Zwei Gesetze, eine kritische Infrastruktur: Seit März 2026 steht neben dem NIS2UmsuCG ein weiteres Bundesgesetz in Kraft, das Betreiber kritischer Anlagen direkt betrifft – das KRITIS-Dachgesetz. Während das NIS2UmsuCG IT-Systeme und Netzwerke schützt, adressiert das KRITIS-DachG die physische Schutzebene: Perimetersicherung, Zutrittskontrolle, Angriffserkennung vor Ort und Resilenzplanung für den Fall eines direkten Angriffs auf die Anlage.
Der Bundesrat hat das Gesetz am 6. März 2026 verabschiedet – exakt an jenem Tag, an dem die NIS2-Registrierungsfrist beim BSI endete. Für die betroffenen Betreiber bedeutet das: Bis zum 17. Juli 2026 muss die Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) abgeschlossen sein. Danach folgen alle drei Jahre Nachweispflichten über die Umsetzung der Schutzmaßnahmen.
Dieser Leitfaden erklärt, was das KRITIS-Dachgesetz konkret verlangt, wer betroffen ist, welche Fristen gelten und wie das Gesetz mit dem NIS2UmsuCG zusammenspielt. Einen Überblick über die europäischen Grundlagen kritischer Infrastrukturregulie¬wrung bieten die NIS-2-Grundlagen.
Was ist das KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz (Kurzform: KRITIS-DachG) setzt die EU-Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in deutsches Recht um. Die CER-Richtlinie ist das physische Pendant zur NIS-2-Richtlinie: Während NIS-2 Cyberangriffe auf digitale Systeme adressiert, schützt die CER-Richtlinie kritische Anlagen vor physischen Bedrohungen – Naturkatastrophen, Sabotageakten, Terroranschlägen und Systemausfällen durch äußere Einwirkung.
Das Gesetz schließt eine jahrelange Regulierungslücke: Bis März 2026 existierten in Deutschland sektorspezifische Resilienzanforderungen – im Energiesektor über das Energiewirtschaftsgesetz, im Gesundheitssektor über Krankenhausgesetze der Länder – aber kein einheitliches Bundesgesetz, das physische Schutzpflichten für alle kritischen Sektoren übergreifend regelte. Das KRITIS-DachG schafft erstmals diesen gemeinsamen Rahmen.
Zuständige Bundesbehörde ist das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) in Bonn, das anders als das BSI (IT-Sicherheit) auf physische Gefahrenabwehr und Katastrophenschutz spezialisiert ist. Das BBK nimmt Registrierungen entgegen, führt Inspektionen durch und koordiniert die nationale Resilienzstrategie für kritische Anlagen.
Ein wesentlicher Unterschied zur IT-Regulierung: Die Kategorisierung im KRITIS-DachG richtet sich nach dem Begriff des Betreibers kritischer Anlagen, nicht nach dem Einrichtungsbegriff des NIS2UmsuCG. Der Fokus liegt auf der physischen Anlage selbst – dem Kraftwerk, dem Wasserwerk, dem Krankenhauskörper –, nicht auf den dort eingesetzten IT-Systemen.
Wer ist betroffen? Sektoren und Schwellenwerte
Das KRITIS-DachG richtet sich an Betreiber kritischer Anlagen in elf Sektoren – jene Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Folgen für das gesellschaftliche Leben, die Versorgungssicherheit oder die staatliche Handlungsfähigkeit hätte.
Die elf regulierten Sektoren:
- Energie (Strom, Gas, Öl, Fernwärme)
- Verkehr (Luft, Schiene, Straße, Binnenwasserstraßen, Häfen)
- Bankwesen
- Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Arzneimittelhersteller)
- Trinkwasserversorgung
- Abwasserentsorgung
- Digitale Infrastruktur
- Öffentliche Verwaltung (auf Bundesebene)
- Weltraum (Bodenstationen, Kontrollzentren)
- Lebensmittelproduktion und -versorgung
Innerhalb dieser Sektoren bestimmen gesetzlich festgelegte Schwellenwerte, welche konkreten Anlagen als kritisch gelten. Die genauen Werte werden in der KRITIS-DachG-Verordnung (BBK, in Abstimmung mit Fachministerien) präzisiert; bis zu deren Verabschiedung gelten die bisherigen KRITIS-Verordnungswerte als Orientierungsgröße. Beispielhaft:
| Sektor | Schwellenwert (Orientierung) |
|---|---|
| Stromerzeugung | Erzeugungsleistung ab 420 MW (Netz) oder 500.000 versorgte Kunden |
| Trinkwasserversorgung | Wasserwerke ab 500.000 versorgten Personen |
| Krankenhäuser | Ab 30.000 vollstationären Behandlungsfällen pro Jahr |
| Lebensmittel | Produktion für ≥500.000 Personen in der Versorgungsregion |
Von den Größenschwellen unabhängig können Betreiber durch einen individuellen BBK-Bescheid verpflichtet werden, wenn Systemeffekte bei einem Ausfall gesamtgesellschaftliche Konsequenzen hätten. Die Identifizierung erfolgt damit teils behördlich – anders als die Selbsteinstufung beim NIS2UmsuCG. Dennoch besteht eine Obliegenheit zur eigenständigen Prüfung anhand der Schwellenwerte.
Kommunale Energie- und Wasserversorger unterliegen denselben Anforderungen wie private Betreiber. Eine Privilegierung für öffentlich-rechtliche Organisationsformen ist nicht vorgesehen.
Pflichten und Fristen im Überblick
Registrierung beim BBK – Frist 17. Juli 2026
Alle identifizierten Betreiber kritischer Anlagen müssen sich bis zum 17. Juli 2026 beim BBK registrieren. Die Registrierung erfolgt über das BBK-Portal (Kritische-Infrastrukturen-Portal) und erfordert folgende Angaben:
- Name, Anschrift und Rechtsform des Betreibers
- Art und Standort der kritischen Anlage sowie zugehöriger Sektor
- Kontaktdaten der sicherheitsverantwortlichen Person (24/7 erreichbar)
- Grenzüberschreitende Abhängigkeiten bei europäisch vernetzten Anlagen
- Angaben zu bestehenden Sicherheitszertifizierungen
Betreiber, die bereits als KRITIS-Betreiber nach der bisherigen BSI-Kritisverordnung registriert sind, müssen in der Regel keine vollständige Neuregistrierung vornehmen, sondern ergänzende Angaben für das BBK nachreichen. Das BBK hat angekündigt, bestehende KRITIS-Stammdaten zu übertragen und betroffene Betreiber aktiv anzuschreiben. Ab dem 18. Juli 2026 kann das BBK Zwangsgelder festsetzen, um eine fehlende Registrierung zu erzwingen.
Risikoanalyse und Resilienzplan
Innerhalb von neun Monaten nach Registrierung – also spätestens bis April 2027 für Erstregistrierte – müssen Betreiber eine sektorspezifische Risikoanalyse vorlegen. Diese identifiziert alle relevanten physischen Bedrohungsszenarien (Naturkatastrophen, Unfallszenarien, Sabotage, Terrorismus) und bewertet die Kritikalität einzelner Teilsysteme der Anlage sowie mögliche Kaskadeneffekte auf andere kritische Infrastrukturen.
Auf Basis der Risikoanalyse ist ein Resilienzplan zu erstellen, der konkrete Maßnahmen zur Risikominderung, Reaktionspläne für den Krisenfall und Wiederherstellungsszenarien enthält. Der Resilienzplan muss dem BBK vorgelegt und bei wesentlichen Änderungen der Risikolage aktualisiert werden.
Physische Schutzmaßnahmen
Das KRITIS-DachG legt einen Katalog physischer Schutzmaßnahmen fest, die Betreiber umzusetzen haben:
| Maßnahme | Anforderung |
|---|---|
| Perimeterschutz | Sicherung der Außengrenzen des Anlagengaändes: Zäune, Barrieren, Sicherheitszonen mit abgestuftem Schutz |
| Zutrittskontrolle | Kontrollierte Zugänge für Personal und Besucher; biometrische Systeme oder Schleusen für Hochsicherheitsbereiche |
| Videoüberwachung | Lückenlose Überwachung sicherheitsrelevanter Bereiche mit Speicherfristen gemäß Landesrecht |
| Personelle Sicherheit | Zuverlässigkeitsüberprüfung für Schlüsselpersonal (erweiterte Sicherheitsüberprüfung nach ÜbSG) |
| Betriebliche Kontinuität | Redundanzkonzepte, Notfallversorgung (Notstromaggregate, Backup-Systeme), Wiederanlaufpläne |
| Krisenmanagement | Definierte Eskalationspläne, jährliche Übungsszenarien, Schnittstellen zu Behörden und Einsatzkräften |
Systeme zur Angriffserkennung (SzA)
Eine der technisch anspruchsvollsten Anforderungen des KRITIS-DachG ist die Implementierung von Systemen zur Angriffserkennung für sicherheitsrelevante Anlagenbereiche. Während das NIS2UmsuCG SzA für IT-Netzwerke verlangt, fordert das KRITIS-DachG analoge Systeme für die physische Domäne:
- Sensorgestützte Einbrucherkennung (Bewegungsmelder, Vibrationssensoren, Lichtschranken)
- Kamerasysteme mit Bewegungserkennung und KI-gestützter Anomalieerkennung
- Integration physischer Sicherheitsdaten in ein zentrales Lagebild (Security Operations Center)
- Definierte Meldewege zum BBK bei erkannten physischen Angriffen oder Sabotageakten
Die konkreten technischen Anforderungen werden durch eine noch ausstehende BBK-Technische Richtlinie (TR-KRITIS-SzA) präzisiert, die bis Ende 2026 veröffentlicht werden soll. Betreiber, die bereits über Systeme verfügen, die den Anforderungen an Einbruchmeldeanlagen (EMA) nach DIN EN 50131 entsprechen, erfüllen in der Regel die Mindestanforderungen – müssen aber die Integrationspflicht in ein Lagebild noch zusätzlich abbilden.
Nachweispflicht alle drei Jahre
Betreiber kritischer Anlagen müssen alle drei Jahre Nachweise über die Umsetzung der Schutzmaßnahmen beim BBK einreichen. Die erste Nachweisfrist beginnt drei Jahre nach der Erstregistrierung. Mögliche Nachweisformen:
- Prüfberichte akkreditierter Prüfstellen (vom BBK zertifiziert)
- Ergebnisse behördlicher Inspektionen, die das BBK auf eigene Initiative durchgeführt hat
- Selbstauskunft mit Begleitdokumentation für Maßnahmen ohne externe Prüfpflicht
Das BBK ist berechtigt, unangekündigte Inspektionen durchzuführen, um die Umsetzung der Maßnahmen vor Ort zu überprüfen. Dabei können externe Sachverständige hinzugezogen werden. Eine dauerhafte Prüfbereitschaft der Dokumentation ist für identifizierte Betreiber daher keine Empfehlung, sondern eine operative Notwendigkeit.
KRITIS-Dachgesetz und NIS2UmsuCG im Zusammenspiel
Für die meisten Betreiber kritischer Anlagen bedeutet das Jahr 2026 eine doppelte Regulierung: Wer als Betreiber nach KRITIS-DachG identifiziert wird, ist fast immer auch als besonders wichtige Einrichtung nach NIS2UmsuCG eingestuft. Beide Gesetze regulieren dieselbe Infrastruktur – aus unterschiedlichen Perspektiven.
| Merkmal | NIS2UmsuCG | KRITIS-Dachgesetz |
|---|---|---|
| Schutzgegenstand | IT-Systeme, Netzwerke, digitale Prozesse | Physische Anlagen, Gebäude, Versorgungsleitungen |
| Zuständige Behörde | BSI (Bundesamt für Sicherheit in der Informationstechnik) | BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) |
| Einstufung | Selbsteinstufung als wichtige / besonders wichtige Einrichtung | Behördliche Identifizierung durch BBK-Bescheid |
| Registrierungspflicht | BSI-Portal, Frist 6. März 2026 (abgelaufen) | BBK-Portal, Frist 17. Juli 2026 |
| Nachweiszyklus | Auditbasiert, unangekündigt für besonders wichtige Einrichtungen | Alle 3 Jahre formeller Nachweis |
| Angriffserkennung | IT-seitig: SzA für Netze und Systeme | Physisch: SzA für Anlagenobjekte und Perimeter |
Ein wesentlicher Unterschied in der Reichweite: Ein mittelgroßes Softwareunternehmen kann nach NIS2UmsuCG als wichtige Einrichtung reguliert sein, fällt aber nicht unter das KRITIS-DachG. Umgekehrt kann ein kleiner Wasserversorger in einer Schwellengemeinde dem KRITIS-DachG unterliegen, auch wenn seine IT-Systeme gerade noch unterhalb der NIS2-Schwellen liegen.
Für Einrichtungen, die unter beide Gesetze fallen, empfiehlt das BBK eine integrierte Compliance-Struktur: ein gemeinsames Risikomanagement-Framework, das beide Anforderungen adressiert und Doppelarbeit minimiert. Risikoanalysen, Incident-Response-Pläne und Schulungsnachweise lassen sich in einem einheitlichen Dokumentationsrahmen abbilden, der sowohl BSI-Anforderungen nach §§30 BSIG (NIS2UmsuCG) als auch die BBK-Anforderungen des KRITIS-DachG abdeckt.
Wie sich die Anforderungen im Detail unterscheiden, zeigt der direkte Vergleich: NIS2 vs. KRITIS – Gemeinsamkeiten und Unterschiede. Die technischen Mindestanforderungen an Maßnahmen und Dokumentation sind in den NIS-2-Anforderungen zusammengefasst.
Bußgelder und Sanktionen nach KRITIS-DachG
Das KRITIS-DachG sieht ein gestuftes Sanktionssystem vor, das sich an der Schwere des Verstoßes orientiert:
| Verstoß | Bußgeldrahmen |
|---|---|
| Fehlende Registrierung beim BBK | bis 500.000 € |
| Fehlende oder mangelhafte Risikoanalyse / Resilienzplan | bis 1.000.000 € |
| Systematische Verletzung physischer Schutzpflichten | bis 10.000.000 € oder 2 % des weltweiten Jahresumsatzes |
Neben Geldsanktionen kann das BBK:
- Bindende Anordnungen zur Mängelbeseitigung mit festen Fristen erlassen
- Betriebseinschränkungen für Teilbereiche der Anlage anordnen
- Externe Inspektionen auf Kosten des Betreibers anordnen
- Bei schwersten Verstößen die Betriebsgenehmigung vorübergehend entziehen
Die persönliche Haftung der Geschäftsleitung ist im KRITIS-DachG weniger explizit geregelt als in §38 BSIG des NIS2UmsuCG, besteht aber nach allgemeinen gesellschaftsrechtlichen Grundsätzen: Geschäftsführer, die Schutzpflichten systematisch ignorieren, haften dem Unternehmen gegenüber für daraus resultierende Schäden nach §43 GmbHG bzw. §93 AktG.
Häufig gestellte Fragen
Was ist der Unterschied zwischen dem KRITIS-Dachgesetz und dem alten KRITIS-Recht?
Das bisherige KRITIS-Recht (BSI-Kritisverordnung) regulierte primär die IT-Sicherheit für KRITIS-Betreiber. Das neue KRITIS-DachG geht darüber hinaus und regelt zusätzlich den physischen Schutz der Anlage selbst. Beide Schichten existieren nun parallel: IT-Sicherheit bleibt beim BSI unter NIS2UmsuCG; die physische Resilienz kommt beim BBK unter das KRITIS-DachG.
Gilt die Frist 17. Juli 2026 für alle Betreiber?
Die Frist gilt für Betreiber, die bis zum Verabschiedungsdatum (6. März 2026) bereits identifiziert waren oder sich auf Basis der Schwellenwerte als betroffen eingestuft haben. Betreiber, die erst danach durch BBK-Bescheid identifiziert werden, erhalten eine individuelle Frist von in der Regel drei Monaten ab Mitteilung. Das BBK hat angekündigt, die Identifizierung schrittweise bis Ende 2026 abzuschließen.
Muss ich separate Risikoanalysen für NIS2 und KRITIS-DachG erstellen?
Nein, eine integrierte Risikoanalyse ist möglich und sinnvoll. Allerdings sind die Anforderungen inhaltlich verschieden: NIS2UmsuCG fokussiert auf IT/OT-Risiken; KRITIS-DachG auf physische Bedrohungsszenarien. In der Praxis empfiehlt sich eine Gesamtrisikoanalyse mit einem IT/Cyber-Teil (vorgelegt beim BSI) und einem physischen Teil (vorgelegt beim BBK). Beide können auf derselben Bewertungsmethodik und denselben Risikomatrizen aufbauen.
Was versteht das KRITIS-DachG unter „Systemen zur Angriffserkennung“?
Im physischen Kontext: technische Systeme, die unbefugtes Eindringen in sicherheitsrelevante Bereiche der Anlage erkennen und Alarm auslösen. Das umfasst klassische Einbruchmeldeanlagen (EMA) nach DIN EN 50131, aber auch KI-gestützte Videoanalysesysteme und Sensornetze. Die technischen Mindestanforderungen werden in einer noch ausstehenden BBK-Technischen Richtlinie (TR-KRITIS-SzA, geplant bis Ende 2026) präzisiert.
Was passiert, wenn ich die Registrierungsfrist 17. Juli 2026 versäume?
Ab dem 18. Juli 2026 kann das BBK Zwangsgelder festsetzen, um die Registrierung zu erzwingen. Eine nachträgliche Registrierung mindert das Bußgeldrisiko, hebt aber den formellen Verstoß nicht rückwirkend auf. Das BBK hat signalisiert, dass es zunächst auf freiwillige Compliance setzt – aber eine vollständige Registrierung aller identifizierten Betreiber bis Ende 2026 erwartet und Verstöße konsequent verfolgen wird.
Sind auch Dienstleister betroffen, die für KRITIS-Betreiber tätig sind?
Das KRITIS-DachG richtet sich primär an die Betreiber kritischer Anlagen selbst, nicht an deren Dienstleister. Allerdings sind Betreiber verpflichtet, Sicherheitsanforderungen an wesentliche Lieferanten vertraglich durchzusetzen und im Resilienzplan die Abhängigkeiten von Dienstleistern zu dokumentieren. Dienstleister in kritischen Sektoren können zusätzlich selbst als Betreiber kritischer Anlagen qualifizieren, wenn sie eigene regulierte Anlagenobjekte betreiben.
Dieser Artikel stellt allgemeine Informationen bereit und stellt keine Rechts- oder Regulierungsberatung dar. Die Anforderungen können je nach Sektor, Anlagetyp und Organisationsform variieren. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten.
Quellen
- KRITIS-Dachgesetz – Informationen für Betreiber — Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
- Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) — EUR-Lex, Amtsblatt der Europäischen Union
- Das KRITIS-Dachgesetz – Überblick und Anforderungen — OpenKRITIS
- Zusammenwirken von NIS2UmsuCG und KRITIS-Dachgesetz — Bundesamt für Sicherheit in der Informationstechnik (BSI)
- KRITIS-Dachgesetz (KRITIS-DachG) – Gesetzestext — Bundesministerium der Justiz
