SECURITYSQUAD
Zurück zum Blog

KRITIS-Dachgesetz: Was Betreiber kritischer Infrastrukturen wissen müssen

2026-07-14 · von SECURITYSQUAD

KRITIS-Dachgesetz: Was Betreiber kritischer Infrastrukturen wissen müssen

Kritische Infrastrukturen (KRITIS) sind das Rückgrat unserer Gesellschaft: Energie, Wasser, Gesundheit, Verkehr, Finanzwesen und IT. Fällt eine solche Versorgung aus, sind Menschenleben, öffentliche Sicherheit und Wirtschaft unmittelbar betroffen. Mit dem KRITIS-Dachgesetz hat der Gesetzgeber 2026 den Schutz dieser Anlagen erstmals umfassend – physisch wie digital – auf eine gemeinsame gesetzliche Grundlage gestellt. Dieser Beitrag ordnet ein, wer betroffen ist und was jetzt zu tun ist.

Was ist KRITIS?

Als kritische Infrastrukturen gelten Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten. Ob ein Unternehmen als KRITIS-Betreiber gilt, hängt in Deutschland bislang nicht von der Selbsteinschätzung ab, sondern von objektiven Kriterien der BSI-Kritisverordnung (BSI-KritisV).

Sektoren und Schwellenwerte

Die BSI-KritisV benennt die regulierten Sektoren und legt je Anlagenkategorie konkrete Schwellenwerte fest:

  • Energie (Strom, Gas, Kraftstoff, Fernwärme)
  • Wasser (Trinkwasserversorgung, Abwasserentsorgung)
  • Ernährung (Lebensmittelversorgung)
  • Informationstechnik und Telekommunikation
  • Gesundheit (Krankenhäuser, Arzneimittel, Labore)
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Siedlungsabfallentsorgung

Als Regelschwellenwert gilt in vielen Sektoren die Versorgung von 500.000 Personen – umgerechnet je nach Branche in versorgte Einwohner, Fälle, Kunden oder Transaktionen. Beispiele: Trinkwasser 500.000 versorgte Einwohner, Gesundheit 30.000 vollstationäre Fälle pro Jahr, IT/Telekommunikation 100.000 Kunden. Betreiber müssen jährlich – Stichtag ist der 31. März – prüfen, ob ihre Anlagen die Schwellenwerte im Vorjahr überschritten haben.

Pflichten nach dem BSIG

Wer als KRITIS-Betreiber gilt, unterliegt den Pflichten des BSI-Gesetzes (BSIG). Mit der Umsetzung der NIS2-Richtlinie wurde das BSIG novelliert; die bekannten Pflichten bestehen fort, teils unter neuer Paragrafierung:

  • Angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik zum Schutz der maßgeblichen IT-Systeme.
  • Nachweispflicht gegenüber dem BSI: Alle zwei Jahre ist die Umsetzung der Sicherheitsmaßnahmen durch Prüfungen, Audits oder Zertifizierungen nachzuweisen (heute § 39 BSIG, ehem. § 8a Abs. 3 BSIG a. F.).
  • Systeme zur Angriffserkennung (SzA): Seit dem 1. Mai 2023 sind KRITIS-Betreiber verpflichtet, angemessene Systeme zur Angriffserkennung einzusetzen und deren Einsatz nachzuweisen (ehem. § 8a Abs. 1a BSIG). SzA umfassen die kontinuierliche Protokollierung, Erkennung und Bewertung sicherheitsrelevanter Ereignisse.
  • Meldepflichten: Erhebliche Störungen sind unverzüglich an das BSI zu melden. Zudem müssen sich Betreiber registrieren und eine Kontaktstelle benennen.

Das KRITIS-Dachgesetz – Stand Juli 2026

Das KRITIS-Dachgesetz (KRITISDachG) setzt die europäische CER-Richtlinie (EU) 2022/2557 zur Resilienz kritischer Einrichtungen in nationales Recht um. Nach dem Kabinettsentwurf durchlief es 2026 das parlamentarische Verfahren: Der Bundestag beschloss das Gesetz am 29. Januar 2026, der Bundesrat stimmte am 6. März 2026 zu. Damit kann es ausgefertigt und verkündet werden und tritt zum überwiegenden Teil am Tag nach der Verkündung in Kraft.

Der zentrale Unterschied zur bisherigen Regulierung: Das Dachgesetz adressiert nicht nur die Cybersicherheit, sondern erstmals umfassend die physische Resilienz kritischer Anlagen – etwa gegen Sabotage, Naturkatastrophen, Anschläge oder den Ausfall von Versorgungsketten. Es schafft sektorübergreifende Mindeststandards und erweitert den Kreis der Verpflichteten deutlich: von bislang rund 4.500 auf über 30.000 Einrichtungen.

Zentrale Betreiberpflichten nach dem Dachgesetz:

  • Identifizierung und Registrierung als kritische Einrichtung beim zuständigen Bundesamt.
  • Risikoanalysen und -bewertungen zu allen relevanten Gefahren – physisch wie digital.
  • Resilienzmaßnahmen zum physischen Schutz der Anlagen (u. a. Objektschutz, Zutrittskontrolle, Notfall- und Kontinuitätsmanagement, Personalsicherheit).
  • Meldung von Störfällen an die zuständigen Stellen.
  • Aufsicht durch das BSI, verbunden mit Prüf- und Nachweispflichten sowie Bußgeldern bei Verstößen.

Die Länder erhielten im parlamentarischen Verfahren die Befugnis, weitere Einrichtungen unterhalb der bundesweiten Schwelle als kritisch zu benennen; der Evaluierungszeitraum wurde von fünf auf zwei Jahre verkürzt.

Verhältnis zu NIS2

KRITIS-Dachgesetz und NIS2 sind zwei Seiten derselben Medaille. Die NIS2-Richtlinie (EU) 2022/2555, in Deutschland über das NIS2-Umsetzungsgesetz im BSIG verankert, regelt die Cybersicherheit. Die parallele CER-Richtlinie, umgesetzt durch das KRITIS-Dachgesetz, regelt die physische Resilienz. Beide Rechtsakte wurden bewusst aufeinander abgestimmt und teilen sich weitgehend denselben Anwenderkreis.

Für viele Betreiber bedeutet das: Sie unterliegen beiden Regimen gleichzeitig. Cyber- und physische Schutzanforderungen sollten daher nicht isoliert, sondern in einem integrierten Sicherheitsmanagement zusammengeführt werden – idealerweise in einem übergreifenden Informationssicherheits-Managementsystem (ISMS). Wer bereits in NIS2-Strukturen investiert hat – Risikomanagement, Meldeprozesse, Zugriffskontrolle, Business Continuity –, kann diese Grundlagen für die Anforderungen des Dachgesetzes weiterverwenden, statt zwei parallele Silos aufzubauen. Umgekehrt gilt: Ein belastbarer physischer Schutz ist ohne funktionierende IT-Sicherheit ebenso wenig denkbar wie umgekehrt. Beide Perspektiven greifen ineinander.

Was Betreiber jetzt tun sollten

  1. Betroffenheit klären – prüfen Sie anhand von BSI-KritisV, NIS2 und Dachgesetz, ob und in welchen Rollen Sie erfasst sind.
  2. Registrierung und Nachweise – Fristen im Blick behalten, Kontaktstelle benennen, Nachweiszyklen planen.
  3. SzA umsetzen – Systeme zur Angriffserkennung einführen bzw. auditfest nachweisen.
  4. Physische und digitale Risiken zusammenführen – Risikoanalysen, Notfall- und Kontinuitätsmanagement aktualisieren.
  5. Managementsystem aufbauen – ein ISMS nach ISO 27001 auf Basis IT-Grundschutz schafft die auditfeste Grundlage für beide Regime.

Wie SECURITYSQUAD unterstützt

Als nach ISO 27001 auf Basis IT-Grundschutz zertifizierter Dienstleister und Teilnehmer der Allianz für Cyber-Sicherheit begleiten wir Betreiber, öffentliche Hand und Versorger auf dem Weg zur Konformität:

  • Systeme zur Angriffserkennung: Mit GUARDIANVIEW (Managed SIEM & SOC auf Basis von Wazuh) setzen wir die SzA-Pflicht praxistauglich um – von der kontinuierlichen Protokollauswertung bis zur Alarmierung.
  • IT-Grundschutz und ISMS: Aufbau und Betrieb eines auditfesten Managementsystems, das NIS2- und Dachgesetz-Anforderungen zusammenführt.
  • Externer ISB/CISO as a Service, Pentests und Awareness ergänzen das Bild – risikobasiert und pragmatisch.

Sie sind unsicher, wie KRITIS-Dachgesetz und NIS2 für Ihr Haus zusammenspielen? Wir verschaffen Ihnen Klarheit und die richtigen nächsten Schritte.

Weiterführend: Kompetenz & Services · GUARDIANVIEW – Managed SIEM · NIS2 im Mittelstand