wird aus der gesetzlichen Pflicht eine echte Chance, die eigene Infrastruktur sicherer und zukunftsfähiger zu machen.

STEINHOFER unterstützt Sie mit maßgeschneiderten Lösungen für mehr Resilienz und begleitet Sie von der Bestandsaufnahme über Risikoanalysen bis zu konkreten Maßnahmen im Rahmen von Business Continuity Management für Unternehmen und Katastrophenschutz für Kommunen.

Lassen Sie uns Ihren Fall in einem unverbindlichen Gespräch besprechen.

Kontakt

 

+++ JETZT AUCH VERFÜGBAR +++

Whitepaper „Resilienz als Wettbewerbsfaktor: Wie sich Unternehmen mit Business Continuity Management auf Krisen vorbereiten“

Zum Whitepaper

 

Quellen:

• https://www.bundesrat.de/DE/plenum/bundesrat-kompakt/26/1062/1062-node.html
• https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html
• https://www.bundestag.de/dokumente/textarchiv/2026/kw05-de-kritische-infrastruktur-1137002