Deutschlands kritische Infrastruktur bekommt erstmals einen sektorübergreifenden Schutzrahmen. Was das bedeutet, wer betroffen ist — und warum Abwarten jetzt zur teuersten Strategie werden kann.

Ein Hochwasser legt ein Wasserwerk lahm.

Ein Hackerangriff trifft ein Krankenhaus.

Eine Sabotageaktion unterbricht die Stromversorgung für Hunderttausende.

Szenarien wie diese sind nicht mehr Science-Fiction — und genau deshalb hat Deutschland jetzt ein Gesetz, das solche Risiken systematisch adressiert.

Am 17. März 2026 ist das KRITIS-Dachgesetz offiziell in Kraft getreten. Es ist das Ergebnis eines langen politischen Ringens: Bundestag und Bundesrat haben es verabschiedet, nachdem die EU mit ihrer CER-Richtlinie (Critical Entities Resilience) bereits 2022 die Richtung vorgegeben hatte. Deutschland war einer der letzten EU-Mitgliedstaaten, die diese Vorgabe in nationales Recht überführten — mit einiger Verspätung, aber jetzt mit einem Gesetz, das es in sich hat.

~2.000 betroffene Betreiber in Deutschland
11 regulierte Sektoren
500.000Einwohner als Orientierungswert
10 Mio. €maximales Bußgeld

Was ist das KRITIS-Dachgesetz überhaupt?

Der Name ist Programm: Es ist ein Dachgesetz — also kein Regelwerk voller kleinteiliger Detailvorschriften, sondern ein übergeordneter Rahmen, der erstmals alle kritischen Sektoren unter ein einheitliches Schutzdach bringt. Bislang gab es zwar das IT-Sicherheitsgesetz und die NIS2-Umsetzung für Cybersicherheit, aber einen ganzheitlichen physischen Resilienzrahmen fehlte. Damit ist jetzt Schluss.

Das Gesetz verfolgt einen sogenannten „All-Gefahren-Ansatz“: Es geht nicht nur um Cyberrisiken, sondern um alles — Naturkatastrophen, technische Ausfälle, menschliches Versagen, Sabotage, Lieferkettenprobleme, Abhängigkeiten von Drittanbietern. Sicherheit wird damit zur Managementdisziplin, nicht zur IT-Aufgabe.

„Aus der kritischen Infrastruktur eine krisensichere Infrastruktur machen.“
— Bundesinnenminister Alexander Dobrindt, Bundestag, November 2025

Wer ist betroffen?

Das Gesetz richtet sich an Betreiber kritischer Anlagen in elf definierten Sektoren. Der entscheidende Begriff dabei ist: wesentlich. Eine Anlage ist kritisch, wenn ihr Ausfall die Versorgung großer Bevölkerungsteile gefährdet oder andere Branchen erheblich in Mitleidenschaft ziehen würde.

Als groben Orientierungswert nennt der Gesetzgeber 500.000 versorgte Einwohner je Anlage — wobei dieser Wert durch künftige Verordnungen noch sektorspezifisch konkretisiert wird. Betroffen sind grundsätzlich folgende Bereiche:

  • Energie (Strom-, Gas- und Wasserstoffnetze, Kraftwerke, große Speicher)
  • Transport und Verkehr (Bahn, Häfen, Verkehrsleitsysteme)
  • Gesundheitswesen (Krankenhäuser, Labore, zentrale Versorgungseinrichtungen)
  • Trinkwasser und Abwasser
  • Ernährung (große Produzenten, Logistikzentren, Verteilzentren)
  • IT und Telekommunikation (Rechenzentren, Kommunikationsnetze)
  • Finanz- und Versicherungswesen
  • Siedlungsabfallentsorgung
  • Weltraum sowie Öffentliche Verwaltung

Wichtig zu verstehen: Es geht nicht nur um große Konzerne. Auch ein einzelner Standort eines mittelständischen Unternehmens kann kritisch sein, wenn er eine Schlüsselrolle im Versorgungssystem spielt. Die Bewertung erfolgt anlagenweise — nicht auf Unternehmensebene.

Was müssen betroffene Betreiber konkret tun?

Das Gesetz definiert einen klaren Pflichtenkatalog. Die gute Nachricht: Wer bereits ein Managementsystem für Informationssicherheit (etwa nach ISO 27001) betreibt, hat eine solide Ausgangsbasis. Die schlechte Nachricht: Physische Sicherheit, Business-Continuity-Management und Personalüberprüfungen liegen in vielen Unternehmen noch weit hinter den neuen Anforderungen zurück.

1. Betroffenheit prüfen: Jede relevante Anlage einzeln bewerten — nicht das Unternehmen als Ganzes. Welche Dienstleistungen werden erbracht? Wie viele Menschen hängen davon ab? Was wären die Folgen eines Ausfalls?

2. Registrierung beim BBK: Bis 17. Juli 2026 müssen sich alle betroffenen Betreiber bei der gemeinsamen Registrierstelle von BBK und BSI anmelden. Gefragt werden Unternehmensangaben, Sektor, Anlagendetails und eine ständig erreichbare Kontaktstelle.

3. Risikoanalyse erstellen: Systematische Erfassung aller Gefahrenszenarien: Natur, Technik, Mensch, Sabotage, Lieferketten, Abhängigkeiten. Erstmalige Bewertung war bis 17. Januar 2026 vorgesehen — wer das noch nicht hat, sollte jetzt handeln. Wiederholung alle vier Jahre.

4. Resilienzmaßnahmen umsetzen: Konkrete Schritte über den gesamten Vorfalllebenszyklus: Prävention, Schutz, Reaktion, Schadensbegrenzung und Wiederherstellung. Dazu kommen physische Maßnahmen wie Zugangskontrolle, Überwachung und Redundanzsysteme.

5. Resilienzplan aufstellen und pflegen: Alle Maßnahmen in einem strukturierten, aktuell gehaltenen Dokument zusammenführen. Es dient gleichzeitig als Nachweis gegenüber Behörden und als internes Steuerungsinstrument.

6. Meldepflicht bei Vorfällen: Erstmeldung binnen 24 Stunden an BBK/BSI. Danach laufende Updates und nach spätestens einem Monat ein ausführlicher Abschlussbericht.

7. Nachweise und Audits: Behörden können jederzeit Unterlagen anfordern und Vor-Ort-Prüfungen durchführen. Mängel müssen fristgerecht behoben und nachgewiesen werden.

8. Geschäftsleitungsverantwortung: Dieses Thema kann nicht delegiert und vergessen werden. Vorstände und Geschäftsführer haften persönlich für die ordnungsgemäße Umsetzung.

⚠ Sanktionen im Überblick

Bei Verstößen gegen das KRITIS-Dachgesetz drohen Bußgelder von bis zu 10 Millionen Euro — vergleichbar mit NIS2-Sanktionen. Hinzu kommt die persönliche Haftung der Geschäftsleitung. Wer sich nicht registriert, keine Risikoanalyse vorlegt oder Meldepflichten verletzt, riskiert beides.

Wo liegt die eigentliche Neuerung?

Das Entscheidende am KRITIS-Dachgesetz ist nicht, dass es neue bürokratische Hürden aufbaut. Es ist die konzeptionelle Verschiebung: Weg von einer primär IT-fokussierten Betrachtung, hin zu einem ganzheitlichen Sicherheitsverständnis. Physische Sicherheit, Personalzuverlässigkeit, Lieferkettenresilienz und Krisenmanagement werden gleichwertig behandelt.

Das spiegelt die Realität der Bedrohungslage: Hybride Angriffe — also das gezielte Zusammenspiel aus Cyberangriffen, Sabotage und Desinformation — sind keine theoretische Zukunftsgefahr mehr. Infrastruktureinrichtungen in Europa sind in den vergangenen Jahren zunehmend Ziel solcher Aktionen geworden. Das Gesetz zieht daraus die logische Konsequenz.

— ✦ —

Die Kritik: Zu wenig, zu spät?

Nicht alle sind überzeugt, dass das Gesetz weit genug geht. In der Anhörung im Innenausschuss Ende 2025 kritisierte Manuel Atug, Gründer der AG KRITIS, Deutschland bleibe weiterhin hinter den EU-Vorgaben zurück. Die Verantwortlichen schienen keine klaren Schlüsse aus den hybriden Gefährdungen der vergangenen Monate ziehen zu wollen.

Im Bundestag selbst war die Abstimmung aufschlussreich: CDU/CSU, AfD und SPD stimmten dafür, Grüne und Linke dagegen — letztere mit dem Argument, das Gesetz reiche nicht aus, um Deutschland wirklich resilient zu machen. Kritisiert wurde unter anderem, dass die konkreten Schwellenwerte und Anforderungen noch durch Verordnungen festgelegt werden müssen, was Unternehmen in Planungsunsicherheit lässt.

Dennoch: Das Gesetz ist da, und für betroffene Betreiber zählt jetzt weniger die politische Debatte als die praktische Umsetzung.

Was jetzt zu tun ist — auch wenn die Verordnungen noch fehlen

Die konkreten Schwellenwerte kommen mit nachgelagerten Verordnungen. Aber die inhaltlichen Anforderungen sind bereits klar — und wer potenziell in einem der elf Sektoren tätig ist, sollte nicht auf die finale Rechtsverordnung warten. Der Grund ist einfach: Die Umsetzungsfristen beginnen relativ schnell nach der Einstufung als kritischer Betreiber.

Sinnvoll ist jetzt ein strukturierter Start: eine ehrliche Bestandsaufnahme der eigenen Anlagen, eine erste Identifikation kritischer Abhängigkeiten und der Aufbau erster organisatorischer Strukturen für Risiko- und Krisenmanagement. Wer diese Arbeit früh beginnt, hat einen entscheidenden Vorteil — weniger Zeitdruck, mehr Spielraum für durchdachte Lösungen.

Sicherheit, so formulierte es Innenminister Dobrindt im Bundestag, sei kein garantierter Zustand, sondern eine ständige Aufgabe. Das KRITIS-Dachgesetz macht diese Aufgabe jetzt zur gesetzlichen Pflicht. Die Frage ist nur, wer sie ernst nimmt — und wer erst handelt, wenn der Prüfer an der Tür klingelt.