KRITIS-Dachgesetz: Neue Anforderungen an Betreiber kritischer Anlagen

Das Kritis-Dachgesetz bringt neue Anforderungen.
Categorie:
,

Das KRITIS-Dachgesetz (KRITIS-DachG) wurde im Herbst 2025 von der Bundesregierung beschlossen und am 29. Januar 2026 vom Bundestag verabschiedet. Ziel des Gesetzes ist es, einheitliche Mindestvorgaben für den physischen Schutz kritischer Anlagen festzulegen und deren Umsetzung durch koordinierte Unterstützungs- und Aufsichtsmaßnahmen sicherzustellen. Die Regelungen ergänzen bestehende IT-Sicherheitsvorschriften, indem sie einen All-Gefahren-Ansatz verfolgen. Sie bieten also Schutz vor Naturgefahren, technischen Störungen, Sabotage, Terrorismus und anderen nicht IT-bedingten Gefährdungen. Nachfolgend finden Sie eine Übersicht über die wichtigsten Punkte des KRITIS-DachG.

Begriffsdefinitionen: Kritische Dienstleistung, Kritische Anlagen, Resilienz, Vorfall

Damit Unternehmen einschätzen können, ob sie vom KRITIS-DachG betroffen sind, lohnt ein Blick auf zentrale Definizioni im Gesetz:

  • Kritische Dienstleistung: Darunter versteht man eine Dienstleistung zur Versorgung der Allgemeinheit in bestimmten Sektoren. Etwa Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Sozialwesen (Sozialversicherung und Grundsicherung), Gesundheitswesen, Wasser (Trinkwasser/Abwasser), Ernährung, Informationstechnik und Telekommunikation, Weltrauminfrastruktur oder Abfallentsorgung. Ein Ausfall oder eine erhebliche Beeinträchtigung einer solchen Dienstleistung würde zu Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen.

  • Kritische Anlage: Eine Anlage ist jede Betriebsstätte oder Installation (stationär oder mobil). Als kritisch gilt eine Anlage dann, wenn sie für die Erbringung einer kritischen Dienstleistung erheblich ist. Konkret bedeutet dies: Fällt diese Anlage aus, ist die essenzielle Dienstleistung gefährdet. Betreiber kritischer Anlagen können privatwirtschaftliche Unternehmen oder öffentliche Stellen sein, die bestimmenden Einfluss auf die Anlage haben.

  • Resilienza: Das KRITIS-DachG definiert Resilienz als die Fähigkeit einer kritischen Anlage, einen Vorfall zu verhindern, sich davor zu schützen, ihn abzuwehren, darauf zu reagieren, die Folgen zu begrenzen, den Vorfall aufzufangen und sich anschließend wieder zu erholen. Es handelt sich also um einen ganzheitlichen Ansatz der Widerstandsfähigkeit, von Vorsorgemaßnahmen über Notfallreaktionen bis zur Wiederherstellung des Normalbetriebs.

  • Vorfall: Ein Vorfall im Sinne des KRITIS-DachG ist ein Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte. Wichtig: Reine Cyber-Zwischenfälle (IT-Sicherheitsvorfälle), die unter das BSI-Gesetz fallen, zählen nicht als Vorfall im Sinne dieses Gesetzes. Das KRITIS-DachG zielt primär auf physische Gefahren und klassische Versorgungskrisen ab. Beispiele wären etwa Naturkatastrophen, großflächige Stromausfälle, Sabotageakte oder Ausfälle durch menschliches Versagen, sofern diese die Versorgung wesentlich stören. Cyberangriffe bleiben weiterhin nach dem BSIG melde- und behandlungspflichtig, wobei es natürlich Überschneidungen geben kann (z. B. kombinierte Angriffe).

Pflichten für Betreiber kritischer Anlagen

Das KRITIS-Dachgesetz legt Betreibern kritischer Anlagen umfangreiche neue Pflichten auf. Diese sollen sicherstellen, dass sie Vorkehrungen zur Krisenprävention und -bewältigung treffen. Dazu gehören insbesondere:

  • Registrierung der Anlagen und Betreiber: Alle Betreiber, die unter das KRITIS-DachG fallen, müssen sich und ihre kritischen Anlagen in einem zentralen Register beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) anmelden. Dies erfolgt über eine gemeinsame Online-Plattform von BBK und BSI, um Überschneidungen mit der bestehenden BSIG-Registrierung zu vermeiden. Die Registrierung umfasst Angaben zum Betreiber (Name, Rechtsform, Kontakt), zur Anlage (Standort, Branche, Versorgungsgebiet) und zur erbrachten kritischen Dienstleistung. Auch eine 24/7-Kontaktstelle muss benannt werden. Fristen: Bestehende kritische Anlagen müssen spätestens bis zum 17. Juli 2026 registriert sein. Neue Anlagen sind jeweils innerhalb von drei Monaten nach Einstufung zu melden. Wird die Registrierung versäumt, kann das BBK den Betreiber nach Anhörung selbst in das Register eintragen.

  • Risikoanalyse und Risikobewertung: Betreiber sind verpflichtet, regelmäßig eine systematische Risikoanalyse aller Gefährdungen für ihre kritischen Anlagen durchzuführen. Dabei sollen alle relevanten Risiken betrachtet werden: Von Naturgefahren (z. B. Hochwasser, Pandemien) über technische Ausfälle bis hin zu vorsätzlichen Angriffen. Anhand der Analyse ist eine Risikobewertung vorzunehmen, um die Risiken nach Eintrittswahrscheinlichkeit und Schadensausmaß zu priorisieren. Die EU-Richtlinie verlangt, dass diese Betreiber-Risikoanalysen innerhalb von 9 Monaten nach Identifizierung erfolgen. Wichtig ist, dass Unternehmen ihre bestehenden Risiko- und BCM-Modelle an den All-Gefahren-Ansatz anpassen. Viele Branchen verfügen bereits über Standards für Notfall- und Krisenmanagement. Diese können integriert und erweitert werden.

Resilienzmaßnahmen und Resilienzplan

Aufbauend auf der Risikoanalyse müssen geeignete und verhältnismäßige technische, organisatorische und personelle Maßnahmen zum Schutz der kritischen Anlagen ergriffen werden. Das Spektrum reicht von baulichen Sicherheitsvorkehrungen (z. B. Zutrittskontrollen, redundante Systeme) über organisatorische Maßnahmen (Notfallpläne, Mitarbeiter-Schulungen, Sicherung von Ersatzteilen und Treibstoffvorräten) bis hin zu Kooperationen mit Behörden und Partnern für den Krisenfall. Alle getroffenen Maßnahmen sind in einem Resilienzplan zu dokumentieren. Dieser Plan enthält die Strategie des Unternehmens zur Aufrechterhaltung des Betriebs im Krisenfall, die festgelegten Schutzmaßnahmen und die Ergebnisse der vorausgegangenen Risikoanalyse. Das BBK stellt hierfür Muster und Vorlagen zur Verfügung, um den Unternehmen bei der Erstellung zu helfen.

Der Resilienzplan muss angewandt und aktuell gehalten werden. Regelmäßige Überprüfungen und Anpassungen an neue Bedrohungslagen sind daher Pflicht.

Zwar müssen alle Maßnahmen geplant sein, wenn die Registrierung erfolgt, jedoch dürfen sie zum Teil noch in der Umsetzung begriffen sein. In jedem Fall sollten Unternehmen frühzeitig mit der Planung beginnen, da Umsetzung und Etablierung einer Resilienzstrategie zeitaufwändig sein können.

Kontaktstellen und Meldepflicht

  • Benennung von Kontaktstellen: Wie bereits erwähnt, verlangt das Gesetz die Benennung einer dauerhaften Kontaktstelle je Betreiber. Diese soll sicherstellen, dass Behörden im Krisen- oder Verdachtsfall schnell einen Ansprechpartner erreichen können. In der Praxis wird dies meist eine rund-um-die-Uhr besetzte Notfall-Hotline oder ein entsprechender Bereitschaftsdienst sein. Die Kontaktdaten sind bei der Registrierung anzugeben und stets aktuell zu halten. Für international tätige Unternehmen kann es sinnvoll sein, eine zentrale Anlaufstelle für alle KRITIS-Themen intern zu etablieren.

  • Meldepflicht für erhebliche Vorfälle: Wenn es trotz aller Vorsorge zu einem Vorfall kommt, greift die Meldepflicht des KRITIS-DachG. Jeder erhebliche Vorfall  ist unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis an die zuständige Stelle zu melden. Hierfür wird eine gemeinsame Meldestelle von BBK und BSI eingerichtet. Über dieses zentrales Online-Portal sollen alle Störungsmeldungen laufen. Doppelmeldungen (z. B. getrennt an BBK e BSI) werden dadurch vermieden. Enthält die Erstmeldung noch lückenhafte Infos (typisch in der Akutsituation), so ist sie bei andauernden Störungen laufend zu aktualisieren.

    Spätestens ein Monat nach Bekanntwerden des Vorfalls muss der Betreiber einen ausführlichen Abschlussbericht einreichen, der Ursachen und sämtliche Auswirkungen beleuchtet.

    Inhaltlich müssen Meldungen zumindest Art und Ursache des Vorfalls, das colpiti Gebiet, die Dauer sowie den Umfang der Versorgungsbeeinträchtigung (Anzahl betroffener Nutzer, etc.) umfassen. Das BBK wertet diese Störungsmeldungen aus und informiert bei Bedarf andere Mitgliedstaaten oder die EU-Kommission, wenn der Vorfall grenzüberschreitende Bedeutung hat. Wichtig: Diese Meldepflicht gilt zusätzlich zu etwaigen branchenspezifischen Vorschriften. So müssen z. B. Energieversorger weiterhin ggf. parallel die Bundesnetzagentur informieren, Gesundheitsdienste ihre Aufsichtsbehörden etc., sofern entsprechende Vorgaben bestehen. Das KRITIS-DachG schafft jedoch kein öffentliches „Naming & Shaming“: Meldungen werden vertraulich behandelt. Nur wenn es im öffentlichen Interesse liegt, kann das BBK nach Anhörung des Betreibers die Öffentlichkeit informieren, etwa um die Bevölkerung zu warnen.

Neben diesen Kernpflichten sieht das Gesetz weitere Vorgaben vor, beispielsweise die Teilnahme an staatlichen Resilienz-Programmen.

KRITIS-Aufsicht

Die Einhaltung dieser Pflichten wird durch ein mehrstufiges Aufsichtssystem überwacht. Zentraler Ansprechpartner ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das als zentrale Anlaufstelle dient. Je nach Sektor sind daneben verschiedene zuständige Behörden benannt: die Bundesnetzagentur für Strom, Gas, Wasserstoff und Telekommunikation, das Eisenbahn-Bundesamt für den Bahnverkehr, das Ufficio federale per la sicurezza delle informazioni (BSI) für IT/TK-Dienste, die Gesundheitsministerien (Bund/Länder) für Gesundheitseinrichtungen usw.

Die zuständigen Behörden arbeiten eng mit dem BBK und dem BSI zusammen, um Überschneidungen zu vermeiden. So wird es beispielsweise eine gemeinsame Meldestelle geben und auch bei der Registrierung sowie Auditierung greifen BBK und BSI durch eine Online-Plattform und abgestimmte Verfahren gemeinsam ineinander.

Die Behörden haben weitreichende Befugnisse, um die Umsetzung der Resilienzmaßnahmen zu kontrollieren. Sie können von den Betreibern Nachweise und Informationen anfordern, etwa Einsicht in den Resilienzplan oder interne Dokumentationen. Dabei verfolgen die Aufsichtsbehörden einen risikobasierten Ansatz: Schwerpunktkontrollen finden vorrangig bei jenen Unternehmen statt, deren Größe, Risikoexposition oder potenzielle Schadenswirkung besonders hoch ist.

Betreiber müssen auf Verlangen Audit-Ergebnisse vorlegen, wenn sie externe Überprüfungen haben durchführen lassen. Die Behörde kann selbst Vor-Ort-Prüfungen durchführen oder unabhängige Terza parte damit beauftragen. Unternehmen sind verpflichtet, den Prüfern Zugang zu Betriebsräumen, relevanten Systemen und Anlagen zu gewähren sowie Auskünfte zu erteilen. Werden Mängel festgestellt, kann die Behörde den Betreiber dazu verpflichten, innerhalb einer bestimmten Frist einen Mängelbeseitigungsplan vorzulegen und die entsprechenden Maßnahmen umzusetzen.

Suggerimento di lettura: DORA-Leitfaden zur Aufsicht über kritische Drittanbieter

Haftung und Sanktionen bei KRITIS-Verstößen

Responsabilità civile der Geschäftsleitung: Bemerkenswert ist § 20 KRITIS-DachG, der die Verantwortung der Unternehmensführung betont. Die Geschäftsleitung eines Betreibers (also Vorstand, Geschäftsführung oder vergleichbare Organe) ist verpflichtet, Resilienzmaßnahmen umzusetzen und organisatorisch zu verankern. Vernachlässigt die Leitung diese Pflicht schuldhaft, haftet sie dem Unternehmen gegenüber für entstandene Schäden. Diese zivilrechtliche Responsabilità civile greift subsidiär, sofern nicht ohnehin bereits gesellschaftsrechtliche Vorschriften (beispielsweise aktienrechtliche Sorgfaltspflichten) für solche Fälle gelten. Für Entscheider bedeutet das: Resilienz ist Chefsache. Wer Vorgaben bewusst ignoriert, riskiert persönliche Haftungsansprüche. Ähnlich wie man es aus dem Datenschutz- oder dem Arbeitsrecht kennt, wo bei Compliance-Verstößen ebenfalls eine Responsabilità civile des Managements drohen kann.

Ordnungswidrigkeiten und Bußgelder: Um deren Durchsetzung zu gewährleisten, enthält das Gesetz einen Bußgeldkatalog. Bei Verstößen, wie beispielsweise fehlende Registrierung, unterlassene Risikoanalyse, kein Resilienzplan oder keine Meldung eines Vorfalls, drohen empfindliche Geldbußen. Die Höchstbeträge liegen je nach Schwere des Verstoßes gestaffelt bei 50.000 €, 100.000 €, 200.000 € bzw. 500.000 €. Die Maximalbuße von 500.000 € dürfte etwa im Falle grober oder wiederholter Pflichtverletzungen (z. B. völlige Missachtung der Resilienzanforderungen) zum Tragen kommen. Zusätzlich kann jede vorsätzliche Zuwiderhandlung gegen behördliche Anordnungen als Reato normativo geahndet werden. Dies erhöht den Druck.

Branchenspezifische Konsequenzen: Unabhängig vom KRITIS-DachG behalten sektorspezifische Aufsichtsrechte ihre Gültigkeit. In hochregulierten Bereichen (Energie, Telekommunikation, Verkehr etc.) könnten bei eklatanter Nichterfüllung der Schutzpflichten auch aufsichtsrechtliche Maßnahmen bis hin zum Entzug von Genehmigungen im Raum stehen. Dies wäre das äußerste Mittel und ist nicht explizit im KRITIS-DachG normiert. Ein Energieversorger, der jedoch nachhaltig gegen Sicherheitsauflagen verstößt, könnte letztlich seine Betriebslizenz riskieren.

Insgesamt signalisiert der Gesetzgeber jedoch, dass die neuen Pflichten ernst zu nehmen sind, sowohl durch Bußgelder als auch durch die Betonung der Managementverantwortung.

Fonte: Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz)

Kritis macht Resilienz zur Chefsache

Das KRITIS-Dachgesetz bringt für kritische Unternehmen neue, durchaus anspruchsvolle Pflichten mit sich: von der Registrierung über Risikoanalysen bis hin zu Meldeprozessen. Gleichzeitig bietet es die Chance, das eigene Krisenmanagement auf den neuesten Stand zu bringen und es gegen vielfältige Gefahren zu wappnen.

Entscheider sollten proaktiv handeln, offizielle Leitfäden nutzen und die Umsetzung schrittweise angehen. Mit guter Planung und Unterstützung lassen sich die Anforderungen erfüllen, sodass letztlich sowohl die Versorgungssicherheit steigt als auch die Rechtskonformität gewährleistet wird. Die Devise lautet: „Resilienz ist machbar, wenn man sie zur Chefsache macht und alle Beteiligten ins Boot holt.”

Sie sind Betreiber kritischer Anlagen oder vermuten, dass Ihr Unternehmen in den Anwendungsbereich des KRITIS-Dachgesetzes fällt? Dann lohnt es sich, frühzeitig Klarheit zu schaffen und die Umsetzung strukturiert zu starten. 2B Consigli unterstützt Sie dabei praxisnah: von der Betroffenheitsprüfung über die Aufbauorganisation bis zur auditfähigen Documentazione.

Wir helfen Ihnen insbesondere bei:

  • Scope & Betroffenheitsanalyse (kritische Dienstleistungen, kritische Anlagen, Abhängigkeiten, Schnittstellen zu BSIG/NIS-2)
  • Risikoanalyse & Risikobewertung nach All-Gefahren-Ansatz (methodisch belastbar, entscheidungsfähig fürs Management)
  • Resilienzplan & Maßnahmenprogramm (Priorisierung, Umsetzungspfad, Governance, Evidenzen)
  • Meldeprozesse & Krisenorganisation (24-Stunden-Meldelogik, Templates, Übungen, Kommunikationskonzept)
  • Audit-Readiness (Nachweisführung, interne Kontrollen, Vorbereitung auf Behördenprüfungen/Vor-Ort-Checks)


Wenn Sie möchten, vereinbaren wir ein kurzes Erstgespräch, um Ihren Status quo einzuordnen und einen konkreten Fahrplan zu entwickeln. Schreiben Sie uns einfach – dann erhalten Sie innerhalb kurzer Zeit eine Einschätzung, welche nächsten Schritte für Ihr Unternehmen am meisten Wirkung entfalten.

Contattateci
Tag:
,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi