Anlagen, Sand

Das KRITIS-Dachgesetz: Neue Pflichten für Betreiber kritischer Anlagen

11. Februar 2026

Am 29.1.2026 hat der Bundestag das KRITIS-Dachgesetz beschlossen. Für die Verabschiedung des Gesetzes fehlt nur noch die Zustimmung des Bundesrats. Damit kommen auf die betroffenen Unternehmen und ihre Geschäftsführer umfangreiche Pflichten zu. Nach dem „All-Gefahren-Ansatz“ regelt das KRITIS-Dachgesetz die physische Sicherheit von kritischen Anlagen (zuvor Kritische Infrastruktur) und ergänzt das kürzlich in Kraft getretene NIS2-Umsetzungsgesetz, das die Cybersicherheit stärkt. Wie das NIS2-Umsetzungsgesetz richtet sich das KRITIS-Dachgesetz an Betreiber kritischer Anlagen und darüber hinaus an eine Vielzahl weiterer Unternehmen, die in kritischen Sektoren tätig sind. 

Geschäftsführer in der Verantwortung 

Das KRITIS-Dachgesetz nimmt – wie schon das NIS2-Umsetzungsgesetz – die Geschäftsleitung persönlich in die Verantwortung. Nach § 20 KRITIS-Dachgesetz sind Geschäftsführer verpflichtet, die erforderlichen Resilienzmaßnahmen umzusetzen und deren Umsetzung durch organisatorische Sicherheitsmaßnahmen sicherzustellen.  

Wer ist betroffen? 

Betroffen sind Betreiber kritischer Anlagen, die einem der gesetzlich definierten Sektoren angehören. Zu den erfassten Sektoren zählen insbesondere Energie, Wasser, Informationstechnik und Telekommunikation sowie Siedlungsabfallentsorgung. Wer Betreiber einer kritischen Anlage unter dem KRITIS-Dachgesetz ist, wird eine Rechtsverordnung abschließend bestimmen. Diese soll sich an der bereits erlassenen BSI-KRITIS-Verordnung (BSI-KritisV) orientieren. 

Deshalb werden Unternehmen, die bislang als Betreiber einer kritischen Anlage galten, wohl weiterhin darunterfallen. Denn auch das KRITIS-Dachgesetz ist im Ausgangspunkt anwendbar auf Anlagen, die mehr als 500.000 Einwohner versorgen. Gleichzeitig kann die Bundesregierung im Einzelfall abweichende Beurteilungen treffen und Anlagen vom Anwendungsbereich ausnehmen oder einschließen. Zudem wird der Regelschwellenwert von 500.000 versorgten Einwohnern durch branchenspezifische Richtwerte konkretisiert, die eine genaue Betrachtung erforderlich machen.

Maßnahmenkatalog 

Im ersten Schritt müssen sich Betreiber kritischer Anlagen innerhalb von drei Monaten registrieren, nachdem eine Anlage als kritische Anlage gilt. Die Registrierung soll über das BSI-Portal als gemeinsame Meldestelle des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungs- und Katastrophenschutz (BBK) erfolgen.  

Daraufhin müssen Unternehmen regelmäßig – mindestens alle vier Jahre – eine Risikoanalyse vornehmen. Hier müssen Unternehmen bestehende Prozesse an die neuen Vorgaben anpassen und gegebenenfalls standortspezifische Risikoanalysen durchführen.  

Im Zentrum des Gesetzes stehen die Resilienzmaßnahmen, die betroffene Unternehmen ergreifen müssen, um die physische Widerstandsfähigkeit ihrer kritischen Anlagen sicherzustellen. Die verhältnismäßigen technischen, sicherheitsbezogenen und organisatorischen Maßnahmen sollen dazu dienen,  

  • Vorfälle zu verhindern,  
  • Liegenschaften und kritische Anlagen angemessen physisch zu schützen,  
  • auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und  
  • nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten. 

Folgen für die Praxis 

Das KRITIS-Dachgesetz schafft neben der sektorenübergreifenden Identifizierung einen Rahmen für die physische Sicherheit von kritischen Anlagen. Viele Vorgaben werden ihre praktische Wirkung erst mit dem Erlass der das Gesetz ausfüllenden Rechtsverordnungen entfalten. Für die Praxis bedeutet dies derzeit erhebliche Unsicherheiten, insbesondere im Hinblick auf den Umfang der erforderlichen Resilienzmaßnahmen. 

Wer bisher Betreiber kritischer Anlagen war, wird dies voraussichtlich zukünftig bleiben. Trotzdem ist Anlagenbetreibern zu raten, eine aktuelle Betroffenheitsanalyse vorzunehmen. Außerdem empfiehlt sich bereits jetzt, die physische Widerstandsfähigkeit in bestehende Risikoanalyseprozesse aufzunehmen, um darauf aufbauend branchenspezifische Mindeststandards zügig umsetzen zu können. 

Betreiber kritischer Anlagen gelten auch als besonders wichtige Einrichtungen nach dem NIS2-Umsetzungsgesetz. Daher treffen sie auch umfangreiche Pflichten zur Gewährleistung ihrer Cybersicherheit.   

Ansprechpartner:innen: Thomas Schmeding/Dr. Julien Wilmes-Horváth/Alexander Bartsch/Kathrin Lemke 

PS: Sie interessieren sich für das Thema? BBH bietet branchenspezifische Geschäftsführerschulungen zur NIS2 an. Darüber hinaus findet am 25. Juni die nächste BBH-Tagung zur „IT-Sicherheit und Resilienz“ in Berlin statt. 

Für Energieversorgungsunternehmen findet am 12.3. von 10 bis 14 Uhr eine Schulung statt. Für die Industrie findet eine Schulung am 27.3. von 13 bis 17 Uhr statt. 

Weitere Schulungstermine finden Sie in unserem Veranstaltungskalender.

Share
Weiterlesen

13 März

Interviewreihe: Christopher Burghardt, Mitbegründer des Sila Atlantik Projekts

Am 18.3.2026 findet die BBH-Jahreskonferenz in der Französischen Friedrichstadtkirche in Berlin statt. Unter dem Titel „STABIL FÜR MORGEN – MUT STATT ATTENTISMUS“ wollen wir nach einem Jahr Bundesregierung ein Zwischenfazit ziehen: Wo gab es, gibt und soll es noch Aufbruch...

Weiterlesen

12 März

Digitalisierung der KWK-Förderung: Verpflichtende Nutzung des Online-Portals beim BAFA  

Die Digitalisierung der Verwaltungsverfahren im Zusammenhang mit der KWK-Förderung schreitet weiter voran. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) hat in den vergangenen zwei Jahren schrittweise ein elektronisches System zur Beantragung der Zulassung von Vorhaben nach dem Kraft-Wärme-Kopplungsgesetz (KWKG) eingeführt. Auch das Ausschreibungsverfahren der...

Weiterlesen