GIS
Veröffentlichungen

KRITIS-Dachgesetz: Neuer bundeseinheitlicher Rechtsrahmen für den physischen Schutz kritischer Infrastrukturen tritt in Kraft

Berlin, 09.03.2026

Die Bundesregierung hat am 29. Januar 2026 das Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 (CER-Richtlinie) und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz (KRITIS-DachG)1) beschlossen. Anschließend stimmte auch der Bundesrat dem Gesetz nach umfangreicher Debatte am 6. März 2026 zu. Somit kann das KRITIS-DachG zeitnah nach Verkündung in Kraft treten. Mit dem Gesetz wird erstmals ein einheitlicher bundesweiter Rechtsrahmen für die sektorübergreifende physische Sicherheit kritischer Infrastrukturen geschaffen. 

Die Herausforderungen des Gesetz­gebungsverfahrens


Europarechtlicher Hintergrund 
Die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) trat bereits am 16. Januar 2023 in Kraft und verpflichtete Mitgliedsstaaten zur Einführung verbindlicher Mindeststandards zum physischen Schutz kritischer Einrichtungen. 
Die Umsetzungsfrist der CER-Richtlinie endete am 17. Oktober 2024. Die verzögerte Umsetzung führte zu einem Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland.

Nationale Umsetzung
Bereits in der 20. Wahlperiode brachte die Bundesregierung einen entsprechenden Gesetzesentwurf auf den Weg (hierzu berichteten wir im Legal Update vom 20. Dezember 2023). Das Vorläuferprojekt wurde aufgrund der vorzeitigen Beendigung der Legislaturperiode dann aber nicht mehr verabschiedet und verfiel aufgrund des Diskontinuitätsprinzips. Die neue Bundesregierung beriet erstmals den neuen Gesetzesentwurf in einer fast unveränderten Fassung am 6. November 2025 im Bundestag.

In der zweiten Beratung zum Gesetzesentwurf kritisierten Bündnis 90/ Die Grünen die mangelnde Kongruenz zwischen den Regelungen zum physischen und digitalen Schutz kritischer Infrastrukturen. Insbesondere wegen der gestiegenen Angriffe – wie dem kürzlichen Angriff auf die Stromversorgung im Süden Berlins – sei ein einheitlicher Rechtsrahmen notwendig, um für die notwendige Koordination und Ausstattung der Aufsichtsbehörden zu sorgen. Der Antrag wurde von der Regierungsmehrheit abgelehnt.

Die parlamentarische Beratung im Bundesrat offenbarte erhebliche Bund-Länder-Konflikte: Der Innenausschuss des Bundesrates empfahl am 20. Februar 2026 (2)  die Anrufung des Vermittlungsausschusses. Die Länder kritisierten insbesondere den Schwellenwert von 500.000 versorgten Einwohnern als zu hoch und warnten, die Länderöffnungsklausel des § 5 Abs. 7 KRITIS-DachG führe zu einer Zersplitterung der Regelungen.

Ziele des KRITIS-DachG


Bei kritischer Infrastruktur sind zwei Schutzrichtungen zu unterscheiden: der physische Schutz einerseits und die Cyberabwehr andererseits. Während die IT-sicherheitsrechtlichen Anforderungen bereits im Rahmen der Umsetzung der NIS2-Richtlinie (3)  durch das BSIG (4)  geregelt wurden, normiert das KRITIS-DachG erstmals eigenständige, bundeseinheitliche und sektorübergreifende Mindestvorgaben für den physischen Schutz kritischer Anlagen.
Zugleich etabliert das KRITIS-DachG einen eigen-ständigen Rahmen zur Bestimmung kritischer An-lagen. In der Folge wird die bisherige Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSIKritisV) außer Kraft gesetzt.
Thema der Ausschuss-Beratungen waren ebenfalls die bestehenden Transparenzpflichten für kritische Infrastrukturen, die Ausspähversuche und Sabotageakte erleichtern. Vor diesem Hintergrund wurde der Gesetzesentwurf nach dem Vorschlag des Innenausschusses in § 1 um den Auftrag der Bundesregierung ergänzt, bei der Strategieentwicklung zur Stärkung der Resilienz kritischer Infrastrukturen im Abwägungsprozess Erwägungen zu den Transparenzpflichten zu unternehmen. Aus-nahmen von solchen Transparenzpflichten sind für Betreiber kritischer Anlagen und Behörden unter dem Gesichtspunkt der öffentlichen Sicherheit regelmäßig vorgesehen, sodass KRITIS-Betreiber und Behörden zur Nutzung der vorgesehenen Ausnahmen sensibilisiert werden sollen.

Anwendungsbereich des KRITIS-DachG


Der Anwendungsbereich des KRITIS-DachG richtet sich primär danach, ob eine Anlage kritische Dienstleistungen in den abschließend aufgeführten zehn Sektoren erbringt.
Zu den betroffenen Sektoren gehören insbesondere Energie, Transport und Verkehr, Sozial- und Gesundheitswesen sowie die digitale Infrastruktur. Welche Kategorie von Anlagen sowie kritischen Dienstleistungen konkret in den Anwendungsbereich des KRITIS-DachG fällt, wird durch eine noch zu erlassende konkretisierende Rechtsverordnung des Bundesministeriums des Innern (BMI) bestimmt werden. Die Ermächtigungen für diese Rechtsverordnungen finden sich in § 4 Abs. 3 und 4 und § 5 Abs. 1 KRITIS-DachG. Basierend darauf wird den Ländern in dem durch den Innenausschuss eingeführten § 5 Abs. 7 die Möglichkeit gegeben, weitere kritische Anlagen und Dienstleistungen zu identifizieren, die ausschließlich in deren Zuständigkeit liegen. 
Wesentlicher Maßstab hierfür ist der Regelschwellenwert von 500.000 versorgten Einwohnern. Der Bundesrat hatte in seiner Stellungnahme (5)  empfohlen, diesen Wert bereits auf Bundesebene auf 150.000 zu reduzieren, um eine flächendeckende Verbesserung des Schutz- und Versorgungsniveaus zu garantieren. Die Bundesregierung hielt jedoch an dem am BSIG angelehnten Schwellen-wert fest und verwies auf mögliche Zuständigkeitsregeln der Länder für Anlagen unterhalb dieses Schwellenwertes.

Zuständige Behörden


Das KRITIS-DachG verteilt in § 3 Abs. 1 die behördlichen Aufgaben auf mehrere Ebenen. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist die zentrale Anlauf- und Ver-bindungsstelle im Sinne der CER-Richtlinie für die grenzüberschreitende Zusammenarbeit mit den Verbindungsstellen anderer Mitgliedsstaaten. Die sektorspezifische Fachaufsicht der in § 3 Abs. 2 aufgezählten kritischen Dienstleistungen verbleibt bei den jeweils fachlich zuständigen Behörden auf Bundesebene.
Für kritische Dienstleistungen, die nicht einer der in § 3 Abs. 2 genannten Bundesbehörden zugewiesen sind, bestimmen die Länder die zuständigen Landesbehörden. Die Festlegung soll dem BBK spätestens 3 Monate nach Inkrafttreten der – bisher nicht zustimmungspflichtigen – Rechtsverordnung nach § 4 Abs. 3 KRITISDachG mitgeteilt werden.

Wesentliche Pflichten für Betreiber kritischer Anlagen
Die Pflichten des KRITIS-DachG treten zusätzlich zu den bestehenden Anforderungen aus dem BSIG. Besondere Bedeutung haben die Pflichten aus dem KRITIS-DachG für Betreiber von Anlagen aus dem Energiesektor, deren Anlagen regelmäßig zu der zentralen kritischen Infrastruktur gehören und grundlegende Voraussetzung für das Funktionieren nahezu aller weiteren Sektoren darstellen.

Registrierungspflicht (§ 8) 

Betreiber kritischer Anlagen sind verpflichtet, sich spätestens drei Monate nach der Identifikation als kritische Anlage, frühestens jedoch ab dem 17. Juli 2026, auf der gemeinsam errichteten Plattform des BBK und des BSI zu registrieren und betreiber- und anlagenbezogene Angaben zu hinterlegen. Die Registrierpflicht knüpft an die bereits in § 33 Abs. 1 BSIG normierte Registrierpflicht an und schafft nach einem Once-Only-Prinzip ein kohärentes System zwischen den Vorschriften des KRITIS-DachG und denen des BSIG.

Risikoanalyse und -bewertung (§ 12) 

Betreiber kritischer Anlagen müssen im Bedarfsfall, mindestens jedoch alle vier Jahre, eine eigene Risikoanalyse und -bewertung auf Grundlage der nationalen Risikoanalysen durchführen. Diese Verpflichtung trifft Betreiber kritischer Anlagen erstmals neun Monate nach deren Registrierung auf der Plattform.

Resilienzpflichten (§ 13) 

Auf Grundlage, der durch das BMI aufgestellten nationalen und der eigenen Risikoanalysen werden Betreiber kritischer Anlagen erstmals zehn Monate nach der Registrierung dazu verpflichtet, geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zu treffen und diese in einem Resilienzplan darzustellen, aus dem die den Maßnahmen zugrundeliegenden Erwägungen hervorzugehen haben. Ein entsprechendes Muster des Resilienzplans sollte vom BBK auf seiner Internetseite bis zum 17. Januar 2026 veröffentlicht werden, ist bis dato jedoch nicht verfügbar.

Meldepflichten (§ 18) 

Erhebliche Störungen und sicherheitsrelevante Ereignisse sind künftig binnen 24 Stunden über die Plattform des BSI und des BBK zu melden und bei andauernden Vorfällen entsprechend zu aktualisieren. Die Einzelheiten der Pflichterfüllung und Ausgestaltung der Meldeinhalte wird auch in diesem Fall zu einem späteren Zeitpunkt durch das BBK konkretisiert und auf seiner Internetseite veröffentlicht. Auch diese Verpflichtung trifft die Betreiber kritischer Anlagen erstmalig zehn Monate nach Registrierung. Hierdurch soll dem BBK sowie den zuständigen Behörden ermöglicht werden einen Überblick über mögliche Bedrohungen im Bundesgebiet zu erfassen und die Erkenntnisse in die nationalen Risikoanalysen und -bewertungen einfließen zu lassen. 

Umsetzungs- und Überwachungspflicht für Geschäftsleitungen (§ 20)

Geschäftsleitungen von Betreibern kritischer Anlagen trifft eine persönliche Pflicht und Haftung, die konkret zu ergreifenden Resilienzmaßnahmen zunächst als geeignet zu billigen und deren Umsetzung kontinuierlich zu überwachen. Grundsätzlich richtet sich die Binnenhaftung der Geschäftsleitung primär nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Sofern solche nicht bestehen, richtet sich die Haftung der Geschäftsleitung sekundär nach dem KRITIS-DachG. Einrichtungen des Sektors öffentliche Verwaltung sind hiervon nach § 7 Abs. 3 ausgenommen.

Maßnahmen aus dem KRITIS-DachG bei Pflicht­verletzungen

Verstöße gegen die Pflichten aus dem KRITISDachG werden als Ordnungswidrigkeiten geahndet und können mit empfindlichen Bußgeldern belegt werden, vgl. § 24.

Die Höhe der Bußgelder wurde in der Beschlussfassung des Gesetzes in der Empfehlung des Innenausschusses vom 28. Januar 2026 im Vergleich zum Gesetzesentwurf um das Doppelte erhöht, sodass sich die Bußgelder wie folgt gestalten:

1)Bis zu EUR 1 Mio. für Verstöße gegen Auskunftspflichten bei der Registrierung

2)Bis zu EUR 500.000 bei Verstößen gegen die Vorlagepflicht von Audits

3)Bis zu EUR 200.000 bei Verstößen gegen Anordnungen zur Vorlage von Nachweisen und Mängelbeseitigung

4)Bis zu EUR 100.000 bei einer unvollständigen oder verspäteten Registrierung sowie Zugangsverweigerung zwecks behördlicher Kontrolle. 

Das bestehende Sanktionsregime des BSIG, dessen Katalog von Ordnungswidrigkeiten deutlich umfangreicher ist und Bußgelder insbesondere an IT-Sicherheits- und Meldepflichten anknüpft, bleibt in seiner bisherigen Form unberührt bestehen. Ergänzend hierzu tritt nun das KRITIS-DachG hinzu, das den Sanktionsrahmen auf Maßnahmen zur Stärkung der physischen Resilienz ausweitet. Betreiber kritischer Anlagen müssen sich daher künftig auf ein zweistufiges Sanktionssystem einstellen.

Fazit und Ausblick 

Das KRITIS-DachG stellt einen überfälligen Schritt zum physischen Schutz der kritischen Infrastruktur dar und schafft einen bundeseinheitlichen Rechtsrahmen. Betreiber kritischer Anlagen haben künftig zwei parallellaufende und eng verzahnte Compliance-Vorgaben zum Schutz der digitalen sowie der physischen kritischen Infrastruktur zu beachten. Für den Energiesektor kommt dem Regelwerk aufgrund seiner Versorgungsrelevanz besondere Bedeutung zu. Wie die Ereignisse des vergangenen Winters in Berlin verdeutlichen, sind insbesondere Energieanlagen im besonderen Maße einer erhöhten Bedrohung mit weitreichenden Konsequenzen ausgesetzt. 

Für die Betroffenen bedeutet dies jedoch keinen abschließend geklärten und verlässlichen Rechtszustand. Trotz des Inkrafttretens des KRITIS-DachG bleibt die konkrete Ausgestaltung vieler Pflichten zunächst offen, da zentrale Anforderungen erst durch eine Vielzahl nachgelagerter Rechtsverordnungen und behördlicher Vorgaben präzisiert werden. Hinzu treten Unsicherheiten bei der praktischen Umsetzung der Länderöffnungsklausel im KRITIS-DachG, die gerade im Energiebereich erhebliches Konfliktpotenzial birgt, da Strom- und Gasnetze als Verbundsysteme ausgestaltet sind, deren Stabilität nicht an Landesgrenzen haltmacht. Betreiber werden sich daher in den kommenden Monaten in Geduld üben und auf ein komplexes, mehrstufiges Regelungsgefüge zwischen Bund und Ländern warten müssen, bevor die praktischen Maßstäbe für Risikoanalysen, Resilienzmaßnahmen und Meldeprozesse hinreichend bestimmt sind und umgesetzt werden können.

Für weitere Informationen stehen wir Ihnen jederzeit zur Verfügung - wir unterstützen und beraten Sie gern!

Mitverfassering des Beitrags: Justyna Cech, LL.M.

Quellen: 

[1] Ohne Angabe ist das KRITIS-DachG in seiner verabschiedeten Fassung gemeint.

[2] BR Drs. 81/1/26. Ziff. 1.

[3] Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148.

[4] Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) in seiner Fassung vom 6. Dezember 2025. 

[5] BT Drs. 21/3855, S. 9 f. 

Downloads

Autoren

Humbert Freya, Portrait

Freya Elisabeth Humbert, LL.M.
Assoziierter Partner
+49 30 884503 187

Newsletter Icon

Keine Neuigkeiten verpassen.

Zur Newsletter-Anmeldung

Hände die etwas in eine Laptop Tastatur eingeben

Datenschutzeinstellungen

Wir nutzen bei dieser Website Piwik, um die Reichweite und Attraktivität unseres Online-Angebots zu messen. Dieser Dienst kann Cookies setzen und ihm wird Ihre IP-Adresse übermittelt. Darüber kann dieser ggf. Ihre Aktivitäten und Ihre Identität im Web bestimmen und nachverfolgen (Tracking). Ihre Einwilligung dazu können Sie jederzeit widerrufen. Weitere Informationen finden Sie in unseren Datenschutzhinweisen.

Datenschutzhinweise