Neuer KRITIS Deal, harte Pflichten und mehr Resilienz für kritische Infrastruktur
Deutschland steht beim Schutz kritischer Infrastrukturen unter spürbarem Handlungsdruck. Sabotage, Extremwetter, Lieferkettenausfälle und hybride Bedrohungen treffen nicht nur „den Staat“, sondern ganz konkret Betreiberinnen und Betreiber von Anlagen, die Energie, Wasser, Gesundheit, Verkehr oder Finanzdienstleistungen sicherstellen. Genau hier setzt das KRITIS-Dachgesetz an. Es soll bundeseinheitliche Mindeststandards für die physische Resilienz schaffen. Also dafür sorgen, dass kritische Anlagen auch dann weiter funktionieren, wenn es zu Störungen kommt, oder dass sie schnell wiederhergestellt werden können.
Aktuell berichten Medien über eine politische Einigung, die den Weg für die Verabschiedung des Gesetzes ebnen soll. Für Unternehmen ist das der entscheidende Moment: Wer zu den betroffenen „kritischen Anlagen“ zählt, muss Prozesse, Verantwortlichkeiten und Investitionsplanung rechtzeitig vorbereiten. Denn die neuen Pflichten wirken in der Praxis wie ein Compliance-Programm: Registrierung, Risikoanalysen, Resilienzpläne und Störungsmeldungen werden zur Regel. Einen ersten Überblick zur aktuellen Lage geben etwa aktuelle Berichte aus Parlamentskreisen sowie Hintergrunddarstellungen der Bundesregierung und des Bundesinnenministeriums.
Worum geht es beim KRITIS-Dachgesetz überhaupt?
Das Gesetz zielt auf den „physischen“ Schutz und die Widerstandsfähigkeit kritischer Anlagen ab, also auf alles, was jenseits reiner IT-Sicherheit liegt: Zutrittskontrollen, Perimeterschutz, Notstrom, Ersatzteile, Krisenmanagement, Ausweichstandorte, Personal- und Lieferkettenrisiken. Grundlage ist ein europaweiter Rahmen: die sogenannte CER-Richtlinie, ausgeschrieben „Critical Entities Resilience“. Sie verpflichtet die Mitgliedstaaten, die Resilienz kritischer Einrichtungen zu stärken. Deutschland setzt das über ein eigenes Dachgesetz um, das sektorenübergreifend Mindestanforderungen festlegt.
Ihr gutes Recht – jetzt mit KI klären lassen.
Jetzt mit einem
Anwalt sprechen
Telefonische Rechtsberatung
persönlich & lösungsorientiert
- 15 / 30 / 45 Minuten wählbar
- Antwort in ca. 4 Stunden
- Wenn Reden wichtig ist
Direkt klären, statt schreiben.
- PDF-Antwort in 5 klaren Kapiteln auf Ihre Frage
- Optional:
- Check von bis zu 5 Dokumenten (PDF)
- Telefonat mit einem Anwalt zum Thema
Schriftliche Antwort
vom Anwalt
Eine Rechtsfrage mit
Dokumentenprüfung
- Schriftliche, anwaltliche, Ausarbeitung
- Upload eines Dokumentes
- Eine Rückfrage inklusive
Wenn es vom Anwalt schriftlich sein soll
LexBot® ist als Marke geschützt und beim Deutschen Patent- und Markenamt (DPMA) registriert.
Wichtig: KRITIS-Dachgesetz ist nicht gleich NIS2.
Viele verwechseln KRITIS-Pflichten mit der NIS2-Richtlinie. NIS2, ausgeschrieben „Network and Information Security Directive 2“, ist das EU-Regelwerk zur Cybersicherheit. Deutschland hat die NIS2-Vorgaben bereits in nationales Recht überführt. Parallel dazu kommt nun das KRITIS-Dachgesetz für die physische Resilienz. Beide Stränge sollen möglichst verzahnt werden: gemeinsame Definitionen, möglichst einheitliche Meldewege, abgestimmte Behördenprozesse. Wer betroffen ist, muss daher oft zweigleisig denken: Cyber und physisch. Informationen zur NIS2-Richtlinie stellt die EU-Kommission bereit. Zusätzlich weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf neue Portale und Prozesse hin, die für meldepflichtige Stellen relevant sind.
Wer ist von KRITIS betroffen?
Betroffen sind nicht „alle“, sondern Betreiber kritischer Anlagen in besonders relevanten Sektoren. Dazu zählen typischerweise Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser und weitere Bereiche. Medienberichte nennen als Faustregel teils Schwellenwerte wie eine Versorgung von mindestens 500.000 Einwohnern, je nach Sektor und Ausgestaltung. Entscheidend ist aber nicht eine Schlagzeile, sondern die konkrete gesetzliche Definition und die spätere Rechtsverordnung, die den Adressatenkreis präzisiert. Der Gesetzentwurf, der im Bundestag beraten wurde, beschreibt zudem ausdrücklich einen „All-Gefahren-Ansatz“: Es geht nicht nur um Terror, sondern auch um Naturereignisse, technische Defekte, menschliches Versagen und Kaskadeneffekte.
Welche Pflichten kommen typischerweise auf Betreiber zu?
Aus dem Entwurf ergeben sich zentrale Bausteine:
- Resilienzplan: Auf Basis einer Risikoanalyse und Risikobewertung muss dokumentiert werden, welche technischen, sicherheitsbezogenen und organisatorischen Maßnahmen geeignet und verhältnismäßig sind.
- Kontaktstelle: Betreiber müssen eine erreichbare Stelle benennen, die für Behördenkommunikation und Störungsfälle zuständig ist.
- Störungsmeldungen: Erhebliche Störungen sollen über eine digitale Plattform gemeldet werden, die in der Konzeption zusammen mit dem BSI verzahnt ist.
- Branchenspezifische Standards: Branchen können Resilienzstandards entwickeln, die behördlich anerkannt werden und so praktische Leitplanken setzen.
- Fristen und Umsetzungsfenster: Der Entwurf arbeitet mit gestuften Zeitpunkten, etwa für den Start der Resilienzpflichten nach Inkrafttreten.
Warum ist das für KMU und Dienstleister relevant, auch wenn sie selbst nicht „KRITIS“ sind?
Selbst wenn ein Unternehmen nicht als Betreiber kritischer Anlagen eingestuft wird, kann es indirekt betroffen sein. Kritische Betreiber werden ihre Lieferketten absichern müssen, vertragliche Anforderungen an Dienstleister verschärfen, Notfallpläne mit Partnern abstimmen, Audit-Rechte verlangen und Mindeststandards für Zutritt, Wartung und Incident-Kommunikation festlegen. Das betrifft etwa Sicherheitsdienstleister, Facility Management, Cloud- und Rechenzentrumsdienstleister, Logistik, Ersatzteil-Lieferanten, Wartungsfirmen und technische Integratoren.
Welche Rechtsrisiken drohen?
Im Mittelpunkt stehen typischerweise Aufsicht und Sanktionen. Der Gesetzgeber will Resilienz nicht als „freiwilliges Nice-to-have“, sondern als überprüfbares Pflichtprogramm etablieren. Das führt in der Praxis zu drei Risikolinien:
- Behördliche Maßnahmen: Anordnungen, Nachweisanforderungen, gegebenenfalls Fristen und Vorgaben zur Nachbesserung.
- Bußgelder: Wenn Pflichten verletzt werden, sind empfindliche Bußgelder möglich, insbesondere bei systematischen Versäumnissen.
- Zivilrechtliche Folgewirkungen: Vertragsstrafen, Schadensersatz, Haftungsdiskussionen mit Kunden und Versicherern nach Ausfällen oder Störungen.
Was ist mit „Transparenz“ und sensiblen Informationen?
KRITIS-Regulierung bewegt sich immer im Spannungsfeld: Der Staat braucht Lagebilder, Betreiber müssen Störungen melden, gleichzeitig dürfen detaillierte Sicherheitsinformationen nicht zum „Bauplan“ für Angreifer werden. In der politischen Debatte wird daher regelmäßig um Meldeumfang, Vertraulichkeit und Zugriffsbefugnisse gerungen. Genau deshalb ist es wichtig, die späteren Detailregelungen und behördlichen Leitfäden im Blick zu behalten.
Aktueller Stand: politische Einigung und nächste Schritte
Laut aktuellen Berichten aus Parlamentskreisen soll eine Einigung erzielt worden sein, die das Gesetz in Richtung Beschluss bringt. Für Unternehmen ist das ein typischer Kipppunkt: Sobald ein Gesetz in die Zielgerade kommt, werden Fristen plötzlich „real“. Wer erst nach der Verkündung startet, verliert wertvolle Monate. Erste Einordnungen finden sich in aktuellen Medienberichten sowie in begleitenden Hintergrundseiten der Bundesregierung und des Bundesinnenministeriums. Auch juristische Presseschauen greifen das Thema immer wieder auf, insbesondere im Kontext von Sabotagefällen und Schutzbedarf kritischer Netze.
Praktische Tipps
Wenn Sie in einem potenziell betroffenen Sektor tätig sind, lohnt sich eine pragmatische Vorgehensweise in fünf Schritten:
- Betroffenheit klären
Prüfen Sie strukturiert: Betreiben Sie Anlagen, die unter KRITIS fallen könnten? Gibt es Schwellenwerte, Versorgungskennzahlen oder sektorale Kriterien, die Sie erfüllen? Dokumentieren Sie das Ergebnis, auch wenn Sie sich aktuell nicht als betroffen einstufen. - Governance festziehen
Benennen Sie intern Verantwortliche für Resilienz, getrennt nach physischer Sicherheit, Betrieb und Compliance. Legen Sie fest, wer Risikoanalysen freigibt, wer Behördenkontakte hält und wer im Notfall entscheidet. - Risikoanalyse nicht als Papierübung behandeln
Eine brauchbare Analyse ist szenariobasiert: Stromausfall, Ausfall von Zulieferern, Personalmangel, Hochwasser, Brand, Sabotage, Ausfall von Telekommunikation, Fehlbedienung. Bewerten Sie Eintrittswahrscheinlichkeit, Auswirkungen, Wiederanlaufzeiten und Abhängigkeiten. - Resilienzmaßnahmen priorisieren
Starten Sie mit „No-Regret“-Maßnahmen: Zutritts- und Schlüsselmanagement, klare Krisenrollen, Notfallkommunikation, Notstromkonzept, Ersatzteilstrategie, regelmäßige Übungen. Viele dieser Punkte verbessern auch Versicherbarkeit und Betriebsstabilität. - Lieferkette vertraglich absichern
Prüfen Sie Dienstleisterverträge auf Notfallpflichten, Meldewege, Reaktionszeiten, Audit-Rechte und Mindeststandards. Wer später nachverhandeln muss, hat meist das schlechtere Blatt.
Extra-Hinweis für Unternehmen, die bereits NIS2 umsetzen: Nutzen Sie vorhandene Strukturen. Incident-Prozesse, Management-Reviews, Lieferantenbewertungen und Schulungen lassen sich oft so erweitern, dass physische Resilienz „mitläuft“, statt parallel ein zweites System aufzubauen.
Übersicht
| Thema | Was bedeutet das praktisch? | To-do jetzt |
|---|---|---|
| Betroffenheit | KRITIS-Betreiber in Schlüssel-Sektoren, konkretisiert durch Rechtsverordnung | Sektorzuordnung, Kennzahlen, Anlageninventar dokumentieren |
| Registrierung | Behördliche Erfassung, klare Ansprechpartner, bessere Lagebilder | Kontaktstelle festlegen, Datenbasis vorbereiten |
| Risikoanalyse | All-Gefahren-Ansatz, Abhängigkeiten und Kaskaden berücksichtigen | Szenarien definieren, Recovery-Ziele festlegen, Maßnahmen ableiten |
| Resilienzplan | Dokumentiertes Maßnahmenpaket, technisch und organisatorisch | Bestehende Notfallpläne konsolidieren, Lücken schließen, Übungen planen |
| Störungsmeldungen | Meldewege, Fristen, digitale Plattformen, Lagebild-Logik | Meldeprozess definieren, Rollen, Freigaben, Kommunikationsbausteine |
| Lieferkette | Vertragliche Mindeststandards, Notfallverfügbarkeit, Nachweise | Top-Lieferanten priorisieren, Vertragsupdates, Exit- und Backup-Strategien |
Fazit
Das KRITIS-Dachgesetz bringt den physischen Schutz kritischer Anlagen in Deutschland auf ein neues Level. Für Betreiber bedeutet das: weniger Bauchgefühl, mehr nachweisbare Resilienz. Wer früh startet, kann Pflichten in sinnvolle Betriebsabläufe integrieren und Investitionen planbar machen. Wer abwartet, riskiert hektische Umsetzungen, Vertragskonflikte mit Dienstleistern und unnötige Reibung mit der Aufsicht. Gerade weil KRITIS und NIS2 in der Praxis zusammenspielen, lohnt sich jetzt ein integrierter Ansatz, der Sicherheit, Betrieb und Compliance zusammenführt.
Rechtlicher Hinweis
- Haftungsausschluss: Die Inhalte wurden mit größter Sorgfalt erstellt, ersetzen aber keine individuelle Prüfung des Einzelfalls.
- Keine Rechtsberatung: Dieser Beitrag stellt allgemeine Informationen dar und ist keine Rechtsberatung.
- Passenden Anwalt finden: Anwalt für IT-Recht
- Telefonische Rechtsberatung: 30 Minuten / 49,99 €* unter https://www.rechtsanwalt.com/telefonische-rechtsberatung/
- LexBot: erstklassige KI-Rechtsberatung ab 29,99 €* https://www.rechtsanwalt.com/lexbot-ki-rechtsberatung/
- Dieser Artikel wurde mit Hilfe von KI erstellt.
Weiterführende Quellen:
- Medienbericht zur aktuellen Einigung beim Gesetz zum Schutz kritischer Infrastruktur
- BMI: Gesetzgebungsverfahren zum KRITIS-Dachgesetz
- Deutscher Bundestag: Gesetzentwurf zur Umsetzung der CER-Richtlinie und Stärkung der Resilienz kritischer Anlagen
- EU-Kommission: NIS2-Richtlinie
- BSI: Informationen zur Umsetzung von NIS2 und Meldeprozessen
- Bundesregierung: Überblick zum KRITIS-Dachgesetz
- LTO Presseschau: KRITIS-Dachgesetz im Kontext aktueller Schutzdebatten
Sollte Ihnen dieser Beitrag geholfen haben, so können Sie uns etwas zurückgeben in dem Sie uns bei Google bewerten.