KRITIS-Dachgesetz in Kraft: So stärken Betreiber ihre physische Resilienz.

Im März 2026 ist das KRITIS-Dachgesetz (KRITIS-DachG) in Kraft getreten. Es setzt die europäische Resilienz-Richtlinie um und verpflichtet die Betreiber kritischer Anlagen zu Schutzmaßnahmen vor physischen Gefahren. Der europäische Normgeber will dadurch sicherstellen, dass Unternehmen und öffentliche Einrichtungen, die für die Gesellschaft und den Binnenmarkt wichtige Dienste erbringen, möglichst ungestört diese Dienste zur Verfügung stellen können.

Hintergründe zum KRITIS-DachG.

Im Jahr 2022 verabschiedete die EU die EU-Cybersecurity-Strategy, die zwei Richtlinien „im Gepäck hatte“. Die NIS-2-Richtlinie (Zweite Netzwerk- und Informationssicherheits-Richtlinie) widmet sich den IT-Gefahren, während die Resilienz-Richtlinie physische Gefahren im Blick hat. Damit verfolgen die Richtlinien einen „All-Gefahren-Ansatz“, da sich die Gefahren für Unternehmen und öffentliche Einrichtungen nicht mehr klar in den cyber- und nicht-cyberbezogenen Risikobereich einordnen lassen. Die NIS-2-Richtlinie wurde Ende 2025 über das BSIG in nationales Recht umgesetzt, die Resilienz-Richtlinie nun im KRITIS-DachG.

Anwendungsfälle des KRITIS-DachG.

Das KRITIS-DachG umfasst sowohl die Auswirkungen von Naturgefahren als auch unmittelbar vom Menschen verursachte, unbeabsichtigte oder vorsätzliche Schädigungen. Sowohl Starkregen-Ereignisse als auch vorsätzliche Schädigungen der Stromversorgung, wie Anfang 2026 in Berlin, sind demnach klassische Anwendungsfälle des KRITIS-DachG. Alltäglichere Fälle sind außerdem unbeabsichtigte Störungen der Strom- oder Telekommunikationsversorgung durch Bauarbeiten oder allgemeine Störungen der Stromversorgung. Ebenfalls hochaktuell sind außerdem Drohnensichtungen und unmittelbar gegen die Anlagen gerichtete Sabotage-Akte.

Welche Sektoren sind betroffen?

Das KRITIS-DachG erfasst sog. Betreiber kritischer Anlagen, die auch das BSIG adressiert. Hier findet die personelle Überschneidung im Anwendungsbereich der beiden Gesetze statt, während die wichtigen und besonders wichtigen Einrichtungen des BSIG nicht vom KRITIS-DachG betroffen sind. Das KRITIS-DachG ist also anlagen- und nicht einrichtungsbezogen. Relevante Sektoren sind Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung. Sie alle stimmen darin überein, dass ihr Ausfall oder eine Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde.

Wie wird der Anwendungsbereich konkret bestimmt?

Wer als Betreiber einer kritischen Anlage konkret betroffen ist, folgt aus der BSI-Kritisverordnung. Diese Rechtsverordnung wurde zuvor auf das BSIG gestützt, nun ist ihre Ermächtigungsgrundlage im KRITIS-DachG angelegt, daher auch der Titel des Gesetzes. Die BSI-Kritisverordnung legt für jeden Sektor konkret fest, welche Schwellenwerte die jeweiligen Anlagen erfüllen müssen, damit der Betreiber erfasst ist. Hierfür orientiert sich die Verordnung am Schwellenwert von 500.000 durch die Dienstleistung versorgten Personen. Die Betroffenheit bestimmt sich also über eine Sektorzugehörigkeit und einen bestimmten Umfang der Dienstleistung. Wer als Betreiber einer kritischen Anlage betroffen ist, muss sich beim gemeinsame Registrierungsportal von Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Kernvorschrift zur Resilienz-Pflicht.

Die Kernvorschrift stellt § 13 KRITIS-DachG dar. Absatz 1 verpflichtet Betreiber kritischer Anlagen, geeignete Resilienzmaßnahmen zu ergreifen, um Vorfälle möglichst zu verhindern, Anlagen und Liegenschaften angemessen physisch zu schützen und auf Störungen wirksam zu reagieren. Ziel ist zudem, die negativen Auswirkungen von Vorfällen zu begrenzen und die kritische Dienstleistung schnellstmöglich wiederherzustellen.

Absatz 3 konkretisiert den Maßnahmenkatalog und nennt beispielhaft bauliche, technische und organisatorische Schutzmaßnahmen, etwa Objektschutz, Überwachung, Zutrittskontrollen sowie Risiko- und Krisenmanagementverfahren. Ergänzt werden diese Pflichten durch Vorkehrungen zur Aufrechterhaltung des Betriebs, einschließlich Notstromversorgung und alternativer Lieferketten, sowie durch angemessenes Sicherheitsmanagement und Schulungen des Personals. Das Gesetz macht keine konkreten Vorgaben zur Drohnenabwehr, dies wurde nur im Luftsicherheitsgesetz für Flughäfen aufgenommen. Klärende Vorgaben wären hier wünschenswert gewesen, so müssen die Betreiber eine beabsichtigte Drohnenabwehr in die sehr abstrakten Vorgaben des KRITIS-DachG einpflegen.

Stellschrauben für die Umsetzung der Resilienz-Pflicht.

Damit der Anlagenbetreiber weiß, welche Maßnahmen er ergreifen muss, greift er auf die Ergebnisse einer nationalen Risikoanalyse und -bewertung zurück, die aber erst noch erstellt werden muss. Außerdem muss er eine eigenständige Risikoanalyse und -bewertung des Einzelfalls durchführen. Hierfür soll er auf „vertrauenswürdige Informationsquellen“ zurückgreifen. Das kann etwa Anfragen an kommunale Ämter erfordern, zudem eignen sich behördliche Lageberichte, die sich zur physischen Sicherheit äußern. Die technischen, sicherheitsbezogenen und organisatorischen Maßnahmen müssen verhältnismäßig sein. Hierfür ist eine Zweck-Mittel-Relation vorzunehmen, die den Aufwand der Verhinderung oder Begrenzung eines Vorfalls mit dem Risiko eines Ausfalls vergleicht. Wirtschaftliche Aspekte sind ebenfalls zu berücksichtigen. Wie im BSIG bekannt, können Branchenverbände Branchenspezifische Resilienzstandards erarbeiten, die den Betreibern Rechtssicherheit bei der Umsetzung geben können.

Darstellung und Anwendung eines Resilienzplans.

Die Maßnahmen zur Umsetzung der Resilienzpflicht werden in einem Resilienzplan dargestellt, logischerweise wird er dann auch angewendet. Im Resilienzplan sind auch die Erwägungen zu den einzelnen Sicherheitsmaßnahmen niederzuschreiben. Aufgrund der darin liegenden sensiblen Informationen ist er streng vertraulich zu behandeln. Der Plan muss jedenfalls dann aktualisiert werden, wenn eine neue Risikoanalyse und -bewertung durch den Betreiber durchgeführt wurde. Dies muss spätestens im Vier-Jahres-Rhythmus erfolgen. Das BBK wird hierzu Vorlagen und Muster veröffentlichen.

Weitere Rechtspflichten im KRITIS-DachG.

Wie schon im BSIG kennt auch das KRITIS-DachG eine Geschäftsleitungspflicht, wonach diese die Letztverantwortung für die Umsetzung des Risikomanagements trägt und bei Schäden persönlich haften kann. Zwar schreibt das KRITIS-DachG nicht ausdrücklich die Geschäftsführungsschulungen vor, um der Letztverantwortung aber rechtssicher nachkommen zu können, ist ein ausreichender Fachkenntnisstand erforderlich.

Sicherheitsvorfälle müssen unverzüglich an das gemeinsame Portal von BBK und BSI gemeldet werden, zudem ist eine Abschlussmeldung vorgeschrieben. Die Meldevorschriften von KRITIS-DachG und BSIG harmonieren leider nicht vollständig. Zudem müssen die Betreiber mit den Aufsichtsbehörden kooperieren und können ggf. zur Vorlage von Audits zum Risikomanagement verpflichtet werden. Bei Verstößen gegen die Vorgaben des KRITIS-DachG drohen Bußgeldsanktionen von bis zu 1 Mio. EUR.

Was sind die „Next Steps“?

Die Pflicht zur Risikoanalyse und -bewertung gilt für die Unternehmen 9 Monate nach der Registrierung, die Resilienz-, Melde- und Geschäftsleitungspflichten 10 Monate nach der Registrierung. Startpunkt ist also die Betroffenheitsprüfung mit der anschließenden Registrierung. Hilfreich ist eine Einsetzung einer Projektgruppe zur Vorbereitung von Risikoanalyse und -bewertung. Sie setzt sich aus unterschiedlichen Disziplinen zusammen, die mit den Themen Sicherheit und Governance gut bekannt sind. Fachkenntnisse aus dem Unternehmen müssen zwingend genutzt werden. Sinnvollerweise prüft diese auch, welche Maßnahmen und Analysen bereits durchgeführt wurden, weil sie ggf. andere Gesetze oder Versicherungsverträge vorschreiben. Zu denken ist etwa an Geschäftsgeheimnisschutz oder Brandschutz. Anschließend stellt die Geschäftsleitung sicher, dass angemessene Risikomanagement-Maßnahmen ergriffen werden. Dies muss sie überwachen. Daher ist ein ausreichender Informationsfluss zur Geschäftsleitung unerlässlich.