Online-Forum für Betriebswirtschaft, Wirtschaftsrecht und Steuerrecht der Versorgungs- und kommunalen Unternehmen

KRITIS-Dachgesetz ist in Kraft

17.03.2026 Das Gesetz zur Stärkung der Resilienz kritischer Anlagen (kurz: KRITIS-Dachgesetz) – in Kraft getreten am 17.03.2026 – soll die physische Sicherheit kritischer Infrastrukturen (wie Energie, Wasser, Transport) sektorenübergreifend stärken. Es setzt die EU-CER-Richtlinie um und verpflichtet Betreiber zu Risikoanalysen, Erstellung von Resilienzplänen und zu Störfallmeldungen. Im KRITIS-Dachgesetz werden bundeseinheitliche und sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen festgelegt, also auch, welche Unternehmen und Einrichtungen Teil der kritischen Infrastruktur sind. Die Vorschriften des § 14 Abs. 3 - 5, die im Wesentlichen die Zusammenarbeit, den Informationsaustausch und die Weitergabe von Risikobewertungen in der Europäischen Union betreffen, treten erst am 01.01.2030 in Kraft.

Mit dem KRITIS-Dachgesetz werden erstmalig folgende Sektoren zusammengefasst: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie die Öffentliche Verwaltung. Die bestehenden Regelungen ergänzen im Bereich der IT-Sicherheit die vorgenannten kritischen Infrastrukturen. Das Gesetz verpflichtet Unternehmen in diesen Sektoren zu einem besseren physischen Schutz ihrer Anlagen. Es legt fest, welche Infrastruktureinrichtungen für die Versorgung der Bevölkerung und zur Aufrechterhaltung der Wirtschaft unentbehrlich sind. Zudem wird bundesweit bestimmt, welche Unternehmen und Einrichtungen Teil der kritischen Infrastruktur sind: Die Einrichtung muss essenziell für die Gesamtversorgung in Deutschland sein und mehr als 500.000 Personen versorgen.

Das KRITIS-Dachgesetz nimmt dabei die Geschäftsleitung persönlich in die Verantwortung. So sind die Geschäftsführer verpflichtet, die erforderlichen Resilienzmaßnahmen umzusetzen und dies durch organisatorische Sicherheitsmaßnahmen zu gewährleisten. Darüber hinaus werden bundeseinheitliche und sektorübergreifende Mindeststandards für den physischen Schutz der kritischen Infrastrukturen durch die Betreiber festgelegt. Das können zum Beispiel Notfallteams, ein stärkerer Objektschutz und Maßnahmen zur Ausfallsicherheit sein. Eine Grundlage hierfür sind Risikoanalysen und Risikobewertungen, die von den zuständigen staatlichen Stellen erarbeitet und den Betreibern zur Verfügung gestellt werden. Zudem ist eine Meldepflicht für Vorfälle vorgesehen. Das Gesetz macht Betreibern kritischer Anlagen aber keine konkreten Vorgaben, sondern verpflichtet sie lediglich dazu, geeignete und verhältnismäßige Maßnahmen zu ergreifen. Welche das sind, kann sich von Sektor zu Sektor und von Unternehmen zu Unternehmen unterscheiden.

Die Länder haben die Möglichkeit, weitere kritische Anlagen für kritische Dienstleistungen, die allein in ihrer Zuständigkeit liegen, zu identifizieren. Das Bundesinnenministerium ist ermächtigt, die entsprechenden Kriterien und Verfahren per Rechtsverordnung festzulegen. Diese bedarf der Zustimmung des Bundesrates.

Wer bisher Betreiber kritischer Anlagen war, wird dies voraussichtlich auch bleiben. Allen Anlagenbetreibern ist zu raten, eine aktuelle Betroffenheitsanalyse vorzunehmen. Schon heute empfiehlt es sich, die physische Widerstandsfähigkeit in bestehende Risikoanalyseprozesse aufzunehmen, um darauf aufbauend branchenspezifische Mindeststandards zügig umsetzen zu können. In der KRITIS-Resilienzstrategie sollen Erwägungen zu Transparenzpflichten für kritische Infrastrukturen berücksichtigt werden. Zudem soll eine Evaluierung des KRITIS-Dachgesetzes bereits in 2 Jahren erfolgen.

– MS –

Zurück zur Übersicht der aktuellen Meldungen
Copyright 2026 vkw-online

Autoren:

Fachartikel:

Erweiterte Suche