KRITIS-Dachgesetz tritt in Kraft: Neue Pflichten für kritische Infrastrukturen

Deutschland bekommt erstmals ein einheitliches Gesetz zum physischen Schutz seiner kritischen Infrastrukturen. Das KRITIS-Dachgesetz ist seit heute in Kraft und verpflichtet Betreiber in elf Schlüsselsektoren zu umfassenden Sicherheitsmaßnahmen. Für Unternehmen beginnt damit ein Wettlauf gegen die Zeit, denn erste Fristen enden bereits im Juli.

Umsetzung einer europäischen Vorgabe

Das neue Gesetz setzt die europäische CER-Richtlinie (Critical Entities Resilience) in nationales Recht um. Deutschland hatte die ursprüngliche Frist zur Umsetzung im Oktober 2024 verpasst, was ein Vertragsverletzungsverfahren der EU-Kommission zur Folge hatte. Nach der Verabschiedung durch Bundestag und Bundesrat in den ersten Monaten des Jahres 2026 ist diese Lücke nun geschlossen. Die Bundesregierung begründet die Eile mit den wachsenden geopolitischen Spannungen und der zunehmenden Häufung extremer Wetterereignisse.

Wer ist betroffen? Die Schwelle von 500.000

Der Geltungsbereich des Gesetzes ist weit gefasst. Elf Sektoren sind erfasst: Energie, Verkehr, Finanzen, Gesundheit, Trinkwasser, Abwasser, Abfall, Ernährung, IT und Telekommunikation, Raumfahrt und öffentliche Verwaltung.

Um die neuen Anforderungen an Krisenreaktionsabläufe und physische Sicherheit schnell umzusetzen, benötigen Betriebe eine klare Übersicht aller Notfall-Informationen. Diese kostenlose Vorlage hilft Ihnen dabei, alle vorgeschriebenen Daten rechtssicher auf einem Blatt zusammenzufassen. Alarmplan in 5 Minuten erstellt: Diese Vorlage macht es möglich

Als kritisch gilt eine Einrichtung, wenn ihre Störung die Versorgung von mindestens 500.000 Menschen beeinträchtigen würde. Bundesländer können die Regelung jedoch auch auf lokal bedeutsamere Einrichtungen mit geringerer Reichweite anwenden. Betroffen sind damit nicht nur Großkonzerne, sondern auch regionale Krankenhausverbünde, Stadtwerke, Logistikdrehscheiben und Lebensmittelverteilzentren.

Der "All-Gefahren-Ansatz" und drängende Fristen

Ein Kernstück des Gesetzes ist der verpflichtende „All-Gefahren-Ansatz“. Unternehmen müssen sich nun gleichermaßen auf physische Bedrohungen wie Sabotage, Terror, Feuer oder Hochwasser vorbereiten – und nicht mehr primär auf Cyberangriffe.

Die Uhr tickt für die Betreiber:
* Bis zum 17. Juli 2026 müssen sich alle betroffenen Einrichtungen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.
* Anschließend bleiben neun Monate Zeit für eine umfassende Risikoanalyse.
* Innerhalb von zehn Monaten müssen detaillierte Resilienzpläne entwickelt und umgesetzt werden. Diese können Investitionen in bessere Zäune, Zugangskontrollen, Notstromaggregate und Krisenreaktionsabläufe bedeuten.

Hohe Bußgelder und die Herausforderung Doppelbelastung

Die Einhaltung wird streng überwacht. Verstöße gegen die Meldepflicht oder andere Vorgaben können mit Geldbußen von bis zu einer Million Euro geahndet werden. Die Gesetzeslage sieht sogar eine persönliche Haftung von Geschäftsführern vor.

Der im Gesetz geforderte „All-Gefahren-Ansatz“ verlangt von Unternehmen eine lückenlose Analyse aller potenziellen Risiken für die Betriebssicherheit. Dieser Experten-Leitfaden zeigt Ihnen genau, welche Punkte Aufsichtsbehörden bei einer professionellen Gefährdungsbeurteilung wirklich prüfen. Was Aufsichtsbehörden bei Ihrer Gefährdungsbeurteilung wirklich sehen wollen

Die größte praktische Herausforderung für viele Unternehmen wird die Überschneidung mit bestehenden IT-Sicherheitsvorschriften sein. Sie müssen parallel die physischen Anforderungen des KRITIS-Dachgesetzes und die digitalen Vorgaben der NIS2-Richtlinie sowie des BSI-Gesetzes erfüllen. Experten raten zu integrierten Compliance-Strategien, um Doppelarbeit zu vermeiden.

Paradigmenwechsel mit finanziellen Folgen

Das Gesetz markiert einen grundlegenden Wandel: Die Verantwortung für die nationale Sicherheit wird deutlich stärker auf die Privatwirtschaft übertragen. Analysten erwarten in den nächsten zwölf Monaten erhebliche Investitionen in Sicherheitstechnik, Risikoberatung und Compliance-Software.

Während das Ziel eines robusteren Deutschlands breite Unterstützung findet, sorgt der enge Zeitplan für Druck. Vor allem mittelständische Betreiber in der Gesundheitsversorgung und bei kommunalen Unternehmen fürchten hohe Kosten. Sie müssen die physischen Aufrüstungen parallel zu den ohnehhin laufenden Cybersecurity-Maßnahmen finanzieren. Verbände fordern daher staatliche Unterstützungsprogramme.

Was kommt als Nächstes?

Die nächsten vier Monate bis zur Registrierungsfrist im Juli werden entscheidend sein. Tausende Unternehmen müssen prüfen, ob sie die 500.000-Einwohner-Schwelle erreichen. Das BBK und das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden voraussichtlich weitere technische Leitfäden veröffentlichen.

Die Bundesregierung hat eine erste Evaluierung des Gesetzes bereits nach zwei Jahren – statt der üblichen fünf Jahre – zugesagt. Einige strukturelle Anpassungsvorschriften sollen erst 2030 greifen. Für die Vorstände in Deutschland steht jetzt jedoch unmittelbare Handlung auf der Agenda, um Betriebsfähigkeit und Rechtskonformität zu sichern.

boerse | 68757450 |