KRITIS-Dachgesetz

KRITIS-Dachgesetz / EU-Richtlinie 2022/2557

KRITIS-Dachgesetz

KRITIS bezeichnet kritische Infrastrukturen, deren Ausfall erhebliche Auswirkungen auf öffentliche Sicherheit oder Wirtschaft hätte. Hierzu zählen Bereiche wie Energie, Gesundheit, Verkehr, IT und Wasser. Betreiber sind gesetzlich verpflichtet, angemessene Sicherheitsmaßnahmen umzusetzen und müssen strenge Meldepflichten erfüllen.

Neue Pflichten für kritische Infrastrukturen für Behörden, Betreiber und Errichter

Stellen Sie sich vor: Ein plötzlicher Stromausfall legt eine ganze Region lahm, Trinkwasser bleibt aus, Verkehrsnetze kollabieren. Szenarien wie diese zeigen, wie verwundbar kritische Infrastrukturen sein können – und warum dringendes Handeln gefragt ist. Genau hier setzen das neue KRITIS-Dachgesetz und die EU-Richtlinie 2022/2557 an. Diese neuen Vorgaben zielen darauf ab, Energieversorger, Wasserwerke, Verkehrsbetriebe, Entsorger sowie staatliche Stellen und Stadtwerke besser vor All-Gefahren – von Naturkatastrophen bis Sabotage – zu schützen. In diesem umfassenden Leitfaden erfahren Betreiber kritischer Infrastrukturen, Errichter-Unternehmen und Versorger, welche gesetzlichen Anforderungen jetzt auf sie zukommen, wie sie sich optimal vorbereiten und warum sofortiges Handeln überlebenswichtig ist.

Gesetzlicher Rahmen: KRITIS-Dachgesetz und EU-CER-Richtlinie im Überblick

Im November 2024 hat die Bundesregierung den Entwurf des KRITIS-Dachgesetzes beschlossen (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.) (Besserer Schutz für die kritische Infrastruktur | SPD-Bundestagsfraktion). Dieses „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ setzt die europäische Critical Entities Resilience (CER)-Richtlinie in deutsches Recht um (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.) (KRITIS Dachgesetz: Als Betreiber kritischer Infrastruktur den hohen Anforderungen gewachsen bleiben – GSN). Die EU-Richtlinie (EU) 2022/2557 verfolgt das Ziel, die physische Sicherheit und Resilienz kritischer Einrichtungen EU-weit zu erhöhen (Kritische Infrastrukturen im Fokus – KRITIS-DachG), während parallel die NIS2-Richtlinie (EU 2022/2555) die Cybersicherheit adressiert (Kritische Infrastrukturen im Fokus – KRITIS-DachG). Erstmals entstehen so bundeseinheitliche, sektorenübergreifende Vorgaben für kritische Infrastrukturen, die neben die bestehenden IT-Sicherheitsregeln treten (Besserer Schutz für die kritische Infrastruktur | SPD-Bundestagsfraktion).

Worum geht es? Das KRITIS-Dachgesetz schafft einen rechtlichen Rahmen, der alle denkbaren Risiken („All-Gefahren-Ansatz“) in den Blick nimmt (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Es verpflichtet Betreiber kritischer Anlagen, ihre Widerstandsfähigkeit (Resilienz) gegen physische Gefahren wie Sabotage, Terroranschläge, Naturkatastrophen und sogar den Klimawandel systematisch zu stärken (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Kurz: Die Handlungsfähigkeit unserer Gesellschaft und Versorgung soll in Krisenfällen erhalten bleiben (Besserer Schutz für die kritische Infrastruktur | SPD-Bundestagsfraktion). Bis zu 1.500 Unternehmen in Deutschland werden von den neuen Regeln erfasst (Besserer Schutz für die kritische Infrastruktur | SPD-Bundestagsfraktion) – von großen Energieversorgern über städtische Wasserbetriebe bis hin zu Verkehrsknotenpunkten und Entsorgern.

Gesetz und Richtlinie auf einen Blick: Die CER-Richtlinie (EU 2022/2557) wurde Ende 2022 EU-weit verabschiedet und musste bis Oktober 2024 in nationales Recht umgesetzt werden (Kritische Infrastrukturen im Fokus – KRITIS-DachG). Deutschland reagiert darauf mit dem KRITIS-Dachgesetz, das voraussichtlich 2025 in Kraft tritt (KRITIS-Dachgesetz: Resilienz Kritischer Infrastrukturen – OpenKRITIS). Dieses Stammgesetz definiert, wer als kritische Einrichtung gilt, und legt umfassende Betreiberpflichten fest – insbesondere im Bereich physischer Schutzmaßnahmen und Resilienzmanagement.

Neue gesetzliche Anforderungen: Pflichten aus KRITIS-DachG und EU-Richtlinie

Die neuen Pflichten für Betreiber kritischer Infrastrukturen lassen sich in mehrere Kernbereiche gliedern. Nachfolgend ein strukturierter Überblick der wichtigsten Anforderungen – und was sie für Ihr Unternehmen bedeuten:

Registrierungspflicht und Identifizierung kritischer Anlagen

Betreiber kritischer Anlagen müssen sich bis spätestens 17. Juli 2026 auf einer gemeinsamen Plattform des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) registrieren (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). In diesem zentralen KRITIS-Register sind umfangreiche Angaben zu machen, u.a. Name und Rechtsform des Betreibers, Kontaktinformationen (Anschrift, E-Mail, Telefon), öffentliche IP-Adressen, sowie der Sektor und die Art der kritischen Dienstleistung (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Wichtig: Versäumnisse bei der Registrierung gelten als Ordnungswidrigkeit und können mit Bußgeldern bis zu 500.000 € geahndet werden (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.) (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Die Meldung dient dazu, einen bundesweiten Überblick über alle kritischen Anlagen zu bekommen (Deutscher Bundestag Drucksache 20/13961 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen) – denn nur wer erfasst ist, kann im Krisenfall behördlich unterstützt und überwacht werden.

Call to Action: Sind Sie Betreiber einer kritischen Einrichtung im Bereich Energie, Wasser, Verkehr oder Entsorgung? Registrieren Sie sich rechtzeitig! ETEC Pforzheim unterstützt Sie dabei, alle erforderlichen Angaben korrekt aufzubereiten und fristgerecht einzureichen, um Bußgelder zu vermeiden.

Risikoanalyse nach dem All-Gefahren-Ansatz

Herzstück der neuen Regulierung ist der „All-Gefahren-Ansatz“. Betreiber müssen regelmäßige Risikobewertungen durchführen, die sämtliche Bedrohungen berücksichtigen – von Naturereignissen (Stürme, Hochwasser, Hitze) über technisches Versagen bis hin zu vorsätzlichen Angriffen wie Terror oder Sabotage (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Auf Basis dieser Analysen werden kritische Schwachstellen identifiziert. Behörden werden parallel nationale Risikoanalysen erstellen und auf deren Grundlage festlegen, welche Einrichtungen offiziell als „kritisch“ gelten (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557). Besonders wichtig: Die Risikoanalyse nach KRITIS-DachG geht über IT-Risiken hinaus. Während viele Unternehmen bereits IT-Sicherheitsaudits (z.B. nach BSI oder NIS2) kennen, müssen nun auch physische Risiken und Abhängigkeiten systematisch bewertet werden (Kritische Infrastrukturen im Fokus – KRITIS-DachG).

Praktisch bedeutet dies für Betreiber und Versorger: Überprüfen Sie alle Ihre Anlagen und Prozesse auf Worst-Case-Szenarien. Was passiert bei längerem Stromausfall? Wie anfällig sind Ihre Leitungen, Pumpwerke, Schaltanlagen oder Tunnel? Ein interdisziplinäres Team (Technik, Sicherheit, IT, ggf. externe Experten) sollte gemeinsam eine umfassende Gefährdungsanalyse erarbeiten. Die Erkenntnisse daraus bilden die Grundlage für den nächsten Schritt – den Resilienzplan.

Resilienzpläne und Schutzmaßnahmen (Stand der Technik)

Jeder Betreiber kritischer Anlagen ist verpflichtet, geeignete Schutzmaßnahmen zur Sicherung der Funktionsfähigkeit umzusetzen und in einem Resilienzplan zu dokumentieren (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.) (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Dieser Resilienzplan ist quasi das „Drehbuch“ für den Krisenfall: Er beschreibt, wie der Betrieb bei Störungen aufrechterhalten oder schnell wiederhergestellt werden kann (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Aus dem Plan muss hervorgehen, warum bestimmte Maßnahmen gewählt wurden (Begründung der Angemessenheit) (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Wichtig: Die Maßnahmen müssen dem aktuellen Stand der Technik entsprechen (KRITIS Dachgesetz: Als Betreiber kritischer Infrastruktur den hohen Anforderungen gewachsen bleiben – GSN) – veraltete Lösungen reichen nicht mehr aus.

Welche Maßnahmen sind gefordert? Das Gesetz selbst bleibt abstrakt, da je nach Sektor verschiedene Vorkehrungen nötig sind (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Es nennt Mindestkategorien von Maßnahmen (angelehnt an Art. 13 der EU-Richtlinie (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557)), darunter insbesondere:

Prävention/Vorsorge: z.B. bauliche Sicherheitsvorkehrungen, Redundanzen bei kritischen Komponenten, Klimaschutzmaßnahmen (gegen Extremwetter) (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557).
Physische Sicherheit: Perimeter-Schutz (Zäune, Sensoren), Videoüberwachung, Alarm- und Zutrittskontrollsysteme an kritischen Standorten (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557).
Notfallbetrieb & Wiederherstellung: Einrichtung von Notstromversorgung, Ersatzteillager, redundante Kommunikationswege sowie Business Continuity Management (Notfallpläne, regelmäßige Notfallübungen) (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557).
Personal & Organisation: Schulungen und Awareness-Programme für Mitarbeiter (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557), zuverlässige Zugangskontrollen, Sicherheitsüberprüfungen für Personal (insbesondere externes Personal) (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557).
Nachversorgung & Lieferketten: Strategien für alternative Lieferanten oder Dienstleister, falls Primärlieferketten ausfallen (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557).

All diese Punkte sollen im Resilienzplan abgedeckt sein (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557). Branchenspezifische Resilienzstandards werden voraussichtlich von Branchenverbänden erarbeitet und vom BBK anerkannt, um den Betreibern als Orientierung zu dienen (Kritische Infrastrukturen im Fokus – KRITIS-DachG) (Deutscher Bundestag Drucksache 20/13961 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen). Unternehmen tun gut daran, sich frühzeitig an solchen Best-Practice-Katalogen zu orientieren.

Call to Action: Erfüllen Ihre Sicherheitsmaßnahmen schon den Stand der Technik? Nutzen Sie die Übergangszeit bis 2026, um aufzurüsten. ETEC Pforzheim ist Ihr Spezialist für moderne Sicherheitstechnik – von Videoüberwachung und Zutrittskontrolle bis Perimeterschutz. Wir planen und implementieren maßgeschneiderte Lösungen, damit Ihre Infrastruktur allen neuen Anforderungen gerecht wird. Jetzt unverbindliche Beratung anfordern und resilient in die Zukunft starten!

Meldepflichten: Vorfälle unverzüglich berichten

Eine weitere Neuerung sind strenge Meldepflichten. Zukünftig müssen KRITIS-Betreiber sicherheitsrelevante Störungen oder Vorfälle unverzüglich an die Behörden melden (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Hierfür wird eine gemeinsame Meldestelle von BBK und BSI eingerichtet (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.) – vermutlich als Online-Portal, über das Vorfälle zentral erfasst werden. Meldepflichtig dürften z.B. sein: erhebliche Beeinträchtigungen der Dienste (z.B. großflächiger Stromausfall, mehrstündiger Ausfall der Wasserversorgung), versuchte oder erfolgreiche Sabotageakte, aber auch Beinahe-Zwischenfälle, aus denen Lehren zu ziehen sind.

Diese Meldepflicht ergänzt die bereits aus dem IT-Sicherheitsgesetz bekannte Pflicht, IT-Störungen (z.B. Hackerangriffe) an das BSI zu melden. Künftig müssen Betreiber also ein integriertes Reporting haben, das sowohl Cyber- als auch physische Vorfälle abdeckt. Für Stadtwerke und Versorger bedeutet das: Richten Sie interne Prozesse ein, um jede Anomalie schnell zu eskalieren und zu berichten. Definieren Sie klare Meldewege und Verantwortlichkeiten (z.B. ein KRITIS-Liaison Officer, der die Kommunikation mit Behörden übernimmt (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557)). Die Meldungen dienen nicht der Bestrafung, sondern dem Informationsaustausch, um im Ernstfall auch länderübergreifend koordiniert reagieren zu können.

Dokumentations- und Nachweispflichten

„Was nicht dokumentiert ist, hat nicht stattgefunden.“ Dieses Motto gilt nun umso mehr. Betreiber kritischer Infrastrukturen müssen sämtliche getroffenen Maßnahmen lückenlos dokumentieren (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Das umfasst beispielsweise:

Schriftliche Risikobewertungen und daraus abgeleitete Maßnahmenpläne (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.).
Dokumentierte Resilienzpläne mit Datum und Verantwortlichkeiten.
Test- und Übungsprotokolle (z.B. Ergebnisse von Notfallübungen oder Störfall-Simulationen) (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.).
Schulungsnachweise für Mitarbeiter zu Sicherheits- und Notfallthemen (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.).
Wartungs- und Inspektionsberichte für sicherheitsrelevante Anlagen (z.B. Prüfprotokolle von Notstromgeneratoren, Alarmanlagen etc.).

Diese Nachweise müssen jederzeit vorzeigbar sein, denn Aufsichtsbehörden werden Kontrollen und Audits durchführen (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557). Unzureichende Dokumentation kann als Verstoß gewertet werden und Sanktionen nach sich ziehen (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Hier lauert ein Fallstrick: Der Gesetzgeber schreibt „geeignete“ Maßnahmen vor, ohne alle Details zu standardisieren (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Die Folge: Betreiber müssen eigenständig plausibel machen, dass ihre Schutzvorkehrungen angemessen und vollständig sind. Wer hier schludert oder keine Belege vorweisen kann, riskiert Beanstandungen und Bußgelder. Tipp: Setzen Sie auf ein professionelles Sicherheitsmanagement-System (z.B. nach ISO 27001 oder branchenspezifische Normen), um die Dokumentation strukturierter anzugehen.

Sanktionen bei Nichteinhaltung

Die Behörden sollen bei Verstößen angemessene Sanktionen verhängen können (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557). Konkret drohen bereits bei fehlender Registrierung hohe Bußgelder (bis 500.000 €) (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Es ist davon auszugehen, dass auch für andere Pflichtverletzungen (kein Resilienzplan, gravierende Sicherheitsmängel, Unterlassen von Meldungen) Bußgelder in ähnlicher Größenordnung oder höher festgelegt werden. Zwar steht Hilfe und Zusammenarbeit im Vordergrund, doch im Zweifel wird Durchgriff nötig sein, um die Versorgungssicherheit zu schützen. Für krasse Verstöße könnten neben Bußgeldern auch aufsichtsrechtliche Maßnahmen erfolgen – etwa Auflagen, bestimmte Anlagen nachzubessern, und in Extremfällen stillegen zu lassen. Die Message ist klar: Safety first! Unternehmen sollen gar nicht erst abwarten, bis die Behörde eingreift, sondern proaktiv alle Vorgaben umsetzen.

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore.

Die Betroffenheit ist weitreichend: Betreiber kritischer Infrastrukturen sind all jene Unternehmen oder Einrichtungen, deren Dienstleistungen essenziell für das Gemeinwesen sind und bei Ausfall dramatische Folgen nach sich ziehen (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.) (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Klassische Sektoren umfassen Energieversorgung, Wasserversorgung, Transport und Verkehr, Gesundheit, IT- und Telekommunikation, Ernährung, Finanz- und Versicherungswesen, öffentlicher Sektor (Staat und Verwaltung) sowie Entsorgung (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.) (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Entscheidend sind qualitative und quantitative Kriterien – etwa die versorgte Bevölkerungszahl oder die Abhängigkeit anderer Sektoren von der Dienstleistung (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Die genauen Schwellenwerte, ab wann eine Anlage als kritisch gilt, werden per Rechtsverordnung festgelegt. Überraschend: Auch Branchen, die auf den ersten Blick nicht “kritisch” erscheinen, können erfasst sein – z.B. große Lebensmittelproduzenten oder Logistikunternehmen, wenn ihr Ausfall die Grundversorgung gefährden würde (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.).

Stadtwerke und Versorger: Kommunale Versorgungsbetriebe (Stadtwerke) für Strom, Gas, Fernwärme oder Wasser fallen in aller Regel unter die KRITIS-Definition, da sie tausende Haushalte und Betriebe versorgen. Gleiches gilt für regionale Wasserversorger und Abfallentsorger, deren Dienste für die öffentliche Gesundheit unerlässlich sind. Verkehrsbetriebe (etwa ÖPNV-Unternehmen, Bahn-Infrastrukturbetreiber, Flughafenbetreiber) sind ebenfalls direkt angesprochen – Ausfälle im Transportwesen hätten massive Auswirkungen.

Errichter-Unternehmen: Firmen, die Sicherheits- und Infrastrukturanlagen planen, bauen oder warten (z.B. zertifizierte Errichter von Gefahrenmeldeanlagen, Zutrittskontrollsystemen, Videoüberwachung), sind zwar nicht selbst “Betreiber” der kritischen Dienste, aber sie spielen eine Schlüsselrolle. Ihre Expertise wird nun mehr denn je nachgefragt, denn Betreiber müssen modernste Schutzlösungen („Stand der Technik“) implementieren (KRITIS Dachgesetz: Als Betreiber kritischer Infrastruktur den hohen Anforderungen gewachsen bleiben – GSN). Errichter-Unternehmen sollten die neuen Standards kennen und bei Projekten proaktiv berücksichtigen. Für sie bietet das Gesetz auch Chancen: Betreiber werden in Sicherheitsprojekte investieren müssen – kompetente Fachplaner und Errichter mit KRITIS-Erfahrung sind daher gefragte Partner.

Zeitplan & Fristen: Wann treten die Regeln in Kraft?

Die gute Nachricht: Es gibt Übergangsfristen, um sich auf die neuen Pflichten vorzubereiten. Das KRITIS-Dachgesetz tritt nicht schlagartig mit allen Anforderungen in Kraft, sondern gestaffelt (Kritische Infrastrukturen im Fokus – KRITIS-DachG):

2025: Voraussichtliches Inkrafttreten des Gesetzes nach Verabschiedung durch Bundestag und Bundesrat (Kritische Infrastrukturen im Fokus – KRITIS-DachG). Unternehmen sollten ab diesem Zeitpunkt mit Vorbereitungen beginnen. (Hinweis: Ende 2024 war die Verabschiedung noch ausstehend (Kritische Infrastrukturen im Fokus – KRITIS-DachG).)
Bis 17. Juli 2026: Registrierungspflicht wirksam (Kritische Infrastrukturen im Fokus – KRITIS-DachG). Spätestens bis zu diesem Datum müssen alle relevanten Betreiber im KRITIS-Register gemeldet sein. Ebenso wirksam ab Mitte 2026: Pflicht zur Durchführung von Risikobewertungen, Erstellung von Resilienzplänen, Implementierung der Schutzmaßnahmen und Einrichtung des Sicherheitsmanagements, inkl. Meldesystem (Kritische Infrastrukturen im Fokus – KRITIS-DachG). Fazit: 2024–2026 = Vorbereitungsphase nutzen!
Ab 2026: Audits und Aufsicht beginnen. Behörden (BBK, BSI und ggf. Länderstellen) starten mit Überprüfungen, ob Unternehmen die Anforderungen erfüllen (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557). Jetzt müssen Dokumentationen bereitliegen und Maßnahmen wirksam sein.
Bis 17. Jan 2026: Entwicklung einer nationalen KRITIS-Resilienzstrategie durch die Bundesregierung (strategischer Masterplan für KRITIS-Schutz, gem. Art. 4 CER-RL) (Deutscher Bundestag Drucksache 20/13961 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen). Diese Strategie bietet Unternehmen ggf. weitere Orientierung.
1. Januar 2029: Stichtag für weitergehende Regelungen. Einige nationale Ergänzungen treten erst 2029 in Kraft (Kritische Infrastrukturen im Fokus – KRITIS-DachG). Darunter fallen voraussichtlich branchenspezifische Resilienzstandards und ggf. erweiterte Pflichten für weitere wichtige Einrichtungen unterhalb der KRITIS-Schwelle (Kritische Infrastrukturen im Fokus – KRITIS-DachG). Diese lange Frist gibt Wirtschaft und Verbänden Zeit, sich abzustimmen. Für die klassischen KRITIS-Betreiber ändert sich dadurch jedoch nichts an den 2026er Pflichten – diese müssen stehen!

Übersicht: Gesetzliche Fristen (Deutschland)

Anforderung	Inkrafttreten / Deadline	Details
Gesetz in Kraft	vsl. 2025 (nach Verkündung)	Nach Parlamentsbeschluss, Start der Übergangsfrist.
Registrierung aller KRITIS-Betreiber	bis 17. Juli 2026 (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.)	Eintragung in BBK/BSI-Portal mit Betreiber- und Anlagendaten.
Resilienzpläne & Schutzmaßnahmen umgesetzt	bis 17. Juli 2026 (Kritische Infrastrukturen im Fokus – KRITIS-DachG)	Risk Assessments, Pläne erstellt, Maßnahmen eingeleitet.
Meldesystem und Sicherheitsmanagement	bis 17. Juli 2026 (Kritische Infrastrukturen im Fokus – KRITIS-DachG)	Meldestrukturen, Liaison Officer, Doku-System etabliert.
Branchenspezifische Standards	ab 2026-2028	Erarbeitung durch Verbände, Anerkennung durch BBK (ggf. Voraussetzung für Sanktionen) (Kritische Infrastrukturen im Fokus – KRITIS-DachG).
Erweiterte Regelungen/weitere Einrichtungen	ab 1. Jan 2029 (Kritische Infrastrukturen im Fokus – KRITIS-DachG)	Evtl. Einbezug weiterer Sektoren oder Anpassungen national.

Diese gestaffelte Einführung soll sicherstellen, dass Unternehmen genügend Zeit haben, um ihre Sicherheits- und Resilienzmaßnahmen schrittweise hochzufahren (Kritische Infrastrukturen im Fokus – KRITIS-DachG). Doch Vorsicht: Die Uhr tickt bereits. Wer die Übergangszeit ungenutzt verstreichen lässt, dem droht ab 2026 ein böses Erwachen durch Aufsichtsbehörden. Nutzen Sie also jetzt die Chance, Ihr Unternehmen resilienter aufzustellen und so Sanktionen zu vermeiden (Kritische Infrastrukturen im Fokus – KRITIS-DachG).

Wechselwirkung mit NIS2 und bestehender IT-Sicherheit

Viele KRITIS-Betreiber sind bereits heute durch Vorgaben der IT-Sicherheit reguliert – sei es über das BSI-Gesetz und die BSI-Kritisverordnung oder die neue NIS2-Richtlinie (die ebenfalls bis 2024 in deutsches Recht umgesetzt wird). Wichtig zu verstehen: Das KRITIS-Dachgesetz ergänzt diese bestehenden Regeln, es ersetzt sie nicht. Die Cybersicherheit bleibt durch NIS2 und das IT-Sicherheitsgesetz abgedeckt, während das KRITIS-DachG primär den physischen Schutz und die organisatorische Resilienz adressiert (Kritische Infrastrukturen im Fokus – KRITIS-DachG).

Dennoch gibt es Überschneidungen: Risikoanalysen und Dokumentationen müssen nicht doppelt erfolgen, sondern sinnvoll zusammengeführt werden (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Unternehmen, die bereits ein ISMS (Information Security Management System) betreiben, können dieses erweitern, um auch physische Risiken und Resilienz abzudecken. Achtung Doppelregulierung: Wer unter NIS2 fällt, muss u.a. Cyber-Incident-Reporting betreiben und seine IT nach Stand der Technik absichern. Diese Pflichten kommen on top zu den KRITIS-Resilienzpflichten. Beispielsweise muss ein Stromversorger sowohl gegen Hackerangriffe gewappnet sein (NIS2) als auch gegen Sabotage an Trafostationen oder Strommasten (KRITIS-DachG). Hier gilt es, Synergien zu nutzen – etwa gemeinsame Notfallpläne für IT-Ausfall und Stromausfall zu erstellen, da beide einander bedingen können.

Auch DORA, der EU-Rechtsrahmen für digitale Betriebsstabilität im Finanzsektor, oder branchenspezifische Auflagen (z.B. im Gesundheitswesen) können parallel gelten (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Der Schlüssel liegt darin, ein ganzheitliches Sicherheitskonzept zu entwickeln, das alle relevanten Gesetze berücksichtigt. Zwar bedeutet dies anfänglich mehr Aufwand, langfristig profitieren Unternehmen aber von erhöhter Ausfallsicherheit und Vertrauen seitens Kunden und Behörden.

Praktische Tipps zur Umsetzung und Vorbereitung

Angesichts der Fülle an Pflichten und Empfehlungen fragen sich viele: Wo fangen wir an? Eine strategische Herangehensweise ist entscheidend:

1. Bestandsaufnahme & Beratung: Erstellen Sie zunächst ein vollständiges Inventar Ihrer kritischen Anlagen und Prozesse. Klären Sie intern, ob Ihr Unternehmen unter die KRITIS-Definition fällt. Ziehen Sie frühzeitig Experten hinzu – etwa Spezialisten für Sicherheitsaudit oder Beratungsunternehmen, die Erfahrung mit KRITIS-Vorgaben haben (KRITIS-DachG: Das müssen Unternehmen jetzt wissen.). Eine externe Sicht deckt oft Lücken auf, an die man selbst nicht denkt.
2. Sofortmaßnahmen gegen „Low-Hanging Risks“: Identifizieren Sie schnell umsetzbare Verbesserungen. Beispielsweise zusätzliche Zugangskontrollen an sensiblen Bereichen, grundlegende Backup-Lösungen für Strom und IT oder Mitarbeiter-Schulungen zum Notfallverhalten. Solche Maßnahmen erhöhen sofort die Sicherheit und zeigen Behörden gegenüber Ihre aktive Haltung.
3. Entwicklung eines Maßnahmen-Fahrplans: Nicht alles kann gleichzeitig erfolgen. Priorisieren Sie anhand Ihrer Risikoanalyse: Welche Schwachstellen hätten den gravierendsten Effekt? Beginnen Sie dort. Legen Sie einen Zeitplan bis 2026 fest, wer bis wann welche Maßnahme umsetzt – von baulichen Upgrades bis zur Dokumentationserstellung.
4. Mitarbeiter einbinden: Schaffen Sie intern Bewusstsein. Resilienz ist Teamarbeit. Führen Sie Workshops durch zum Thema KRITIS-DachG, erläutern Sie den Kollegen in Technik und Verwaltung, was auf das Unternehmen zukommt. Oft haben Mitarbeiter vor Ort wertvolle Hinweise, wo es hapert. Zudem wächst die Akzeptanz für Veränderungen, wenn alle verstehen, warum sie nötig sind.
5. Tests und Übungen durchführen: Papierpläne allein reichen nicht. Proben Sie den Ernstfall! Simulieren Sie z.B. einen längeren Stromausfall in einem Ihrer Werke oder einen Cyberangriff, der IT und physische Steuerung lahmlegt. Lernen Sie aus den Ergebnissen und passen Sie Resilienzpläne entsprechend an. Die EU-Richtlinie fordert explizit, dass kritische Einrichtungen regelmäßig Notfallübungen und Audits zur Wirksamkeit der Maßnahmen durchführen (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557) (EU RCE – die CER-Richtlinie für Kritische Infrastrukturen (EU) 2022/2557).
6. Budget einplanen: Resilienz gibt es nicht zum Nulltarif. Stellen Sie Ihr Investitionsbudget für die kommenden Jahre darauf ein, Sicherheitstechnik, Redundanzen und Schulungen zu finanzieren. Bedenken Sie: Jeder investierte Euro ist eine Versicherung gegen potenziell existenzielle Schäden – und gegen hohe Bußgelder bei Nicht-Compliance.

Mit ETEC Pforzheim zur sicheren KRITIS-Zukunft – Jetzt handeln!

Die Bedrohungslage ist real und die gesetzlichen Anforderungen sind verbindlich. Ignorieren ist keine Option – das wäre fahrlässig. Stattdessen heißt es: proaktiv werden und Chancen nutzen. Wer jetzt in Sicherheit und Resilienz investiert, schützt nicht nur die Allgemeinheit, sondern auch das eigene Unternehmen vor Ausfällen, Imageschäden und Haftungsrisiken.

ETEC Pforzheim steht Ihnen hierbei als erfahrener Partner zur Seite. Wir sind spezialisiert auf Sicherheitstechnik und Risikoanalysen für kritische Infrastrukturen – mit langjähriger Erfahrung in den Bereichen Energie, Versorger, Verkehr und mehr. Unser Team aus Experten hilft Ihnen, die gesetzlichen Vorgaben kostenoptimal zu erfüllen, um maximal auf der sicheren Seite zu sein.

Ja, wir wollen Ihr Bewusstsein entfachen: Nur wenn Sie jetzt handeln, vermeiden Sie späteres „Feuerlöschen“ im Krisenmodus. Packen wir es an!

Unsere Leistungen für KRITIS-Betreiber und Errichter-Unternehmen:

🔍 Compliance-Check & Beratung: Analyse Ihres Status quo im Vergleich zu den KRITIS-DachG Anforderungen. Identifizierung von Lücken und konkreten Handlungsempfehlungen.
🛡️ Planung und Implementierung von Sicherheitsmaßnahmen: Ob physische Zugangssicherung, Videoüberwachung, Brand- und Einbruchmeldetechnik oder Notstromlösungen – wir liefern maßgeschneiderte Technik nach dem neuesten Stand der Technik, integriert in Ihre Infrastruktur.
📋 Dokumentations- und Nachweisservice: Wir unterstützen bei der Erstellung von Resilienzplänen, Dokumentationen und Prozessen, damit Sie jederzeit auditsicher sind.
📆 Schulungen und Notfallübungen: Gemeinsam mit Ihnen entwickeln wir Trainings für Ihr Personal und führen realistische Stresstests durch – so wird Resilienz greifbar und lebendig im Unternehmen.
🤝 Rundum-Sorglos-Paket: Von der ersten Risikoanalyse bis zur Abnahme der installierten Maßnahmen begleiten wir Sie als verlässlicher Partner. Dabei arbeiten wir Hand in Hand mit Ihren Fachleuten und – wenn gewünscht – mit Behörden, um optimale Lösungen zu gewährleisten.

Klare nächste Schritte: Vereinbaren Sie noch heute ein unverbindliches Beratungsgespräch mit unseren KRITIS-Experten. Lassen Sie uns gemeinsam Ihre Infrastruktur zukunftssicher machen, bevor es andere für Sie tun (müssen). Die Uhr tickt bis 2026 – doch mit ETEC Pforzheim an Ihrer Seite meistern Sie diese Herausforderung souverän und fristgerecht.