KRITIS-DachG ist in Kraft getreten

Das „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ wurde am 16.03.2026 im Bundesgesetzblatt verkündet und tritt somit heute in Kraft. Der erste Artikel enthält das neue „Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITISDachG)“; die weiteren Artikel beinhalten Änderungen an bestehenden Gesetzen. Wir werfen einen Blick auf den Verlauf der Gesetzgebung zum KRITIS-DachG und auf die Pflichten, die jetzt auf Betreiber kritischer Infrastrukturen zukommen.

Warum ist das Gesetz erforderlich?

Der Schutz kritischer Infrastrukturen (KRITIS) gehört zu den zentralen sicherheitspolitischen Aufgaben moderner Staaten. Energieversorgung, Gesundheitswesen, Finanzdienstleistungen und Wasserversorgung bilden das Rückgrat gesellschaftlicher Funktionsfähigkeit – gleichzeitig stellen sie attraktive Ziele für staatliche und nicht-staatliche Akteure dar. In Deutschland war die regulatorische Landschaft lange Zeit fragmentiert: Das IT-Sicherheitsgesetz 2.0, das BSI-Gesetz und branchenspezifische Vorschriften schufen ein komplexes Geflecht aus Anforderungen, das für Betreiber kritischer Infrastrukturen schwer überschaubar war.

Vor diesem Hintergrund hatte die Bundesregierung bereits im Jahr 2024 den Entwurf eines KRITIS-DachG vorgelegt, das erstmals bundeseinheitliche Mindeststandards für den Schutz kritischer Anlagen etablieren soll.

Der Gesetzgebungsprozess wurde von fachlicher Kritik und einer Diskussion der operativen Implikationen begleitet (wir berichteten). Im Folgenden sind die wesentlichen Schritte nochmals zusammengefasst.

Der legislative Weg

Ausgangslage und Initiativen (2024–2025)

Die Notwendigkeit eines einheitlichen Rechtsrahmens für den Schutz kritischer Infrastrukturen wurde in der deutschen Sicherheitspolitik bereits vor der eigentlichen Gesetzgebung intensiv diskutiert (wir berichteten). Die EU-NIS-2-Richtlinie forderte von Mitgliedsstaaten eine Harmonisierung der Sicherheitsanforderungen, was in Deutschland eine Anpassung nationaler Regelungen erforderlich machte.

Die Bundesregierung legte ihren ersten Entwurf im Jahr 2024 vor. Das zentrale Anliegen bestand darin, IT-Sicherheitsanforderungen und physische Schutzmaßnahmen unter einem gemeinsamen Dachgesetz zu vereinen. Dies sollte Doppelbelastungen für Betreiber vermeiden und gleichzeitig die Aufsichtskompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stärken.

Beratungen im Ausschuss und Plenum

Im Anschluss an die Einbringung des Gesetzentwurfs folgten umfangreiche Beratungen in den zuständigen Ausschüssen des Deutschen Bundestages. Insbesondere der Innenausschuss und der IT-Ausschuss nahmen Stellungnahmen von Fachverbänden, Wirtschaftsvertretern und Datenschutzorganisationen entgegen.

Die Diskussionen drehten sich vor allem um drei Kernpunkte:

Umfang der physischen Schutzpflichten: Wie weitreichend sollen die neuen Mindeststandards für den Schutz kritischer Anlagen sein?
Rolle des BSI: Inwiefern soll die Unabhängigkeit der Behörde gestärkt werden?
Umsetzungsfristen: Welche Übergangsregelungen sind für Bestandsbetreiber angemessen?

Die Bundestagszusammenfassung dokumentiert diese Beratungen und gibt Aufschluss über die verschiedenen Positionen der Fraktionen.

Der entscheidende Beschluss

Am 29.01.2026 beschloss der Deutsche Bundestag das KRITIS-DachG. Dieser Meilenstein markiert den Abschluss der parlamentarischen Beratung auf Bundestagsebene.

Die wesentlichen Inhalte des Beschlusses umfassen:

Etablierung bundeseinheitlicher Mindeststandards für den physischen Schutz kritischer Anlagen
Ergänzung der bestehenden IT-Sicherheitsanforderungen
Verpflichtende Risikoanalysen und Störungsmonitoring
Stärkung der Unabhängigkeit des BSI als zentrale Aufsichtsbehörde

Das Bundesratsverfahren

Nach dem Bundestagsbeschluss folgte das Verfahren im Bundesrat. Dieser Schritt war konstitutionell notwendig, da das Gesetz die Verwaltungszuständigkeiten der Länder berührt.

Am 06.03.2026 erteilte der Bundesrat seine Zustimmung zum KRITIS-DachG. Allerdings formulierte er dabei mehrere Vorbehalte, insbesondere bezüglich:

Finanzierung: Die Länder forderten einen finanziellen Ausgleich für die Umsetzungskosten, der bisher nicht geklärt ist
Meldewege: Der Innenausschuss forderte ungefilterte und unverzügliche Störungsmeldungen
Aufsichtszuständigkeiten: Der Verkehrsausschuss kritisierte die Aufspaltung der Aufsicht bei Eisenbahnen

Diese Punkte bleiben Gegenstand weiterer Abstimmungen im Rahmen der begleitenden Rechtsverordnungen.

Das KRITIS-DachG tritt in Kraft

Am 17.03.2026 – einen Tag nach der Verkündung im Bundesgesetzblatt – ist das KRITIS-DachG nun in Kraft getreten. Betreiber kritischer Infrastrukturen sollten sich auf die damit verbundenen Übergangsfristen vorbereiten.

Was erwartet die Betreiber kritischer Infrastrukturen jetzt?

Kernpflicht für die Betreiber kritischer Anlagen ist es zunächst, die kritischen Anlagen zu identifizieren und zu registrieren. Fällt die Organisation unter die Regulierung des KRITIS-DachG, müssen ihre entsprechenden Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registriert werden – dafür ist eine gemeinsame Registrierungsplattform mit dem BSI vorgesehen. Die Frist zur Registrierung ist der 17.07.2026.

Technische und organisatorische Resilienzpflichten/-maßnahmen und deren Zielsetzung sind definiert in § 13 Abs. 1 ff. KRITIS-DachG (im Detail berichteten wir bereits hier und hier). Diese können explizit um sektorspezifische Konkretisierungen in Form von Rechtsverordnungen ergänzt werden (§ 14 Abs. 1 KRITIS-DachG). Die Resilienzmaßnahmen werden gespeist durch von den Betreibern durchgeführte Risikoanalysen bezogen auf die Anlagen (§ 12 Abs. 1 KRITIS-DachG). Ergänzt werden die Maßnahmen um ein Melderegime für erhebliche Störungen oder Sicherheitsvorfälle.

Ehe die Betreiber jedoch an Risikoanalyse und daraus resultierende Maßnahmen Hand anlegen können, bedarf es gemäß dem Gesetz einer nationalen Risikoanalyse, die als Grundlage dient (§ 11 Abs. 4 KRITIS-DachG). Sowohl die nationale als auch die betreiberseitige Risikoanalyse ist mindestens alle vier Jahre zu aktualisieren.

Mit Blick auf die Umsetzung sieht das Gesetz weitere Fristen vor: Nach erfolgter Registrierung sind innerhalb eines definierten Zeitraums Risikoanalysen durchzuführen und Resilienzmaßnahmen zu planen (bis zu neun Monate) und anschließend binnen zehn Monaten nach Registrierung umzusetzen. Die behördliche Aufsicht sowie mögliche Sanktionen bei Verstößen werden ab 2027 wirksam.

Offene Fragen und Risiken bleiben:

Uneinheitliche Pflichten und Schwellenwerte sowie Sanktionen in BSIG und KRITIS-DachG
Detailregelungen in den Rechtsverordnungen
Übergangsregelungen für Bestandsanlagen

Manfred Bauer | 17. März 2026 | Allgemein | BSIG, Bundesrat, Bundesregierung, Bundestag, Cybersicherheit, Dachgesetz, Informationssicherheit, KRITIS-DachG, kritische Infrastruktur, NIS-2-Richtlinie, Resilienz | 2 Kommentare

2 Comments

Christoph Schmees pc-fluesterer.info
19. März 2026 @ 15:21

Seit wann verstärkt die reine MELDUNG von IT-Schwachstellen die Resilienz?
Viel wichtiger wäre doch, die IT und OT von vornherein resilient auszulegen bzw. bestehende Anlagen zur Resilienz umzuwandeln. Der allererste und wichtigste Schritt in diese Richtung wäre – soweit irgend möglich – der Verzicht auf proprietäre Produkte, und stattdessen der Einsatz von FOSS. Das gilt für alle Ebenen vom Netzwerk-Perimeter (Router, Firewall etc.) über die Arbeitsplätze bis hin zum Backoffice (Server, Datenbanken etc.). Ja, auch FOSS Produkte können Sicherheitslücken haben; teilweise werden sie ja von Geheimdiensten unterwandert (jedenfalls versuchen die es). Aber FOSS ist auch damit noch um mehrere Zehnerpotenzen resilienter als jedes proprietäre Produkt.

- Manfred Bauer
  20. März 2026 @ 10:36
  
  Vielen Dank für Ihren Kommentar.
  Sie haben völlig recht, dass eine bloße Meldung von Schwachstellen für sich allein keine Resilienz schafft. Allerdings greift Ihre Schlussfolgerung zu kurz, was die Einordnung durch den Gesetzgeber betrifft. Das Melderegime wird nicht als alleinige Maßnahme verstanden, sondern als ein Baustein innerhalb eines umfassenden Resilienzsystems.
  Die vorgesehenen Resilienzpflichten umfassen einen ganzen Maßnahmenkatalog über verschiedene Bereiche hinweg, darunter physische Sicherheit, Reaktion und Wiederanlauf, Personalsicherheit sowie präventive Sicherheitsmaßnahmen. Hinzu kommen prozessuale Anforderungen wie Risikoanalysen auf Basis der nationalen Risikoanalysen, Registrierungspflichten, Meldewege sowie die Erstellung und Pflege von Resilienzplänen. Ein Blick in den Gesetzestext – insbesondere die §§ 8, 12, 13 ff. – sowie in einschlägige Fachliteratur verdeutlicht diesen systemischen Ansatz.
  
  Das KRITIS-Dachgesetz ist vor allem als das zu verstehen, was der Name ausdrückt: ein Rahmen- bzw. Dachgesetz. Der Gesetzgeber hat bewusst die Möglichkeit vorgesehen, durch zukünftige Rechtsverordnungen oder EU-Durchführungsrechtsakte (vgl. §§ 14–15) weitere Konkretisierungen vorzunehmen.
  Wie in vielen regulierten Bereichen gilt auch hier: Regulatorik steht selten isoliert. Es ist absehbar, dass sich aus dem Zusammenwirken mit bestehenden Regelwerken wie dem BSIG/KRITIS – dessen Prüfmechanismen auch für die neuen Resilienzpflichten relevant bleiben – sowie dem ab Ende 2027 vollständig wirksamen CRA zusätzliche Synergien ergeben werden.