KRITIS-Dachgesetz: Bundeskabinett beschließt Gesetzesentwurf

Am 10.09.2025 hat das Bundeskabinett den Entwurf für das KRITIS-Dachgesetz (KRITISDachG) beschlossen, das im derzeitigen Gesetzesentwurf als „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ firmiert. Strengere Vorgaben für Betreiber kritischer Anlagen – etwa in der Energieversorgung, im Transport- oder Gesundheitswesen – sollen Deutschland besser vor Sabotage, Terroranschlägen und Naturkatastrophen schützen. Erstmals wird damit der physische Schutz kritischer Infrastrukturen bundeseinheitlich und sektorenübergreifend in den Fokus genommen. Gleichzeitig dient das Gesetz der Umsetzung der EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie). Mit europaweit einheitlichen Mindeststandards und intensivierter innereuropäischer Kooperation sollen so die Versorgungssicherheit und Interdependenzen in Deutschland und Europa erhöht werden.

Kernpunkte des Gesetzesentwurfs

Im Wesentlichen bleiben die zentralen Elemente des bisherigen Gesetzesentwurfs zum KRITISDachG erhalten (wir berichteten bereits über den Regierungsentwurf vom 05.11.2024) – im Folgenden wird auf den aktuellen Gesetzesentwurf (Stand: 09.09.2025) verwiesen. Die wichtigsten Elemente sind:

• Identifikation kritischer Anlagen: Quantitative und qualitative Kriterien bestimmen, welche Anlagen unter die Regulierung fallen – via Schwellenwerten über 500.000 versorgte Personen oder durch die Feststellung der Wesentlichkeit für die Gesamtversorgung. Bei der Ermittlung der KRITIS-Betreiber spielen auch Interdependenzen (z. B. im Sektor Wasser – Energie und Transportwesen) eine Rolle.
• Risikobewertung: Für erfasste KRITIS-Dienstleistungen werden nationale Risikobewertungen erstellt, darauf abstellende Risikoanalysen für betroffene Anlagen führen über den All-Gefahren-Ansatz zu Resilienzmaßnahmen.
• Mindestanforderungen: Im KRITISDachG werden sektorenübergreifende Mindeststandards für die physische Sicherheit vorgeschrieben und folgen ebenso dem All-Gefahren-Ansatz. Sie sind ergänzend zu den IT-/Informationssicherheitsvorgaben zu verstehen, wie man sie bereits aus dem ISMS- und NIS2-Umfeld kennt.
• Meldepflicht und Störungsmonitoring: Betreiber sind zur unverzüglichen Meldung von sicherheitsrelevanten Ereignissen (SREs) über ein zentrales Meldeportal verpflichtet. Die zuständige Aufsichtsbehörde ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) in Personalunion mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Ergebnisse von SREs sollen zentral ausgewertet und zur gezielten Verbesserung der Resilienz genutzt werden.

Ferner ergänzt das KRITISDachG die Cybersicherheitsvorgaben, die das parallel beschlossene „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (Stand: 25.07.2025) vorsieht. Die physischen und organisatorischen Resilienzanforderungen – bislang im Hintertreffen –, erweitern so das regulatorische Portfolio zu einem ganzheitlichen Ansatz.

Eine kleine Änderung betrifft die Aufsichtsbehörde für Betreiber von Bodeninfrastrukturen für weltraumgestützte Dienste: Diese Rolle übernimmt nun interimsweise das BBK, bis das für diesen Sektor verantwortlich zeichnende Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) die Verantwortlichkeiten finalisiert hat.

Weiterhin unverändert fehlt eine Harmonisierung von den ineinandergreifenden Regulierungen zu NIS2 (wir berichteten) und KRITISDachG: Doppelte Vorgaben gibt es im Bereich Risikoanalysen, Nachweispflichten und Prüfverfahren. Die Sorge aus der Branche ist hier spürbar:

„Es darf nicht zu einer Überregulierung kommen und Unternehmen nicht mit redundanten Reporting- und Nachweispflichten aus verschiedenen Gesetzen überlastet werden.“

Ulrich Plate, Eco-Verband

Reaktionen und Kritik

Aus der Perspektive der amtierenden Regierung markiert das KRITISDachG einen Wendepunkt für die Sicherheit des Landes:

„Mit dem KRITIS-Dachgesetz machen wir Deutschland widerstandsfähiger gegen Krisen und Angriffe. Wir schaffen einheitliche Mindeststandards, Risikoanalysen und ein Störungsmonitoring. Unser Ziel ist klar: Die Abwehrfähigkeit und Resilienz unserer kritischen Infrastrukturen muss [!] gehärtet werden.“

Bundesinnenminister Alexander Dobrindt in einer Pressemitteilung anlässlich des Kabinettsbeschlusses

Verbände und Fachwelt sind dagegen deutlich weniger euphorisch: Die bereits zum Referentenentwurf vom 27.08.2025 geteilten Bedenken aus ihren Reihen bleiben bestehen.

Insbesondere die Definition des Anwendungsbereiches steht weiterhin in der Kritik. So waren im Referentenentwurf bereits große Teile der Bundesverwaltung und die gesamte Landesverwaltung von den regulatorischen Anforderungen ausgenommen, was etwa die AG KRITIS als „unverantwortlich“ kritisiert hat. In der Kabinettsfassung, die am 10.09.2025 beschlossen worden ist, wird der Adressatenkreis weiterhin sehr eng gesteckt – ausgewählte Bundeseinrichtungen und nur ausgewählte Vorschriften, statt vollumfänglicher Geltung – und sie verschiebt eine breitere Einbeziehung, z. B. den flächendeckenden Einbezug der Landesverwaltung, auf spätere Strategien bzw. Evaluierungen, ohne einen konkreten Zeitrahmen aufzuführen.

Die Fristen waren sehr knapp bemessen: Anfang September Veröffentlichung des Kabinettsentwurf, bis zum 05.09.2025 erfolgte die Kommentierung durch Fachverbände, am 10.09.2025 folgte die Einbringung in den Bundestag. Diese knappe Fristsetzung wurde bereits in der Vergangenheit als „Scheinbeteiligung“ kritisiert.

Ausblick

Ob das neue Gesetz tatsächlich die gewünschte Wirkung auf die Resilienz der kritischen Infrastrukturen entfalten wird, hängt aus unserer Sicht von der konsequenten Umsetzung und notwendigen Nachbesserungen ab. Die kritische Begleitung durch Fachverbände zeigt, dass die Branche sowohl ein Eigeninteresse an den weiteren Entwicklungen als auch einen Beteiligungswillen hat. Denn eines ist klar: Resilienz und Krisenvorsorge gewinnen an Bedeutung.