Physische Resilienz als Betreiberpflicht: Das neue KRITIS-Dachgesetz
© Adobe Stock / Christian Schwier

Das neue KRITIS-Dachgesetz verpflichtet die Betreiber kritischer Infrastruktur erstmals auch zur physischen Resilienz. Verschärfte Pflichten, klare Fristen und hohe Bußgelder erhöhen den Handlungsdruck für betroffene Unternehmen, schreiben Nicolas Sonder und Philipp Genter.

Am 29. Januar 2026 hat der Deutsche Bundestag das KRITIS-Dachgesetz (KRITIS-DachG) verabschiedet. Darin geregelt: Eine bedeutende neue Betreiberpflicht, um die physische Resilienz kritischer Infrastruktur zu stärken. Das Gesetz setzt die europäische Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie, RL (EU) 2022/2557) um und ergänzt die bisher geltenden Regelungen aus dem Bereich der IT-Sicherheit, insbesondere die NIS2-Richtlinie (in Deutschland umgesetzt durch das BSI-Gesetz). Damit wird der Schutz kritischer Infrastrukturen nicht mehr nur unter dem Gesichtspunkt der IT-Sicherheit betrachtet, sondern erstmals stärker der physische Schutz von Anlagen, Personal und Lieferketten verbindlich geregelt.

Mit dem KRITIS-DachG reagiert der Gesetzgeber auf eine sich deutlich verschärfende Bedrohungslage. Zuletzt haben Drohnensichtungen über Flughäfen und vergleichbaren Einrichtungen sowie der Anschlag auf das Berliner Stromnetz nochmals vor Augen geführt, wie dringend ein verstärkter Schutz kritischer Anlagen ist. Vor diesem Hintergrund hat der Innenausschuss den ursprünglichen Gesetzentwurf überarbeitet. Die im Bundestag beschlossene geänderte Fassung sieht jetzt unter anderem verschärfte Pflichten und höhere Sanktionen vor. Am 6. März 2026 stimmte auch der Bundesrat dem KRITIS-DachG zu.

All-Gefahren-Ansatz: Jedes Risiko zählt

Die Grundlage der Neuregelung bildet die seit dem 16. Januar 2023 für alle EU-Mitgliedstaaten verbindliche CER-Richtlinie. Diese schuf erstmals einen einheitlichen europäischen Rechtsrahmen zur Stärkung der Resilienz kritischer Anlagen in verschiedenen Sektoren. Dies markierte einen Paradigmenwechsel, denn die CER-Richtlinie geht ausdrücklich über den bisherigen Fokus der IT-Sicherheit hinaus und nimmt auch physische und personelle Schutzaspekte in den Blick.

Das KRITIS-DachG sieht vor, die Resilienz kritischer Anlagen nach dem sogenannten "All-Gefahren-Ansatz" zu stärken. Dabei muss jedes denkbare Risiko berücksichtigt werden. Das bedeutet: Die Betreiber müssen nicht nur technische IT-Sicherheitsmaßnahmen implementieren, sondern auch gegenüber menschengemachten und natürlichen Bedrohungen wie Naturkatastrophen, Terroranschlägen und Sabotage gewappnet sein. Dazu verpflichtet das Gesetz die Betreiber kritischer Anlagen verschiedener Sektoren, geeignete physische Schutzmaßnahmen umzusetzen und damit Ausfälle oder Beeinträchtigungen möglichst frühzeitig zu verhindern oder zumindest deren Auswirkungen zu minimieren.

Länder dürfen weitere kritische Anlagen identifizieren

Betroffen sind vor allem Betreiber von Anlagen, die eine hohe Bedeutung für das Gemeinwesen haben, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder eine Gefährdung für die öffentliche Sicherheit drohen. Dies ist der Fall, wenn die Betreiber kritischer Anlagen regelmäßig mindestens 500.000 Personen versorgen. Dieser sogenannte Schwellenwert, der bereits im früheren Entwurf stark umstritten war, bleibt unverändert bestehen. Kritische Infrastruktur umfasst dabei beispielsweise große Energie- oder Wasserversorgungsunternehmen sowie weitere Schlüsselbereiche. 

Ergänzend sieht das Gesetz mit § 5 Abs. 7 KRITIS-DachG eine neue Ermächtigung der Länder vor, die es ihnen ermöglicht, durch Rechtsverordnungen weitere kritische Anlagen zu identifizieren, die ausschließlich in ihre Zuständigkeit fallen. Die Bundesländer können hier also zusätzliche Schutzbereiche innerhalb ihrer Zuständigkeit definieren. Das Bundesministerium des Inneren (BMI) wiederum ist ermächtigt, die relevanten Kriterien und Verfahren durch Verordnung festzulegen. Hierfür ist die Zustimmung des Bundesrats erforderlich.

Risikoanalyse alle vier Jahre

Die zentralen Betreiberpflichten sind in der neuen Regelung im Grundsatz klar formuliert und mit zeitlichen Fristen unterlegt. Betreiber müssen sich innerhalb von drei Monaten, nachdem sie als kritische Infrastruktur klassifiziert wurden, selbst registrieren. Unmittelbar darauf ist eine erste Risikoanalyse vorzunehmen, die spätestens neun Monate nach der Registrierung abgeschlossen sein muss. Diese Risikoanalyse ist als dauerhafter Prozess alle vier Jahre zu wiederholen. Parallel dazu müssen die Betreiber geeignete Resilienzmaßnahmen umsetzen und einen Resilienzplan erstellen, der unter anderem Notfallvorsorge, physische und personelle Sicherheit sowie regelmäßige Schulungen umfasst. Diese Maßnahmen müssen innerhalb von zehn Monaten nach der Registrierung erfolgen.

Ein besonders wichtiger Bestandteil ist nach § 18 KRITIS-DachG die Ausweitung und Präzisierung der Meldepflichten bei sicherheitsrelevanten Vorfällen. Sicherheitsstörungen oder Beeinträchtigungen sind unverzüglich, in der Regel spätestens binnen 24 Stunden ab Kenntnis, an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu melden. Innerhalb eines Monats muss der Betreiber einen detaillierten Bericht mit weiterführenden Informationen vorlegen. Dabei unterstützt das BBK die Betreiber mit Folgeinformationen, um eine wirksame Reaktion auf den Vorfall zu ermöglichen. Diese präzise Meldepflicht wird vor dem Hintergrund des Anschlags in Berlin als notwendig erachtet, um schnelle und koordinierte Schutzmaßnahmen zu gewährleisten.

Sanktionen deutlich verschärft

Die Dokumentationspflichten des KRITIS-DachG sorgen dafür, dass die Betreiber ihre getroffenen Maßnahmen nachvollziehbar nachweisen müssen und sich regelmäßig Prüfungen durch das BBK unterziehen müssen. Damit soll die Umsetzung der Sicherheitsverpflichtungen sichergestellt und eine lückenlose Kontrolle durch die zuständigen Behörden ermöglicht werden.

Eine weitere wichtige Neuerung sind die deutlich verschärften Sanktionen bei Verstößen gegen die gesetzlichen Pflichten. So sehen die Bußgeldregelungen nach § 24 KRITIS-DachG, insbesondere bei Verstößen gegen die Meldepflicht, zwischen 100.000 und 500.000 Euro vor. Im vorherigen Entwurf lagen die vorgesehenen Bußgelder deutlich niedriger. Zudem enthält § 25 KRITIS-DachG Änderungen hinsichtlich der Evaluation des Gesetzes. Diese hat bereits nach zwei und nicht erst nach fünf Jahren zu erfolgen.

Für Unternehmen, die als Betreiber kritischer Infrastrukturen in den gesetzlich geregelten Bereich fallen, bedeutet das KRITIS-DachG insbesondere eines: Die physische Resilienz wird nunmehr zur verbindlichen Betreiberpflicht und damit – von einem bisher weitgehend in das Ermessen des Betreibers gestellten Thema – zu einem verbindlichen Bestandteil der Unternehmensverantwortung. Betroffene Unternehmen müssen ihre Sicherheits- und Krisenmanagementstrukturen daher dringend überprüfen, überarbeiten und auf die neuen Anforderungen ausrichten.

Engere Zusammenarbeit im Unternehmen notwendig

Das erfordert eine verbesserte Verzahnung der verschiedenen Fachbereiche im Unternehmen. Technik, IT, Betrieb, Personalmanagement, Sicherheit und Compliance sind aufgefordert, künftig noch enger zusammenzuarbeiten. Prozesse wie Risikoanalyse, Meldewege und Krisenkommunikation müssen formalisiert und standardisiert sowie Verantwortlichkeiten klar verankert werden. Zudem sind regelmäßige Schulungen und Übungen notwendig, um die Reaktionsfähigkeit bei sicherheitsrelevanten Vorfällen sicherzustellen.

Gerade die neu definierten Meldepflichten stellen einen zentralen operativen Faktor dar. Verzögerungen oder Versäumnisse beim Melden von Störungen ziehen empfindliche Bußgelder nach sich. Unternehmen müssen daher ihre Meldeprozesse optimieren und sicherstellen, dass sie Vorfälle rechtzeitig, vollständig und korrekt an das BBK melden. Gleichzeitig unterstützt das BBK die Betreiber mit Folgeinformationen, was eine effektive Reaktion auf sicherheitsrelevante Ereignisse ermöglicht und damit zum Schutz der gesamten kritischen Infrastruktur beiträgt.

Die gesetzlich vorgesehene Verstärkung physischer Resilienz ergänzt die bestehenden Regelungen zur IT-Sicherheit nach der NIS2-Richtlinie. Dies führt zu einer übergreifenden Sicherheitsarchitektur, die IT- und physische Sicherheit miteinander verbindet. Unternehmen sollten daher frühzeitig prüfen, ob sie von beiden Regelwerken betroffen sind und wie sie die Anforderungen sinnvoll harmonisieren und in ihre Compliance-Strukturen integrieren können.

Das KRITIS-DachG markiert einen Meilenstein im Schutz kritischer Infrastruktur in Deutschland. Es rückt physische Schutzaspekte, die bisher neben der IT-Sicherheit weitgehend zurückstanden, in den Mittelpunkt. Die neuen Betreiberpflichten sind mit strengen Fristen und erheblichen Sanktionen versehen. Unternehmen sind daher gut beraten, die neuen gesetzlichen Vorgaben frühzeitig zu prüfen und ihre Sicherheits- und Krisenmanagementprozesse zügig anzupassen. Dies leistet nicht nur einen wichtigen Beitrag zur Sicherstellung der Versorgungssicherheit, sondern mindert auch Haftungsrisiken und schützt vor hohen Bußgeldern.

 

Rechtsanwalt Dr. Nicolas Sonder ist Partner bei PwC Deutschland. Philipp Genter ist Wirtschaftsjurist bei PwC Deutschland. Beide sind spezialisiert auf das Öffentliche Wirtschaftsrecht.

Redaktion beck-aktuell, Gastbeitrag von Dr. Nicolas Sonder und Philipp Genter, 27. März 2026.

Mehr zum Thema

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.