KRITIS-Dachgesetz: Deutschland schärft physischen Schutz für kritische Infrastruktur

Deutschland stellt die Sicherheit seiner lebenswichtigen Dienste auf eine neue Grundlage. Der Bundestag verabschiedete diese Woche das sogenannte KRITIS-Dachgesetz. Es schreibt erstmals bundeseinheitliche Mindeststandards für den physischen Schutz von Energieversorgung, Wasserversorgung oder Krankenhäusern vor. Unternehmen müssen sich künftig gegen Naturgefahren und Sabotage wappnen – eine massive Ausweitung ihrer Verantwortung.

Vom Risiko zur konkreten Schutzmaßnahme

Das Gesetz verpflichtet Betreiber kritischer Anlagen zu einer systematischen „All-Hazards“-Risikoanalyse. Sie müssen Schwachstellen für Extremwetter, technisches Versagen, Lieferkettenbrüche und vorsätzliche Angriffe identifizieren. Auf dieser Basis sind detaillierte Resilienzpläne zu entwickeln.

Konkret bedeutet das: „Angemessene und verhältnismäßige Maßnahmen“ zum Schutz der Standorte. Das Bundesinnenministerium (BMI) wird die technischen Details in Rechtsverordnungen festlegen. Der Gesetzestext nennt bereits verstärkte Zutrittskontrollen, gesicherte Außengelände, die Beseitigung technischer Schwachstellen und Notstromversorgung. Zudem wird eine Meldepflicht für Störfälle an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eingeführt.

Passend zum Thema Risikoanalyse und Resilienz: Viele Betreiber stehen vor der Frage, wie die gesetzlich geforderten Gefährdungsbeurteilungen und Resilienzpläne praktisch umzusetzen sind. Ein kostenloses Download‑Paket bietet fertige Gefährdungsbeurteilungs‑Vorlagen, Checklisten und eine Schritt‑für‑Schritt‑Anleitung – so erstellen Sie behördlich akzeptierte GBU‑Dokumente ohne lange Vorarbeit. Besonders nützlich für Sicherheitsbeauftragte und verantwortliche Führungskräfte. Jetzt GBU‑Vorlagen & Checklisten herunterladen

Breiter Geltungsbereich, umstrittener Schwellenwert

Das Gesetz betrifft Einrichtungen, die für Staat und Bevölkerung essenziell sind. Der Anwendungsbereich ist weit gefasst: Energie, Verkehr, Gesundheit, Wasser und Lebensmittelversorgung. Die Regelungen greifen jedoch grundsätzlich erst, wenn eine Anlage mehr als 500.000 Menschen versorgt. Dieser Schwellenwert ist umstritten. Kritiker befürchten Sicherheitslücken bei kleineren, aber dennoch systemrelevanten Betrieben.

Das neue Gesetz ergänzt den bestehenden Cybersicherheitsrahmen aus BSI-Gesetz und NIS-2-Umsetzung. Ziel ist ein ganzheitlicher Schutz, der digitale und physische Verteidigung verbindet. Betreiber müssen sich künftig beim BBK registrieren. BBK und Bundesamt für Sicherheit in der Informationstechnik (BSI) werden die Einhaltung gemeinsam überwachen. Eine gemeinsame digitale Plattform soll Doppelarbeit für die Unternehmen vermeiden.

Industrie fordert dringend Klarheit

Die Verabschiedung des Gesetzes am 29. Januar stößt in den betroffenen Branchen auf ein gemischtes Echo. Der Deutsche Krankenhausgesellschaft (DKG) begrüßt zwar das Ziel der höheren Resilienz, fordert aber rasche Klarheit zu den konkreten Anforderungen. Investitionen in bauliche Maßnahmen benötigten verlässliche rechtliche und finanzielle Rahmenbedingungen.

Diese Forderung teilen andere Sektoren wie die Lebensmittelwirtschaft. Viele entscheidende Details – technische Standards, Zuständigkeiten, Sanktionen – werden auf spätere Rechtsverordnungen des BMI verschoben. Das schafft Planungsunsicherheit für Unternehmen, die sich bereits auf die Compliance vorbereiten müssen. Vor dem Hintergrund des jüngsten Sabotageakts auf Berlins Stromnetz fordern Abgeordnete zudem, sensible Infrastrukturdaten aus öffentlichen Registern zu löschen.

Straffer Zeitplan für die Umsetzung

Für die Betreiber beginnt nun der Countdown. Die Bundesregierung muss eine nationale KRITIS-Resilienzstrategie und Musterpläne vorlegen. Die Registrierungspflicht für Anlagen beginnt frühestens am 17. Juli 2026. Nach der Einstufung als kritisch bleiben den Unternehmen drei Monate Zeit für die Meldung. Die neuen Schutzpflichten gelten dann etwa neun bis zehn Monate nach der Registrierungsbestätigung.

Die kommenden Monate sind entscheidend. Der Erfolg des Gesetzes hängt nicht nur vom Willen der Unternehmen ab, sondern auch von klaren und praktikablen Vorgaben der Politik. Nach zwei Jahren wird die Wirkung evaluiert und das Gesetz bei Bedarf nachgeschärft. Deutschlands Schutzschild für seine vitalsten Infrastrukturen soll so mit der dynamischen Bedrohungslage Schritt halten.

PS: Wenn Sie die neuen KRITIS‑Anforderungen ernst nehmen, sparen Sie mit geprüften Vorlagen Zeit und reduzieren Prüfungsrisiken. Das Gratis‑Paket enthält Risikomatrizen und praxiserprobte Checklisten – erprobt von Sicherheitsfachkräften und für Behördenprüfungen ausgelegt. Holen Sie sich das praktische Toolkit, um Ihre All‑Hazards‑Analyse schnell und rechtskonform abzuschließen. Kostenloses GBU‑Toolkit sichern