Was sind kritische Anlagen? Alles klar nach Inkrafttreten des KRITIS-Dachgesetzes? 

4. Mai 2026

Seit dem Inkrafttreten des KRITIS-Dachgesetzes am 17.3.2026 stehen Unternehmen vor einer ungewöhnlichen Situation: Es ist derzeit nicht rechtssicher bestimmbar, ob ihre Anlagen als kritisch einzustufen sind. Das hat praktische Auswirkungen auf Unternehmen, die möglicherweise strengen Sicherheitsanforderungen unterliegen – oder auch nicht.  

Die neue Rechtslage: Was ändert sich? 

Das KRITIS-Dachgesetz (KRITIS-DachG) definiert eine kritische Anlage als eine Anlage, die für die Erbringung einer kritischen Dienstleistung wesentlich ist. Ob eine Anlage als wesentlich gilt, soll das Bundesministerium des Innern (BMI) in einer noch zu erlassenden Rechtsverordnung festlegen. 

Inhaltlich dürfte sie sich an der bisherigen BSI-Kritisverordnung (BSI-KritisV) orientieren. Maßstab war dort vor allem ein Schwellenwert: Versorgt eine Anlage mindestens 500.000 Menschen, gilt sie in der Regel als kritisch. 

Auch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verweist seit dem 17.3.2026 auf das KRITIS-DachG. So ist nach § 2 Nummer 22 BSIG eine „kritische Anlage“ eine Anlage im Sinne des § 2 Nummer 3 des KRITIS-DachG. Der Gesetzgeber will damit eine einheitliche Einordnung schaffen. Gleichzeitig soll die bisherige Rechtsverordnung zur Bestimmung kritischer Anlagen (BSI-KritisV) wegfallen, sobald die neuen Verordnungen in Kraft treten.

Die Übergangsvorschrift: Warum noch nichts gilt 

§ 66 BSIG enthält jedoch eine wichtige Übergangsregelung. Die neue Definition in § 2 Nummer 22 BSIG ist demnach erst anzuwenden, wenn eine auf der Grundlage von § 4 Abs. 3 und § 5 Abs. 1 des KRITIS-DachG erlassene Rechtsverordnung gilt. Das ist bisher nicht der Fall. 

Bis dahin gilt § 2 Nummer 22 und 24 BSIG in der bis zum 16.3.2026 geltenden Fassung weiter. Danach sind „kritische Anlagen“ solche, die für die Erbringung einer kritischen Dienstleistung erheblich sind. Welche Anlagen konkret darunterfallen, wird durch § 56 Abs. 4 näher bestimmt. 

Das Kernproblem: Der Verweis führt ins Leere 

§ 56 Abs. 4 BSIG wurde im Rahmen des Inkrafttretens des KRITIS-Dachgesetzes geändert. Hier liegt auch das eigentliche Problem. Denn § 56 Abs. 4 BSIG (alte Fassung) enthält die rechtliche Grundlage dafür, eine Verordnung zur Festlegung von „kritischen Anlagen“ zu erlassen. Diese Regelung ist jedoch durch die Änderung des BSIG gestrichen worden, ohne dass eine neue Regelung eingefügt wurde. 

Dadurch führt die Verweisung in § 2 Nummer 22 BSIG (alte Fassung) ins Leere. § 56 Absatz 4 BSIG enthält in der aktuellen Fassung schlichtweg keine rechtliche Grundlage mehr für den Erlass einer solchen Verordnung. Eine entsprechende Übergangsregelung, die auf die alte Formulierung von § 56 Absatz 4 BSIG abstellt, existiert nicht. 

Konkretes Beispiel: Was dies für Unternehmen bedeutet 

Stellen Sie sich vor: Ein Unternehmen betreibt eine Erzeugungsanlage mit einer installierten Nettonennleistung von über 104 MW. Nach der bisherigen Logik wäre diese Anlage als kritisch einzustufen, da sie den Schwellenwert nach BSI-KritisV überschreitet. Derzeit kann das Unternehmen nicht mehr rechtssicher feststellen, ob seine Anlage tatsächlich als kritisch gilt.  

Weitere Folgen: Wegfall der Definition der Betreiber kritischer Anlagen 

Ähnliches gilt für die Definition der Betreiber kritischer Anlagen. In der bis zum 16.3.2026 geltenden Fassung waren die Betreiber kritischer Anlagen in § 28 Abs. 8 BSIG definiert. Mit der Änderung des BSIG ist dieser Absatz ebenfalls gestrichen worden. 

Fazit: Rechtsunsicherheit und Handlungsempfehlungen 

Die derzeitige Rechtslage ist durch einen Verweisungsbruch gekennzeichnet, der zu einer Rechtsunsicherheit bei der Bestimmung kritischer Anlagen führt. Mithin gibt es zum jetzigen Zeitpunkt an sich keine rechtssichere Möglichkeit festzustellen, welche Anlagen als kritische Anlagen“ einzustufen sind und welche nicht. Ungeachtet dessen ist den betroffenen Betreibern empfohlen, die Vorgaben für kritische Anlagen unter Berücksichtigung der bisherigen Rechtslage zu erfüllen und Umsetzungsmaßnahmen nach dem KRITIS-DachG vorzubereiten. Der Gesetz- und der Verordnungsgeber muss jedoch die Lücken schnell schließen, um für Rechtssicherheit zu sorgen.  

Gern ansprechbar: Thomas Schmeding/Julien Wilmes-Horváth/Alexander Bartsch/Kathrin Lemke 

PS: Gern möchten wir Sie zu diesem Thema auf unsere aktuellen NIS2-Geschäftsführerschulungen hinweisen. Unsere neuen Schulungstermine (online) finden am 2.6. und am 2.7. statt. Weiterhin findet am 10.6. das Webinar „NIS2-/TKG-Schulung im Bereich Telekommunikation und digitale Infrastruktur“ statt. Darüber hinaus findet am 25. Juni die nächste BBH-Tagung zur „IT-Sicherheit und Resilienz“ in Berlin statt.  

Gern bieten wir Ihnen die Schulungen auch als Executive Inhouse-Schulung an, die auf Ihr Unternehmen und konkreten Anforderungsbedarf abgestimmt ist. Sprechen Sie uns bei Interesse gern an. 

Share
Weiterlesen

18 Mai

Open Source als Standard bei IT-Ausschreibungen: Die neuen EVB-IT-Vertragsvorlagen 

Im März 2026 wurden die überarbeiteten Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) veröffentlicht. Die EVB-IT dienen bundesweit als Standardverträge für den IT-Einkauf der öffentlichen Verwaltung. Sie decken nahezu das gesamte Leistungsspektrum der Informationstechnologie ab. Dazu zählt der Kauf und die Instandhaltung von Hardware sowie die Überlassung und Pflege von Software. Bisher richteten sich die EVB-IT-Vertragsmuster ausschließlich auf proprietäre Softwarelösungen aus. Um Open Source Software einzubeziehen, waren umfangreiche...

Weiterlesen

15 Mai

Umweltinformationsgesetz in Bayern: Auskunftspflicht für privatrechtlich organisierte Unternehmen?

Viele Behörden und staatliche Einrichtungen verfügen über umweltbezogene Informationen in unterschiedlicher Form und unterschiedlichem Umfang. Die EU-Richtlinie „über den Zugang der Öffentlichkeit zu Umweltinformationen“ verpflichtet dazu, diese Daten frei zugänglich zu machen. Ziel der Richtlinie ist es, mehr Transparenz, Bürgernähe...

Weiterlesen