KRITIS-Dachgesetz: Neue Regeln für 40.000 Unternehmen ab Juli

Seit Inkrafttreten des KRITIS-Dachgesetzes im März 2026 und der Umsetzung der NIS2-Richtlinie stehen Unternehmen vor beispiellosen Anforderungen. Branchenbeobachter rechnen mit bis zu 40.000 betroffenen Firmen – von Energieversorgern bis zur Automobilzulieferindustrie.

Die neuen KRITIS- und NIS2-Anforderungen fordern von Unternehmen eine völlig neue Sicherheitsarchitektur. Wie Wasserstoff als Schlüsseltechnologie dabei hilft, kritische Infrastrukturen zu schützen und welche lukrativen Chancen sich daraus für Investoren ergeben, zeigt dieser exklusive Gratis-Report. Kostenlosen Report 'Verteidigung neu gedacht' herunterladen

Zwei Gesetze, ein Ziel: Mehr Resilienz

Das KRITIS-Dachgesetz, das am 16. März 2026 in Kraft trat, unterscheidet sich grundlegend von früheren Regelungen. Während der Fokus bislang auf Cybersicherheit lag, zielt das neue Gesetz auf die physische Widerstandsfähigkeit ab. Rund 1.300 Betreiber in elf Sektoren – darunter Energie, Verkehr, Banken, Gesundheit, Wasser und digitale Infrastruktur – müssen umfassende Resilienzpläne vorlegen.

Die Deadline rückt näher: Bis zum 17. Juli 2026 müssen sich die betroffenen Unternehmen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Wer die Auflagen ignoriert, riskiert Bußgelder von bis zu 500.000 Euro.

Parallel dazu greift die NIS2-Richtlinie, die über das BSI-Gesetz in nationales Recht umgesetzt wurde. Sie erfasst eine deutlich größere Gruppe von Unternehmen – darunter auch solche, die sich bislang nicht als kritische Infrastruktur verstanden haben. „Wichtige" und „besonders wichtige" Einrichtungen müssen Sicherheitsvorfälle nun innerhalb von 24 Stunden beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Die finanziellen Risiken sind enorm: Bei Verstößen drohen Strafen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Besonders brisant: Die Geschäftsführung haftet persönlich.

Neue Technikstandards für die Cloud

Das BSI hat am 7. April 2026 den aktualisierten Kriterienkatalog C5:2026 (Cloud Computing Compliance Criteria Catalogue) veröffentlicht. Die Anforderungen stiegen von 121 auf 168 Kriterien in 17 Themenbereichen. Neu hinzugekommen sind unter anderem Vorgaben für Container-Management, „Confidential Computing" und Post-Quanten-Kryptografie.

Ob Cloud-Compliance oder Netzwerksicherheit – die Bedrohungslage für den Mittelstand verschärft sich durch neue gesetzliche Anforderungen massiv. Dieses kostenlose E-Book liefert IT-Verantwortlichen wertvolle Strategien, um Sicherheitslücken proaktiv zu schließen und die Firma langfristig abzusichern. Gratis E-Book zur Cyber Security jetzt sichern

Für die Gesundheitsbranche gilt bereits seit Juli 2025 eine C5-Typ-2-Bescheinigung als Pflicht. Ab 1. Juni 2027 wird der neue Standard für alle verbindlich. Der Katalog ist zudem auf das europäische Cloud-Sicherheitszertifikat (EUCS) abgestimmt – ein Vorteil für Unternehmen, die grenzüberschreitend tätig sind.

Auch die Automobilindustrie steht unter Druck: Mehr als 9.500 aktive TISAX-Labels (Trusted Information Security Assessment Exchange) dokumentieren den Stand der Sicherheitsbemühungen. Seit April 2024 gelten verschärfte Kontrollen für Incident-Management, Betriebskontinuität und die Sicherheit von Produktionsanlagen.

Der Berliner Blackout als Weckruf

Die Dringlichkeit der neuen Regelungen zeigte sich eindrücklich am 10. Januar 2026. Ein gezielter Angriff auf das Berliner Stromnetz – zugeschrieben linksextremen Kreisen – legte weite Teile der Hauptstadt lahm. Rund 45.000 Haushalte und 2.000 Unternehmen waren stundenlang ohne Strom. Der Schaden geht in die Millionen.

Zwar gelang es Hochspannungstechnikern der österreichischen Firma ETN GmbH, die Versorgung innerhalb eines Tages wiederherzustellen. Doch der Vorfall löste eine grundsätzliche Debatte über den Schutz der Infrastruktur aus.

Der Bundesverband der Deutschen Industrie (BDI) bezeichnet das KRITIS-Dachgesetz in seiner jetzigen Form als unzureichend. Auch der Deutsche Industrie- und Handelskammertag (DIHK) warnt vor „strukturellen Defiziten" beim Schutz kritischer Anlagen.

Kommunikation als Achillesferse

Ein besonderes Augenmerk liegt auf der Ausfallsicherheit der Kommunikationsnetze. Da Kommunikation selbst als kritische Infrastruktur gilt, fordern Experten zunehmend „infrastrukturunabhängige" Lösungen. Konkret bedeutet das: Unternehmen sollen auf redundante Funksysteme setzen, die auch dann funktionieren, wenn Internet, Festnetz, Mobilfunk oder Cloud-Dienste ausfallen.

Solche Konzepte werden zum zentralen Bestandteil der geforderten Resilienzpläne. Denn nur wer auch bei einem großflächigen technischen Zusammenbruch handlungsfähig bleibt, erfüllt die neuen gesetzlichen Anforderungen.

Zwei Fronten der Sicherheit

Die Kombination aus KRITIS-Dachgesetz und NIS2 schafft eine zweigleisige Sicherheitsstrategie: Die eine Schiene schützt die physischen „Knochen" der Wirtschaft, die andere ihr digitales „Nervensystem". Für die geschätzten 40.000 betroffenen Unternehmen entsteht ein komplexes Regelungsgeflecht, in dem physische Sicherheit, Cybersicherheit und Lieferkettenintegrität untrennbar miteinander verwoben sind.

Die verschärften Kriterien des BSI C5:2026 zeigen: Regulierer geben sich nicht mehr mit allgemeinen Sicherheitsmaßnahmen zufrieden. Sie verlangen spezifische Schutzvorkehrungen gegen neuartige Risiken – von Quantencomputing bis zu Schwachstellen in containerisierten Softwareumgebungen.

Für viele mittelständische Unternehmen, die sich bislang nicht als Teil der kritischen Infrastruktur betrachteten, bedeutet die Einstufung als „wichtige Einrichtung" einen massiven Sprung in puncto Sicherheitsanforderungen. Wer die Vorgaben ignoriert, riskiert existenzbedrohende Strafen.

Die kommenden zwölf Monate werden entscheidend

Der 17. Juli 2026 ist der erste große Stichtag: Bis dahin müssen sich die Betreiber der elf KRITIS-Sektoren beim BBK registrieren und ihre Organisationsstrukturen anpassen. Parallel dazu müssen Unternehmen die Meldewege für NIS2-Vorfälle implementieren – die 24-Stunden-Frist lässt keinen Spielraum für Verzögerungen.

Bis Juni 2027 müssen Cloud-Anbieter und ihre Kunden auf den C5:2026-Standard umstellen. Das dürfte eine Welle von Infrastruktur-Upgrades auslösen. Fachleute erwarten, dass der Fokus zunehmend auf der Automatisierung von Compliance-Prozessen und dem Einsatz dezentraler, redundanter Technologien liegen wird.

Das übergeordnete Ziel der neuen Regelungen ist klar: Die deutsche Wirtschaft soll „resilient by design" werden – widerstandsfähig gegen die physischen Angriffe und digitalen Exploits, die das Sicherheitsumfeld des Jahres 2026 prägen.

de | wirtschaft | 69420729 |