KRITIS-Dachgesetz: die wichtigsten Aspekte

Ende Januar 2026 passierte das KRITIS-Dachgesetz (KRITISDachG) den deutschen Bundestag. Es schafft erstmals einen verbindlichen, sektorübergreifenden Rahmen zum Schutz kritischer Infrastruktur. Damit werden neue Vorgaben an die Betreibenden gestellt bzw. bereits bestehende erweitert: Sie müssen die eigenen Anlagen besser vor physischen Angriffen schützen. Zum Beispiel durch

• übergreifende Mindestanforderungen
• verpflichtende Risikoanalysen
• Störungsmonitoring und Meldepflichten
• weitgehende baulich-technische Sicherung
• Einschränkung öffentlicher Informationen
• …

Der Anschlag auf das Berliner Stromnetz am 3. Januar 2026 hat gezeigt, wie angreifbar (überlebens)wichtige Infrastruktur ist. Die Folge des Brandanschlags auf eine Kabelbrücke: ein mehrtägiger Blackout in Teilen der deutschen Hauptstadt. Rund 45.000 Haushalte und über 2.200 Unternehmen hatten tagelang keinen Strom.

Und auch die gezielten Angriffe Russlands auf die ukrainische Energieinfrastruktur haben schwerwiegende Folgen für die Zivilbevölkerung: kein Trinkwasser, kein Strom, keine Wärme. Bei Temperaturen von bis zu -15°C entstehen dort so äußerst kritische humanitäre Bedingungen!

In Deutschland und Skandinavien wurden bereits Drohnenüberflüge registriert, auch über kritischer Infrastruktur von Versorgungsunternehmen.

Die Notsituationen legen die Verwundbarkeit offen und zeigen, dass besserer Schutz notwendig ist. Und sind wichtige Treiber, die EU-CER-Richtlinie** über die Resilienz kritischer Infrastrukturen in nationales Recht umzusetzen.

Das KRITIS-Dachgesetz legt jetzt Mindeststandards für den Schutz vor Naturkatastrophen, Sabotage oder Terrorismus fest – bundesweit einheitlich und sektorenübergreifend.

Die Frage ist längst nicht mehr, ob oder wann eine KRITIS-Anlage im eigenen Betrieb betroffen sein wird, sondern in welcher Intensität.

Generell gilt: Transparenz ist gut, darf aber Infrastrukturen nicht gefährden bzw. Angriffe auf sie leicht machen. Kritisch sind zum Beispiel Geodaten, die Informationen über Anlagen enthalten. Deshalb müssen solche Daten besonders geprüft werden, bevor sie veröffentlicht werden.

Das bedeutet: Ab sofort müssen Energie- und Wasserversorgungsunternehmen die physische Sicherheit ihrer Netze, Werke und Anlagen strategisch dokumentieren und prüfbar managen. Das Gesetz definiert Pflichten, Fristen und mögliche Sanktionen. Besonders wichtig sind dabei die folgenden vier Aspekte: Risikoanalyse, Resilienzplanung, Meldeprozesse und Investitionspriorisierung.

Wir haben die zehn wichtigsten Punkte des KRITIS-Dachgesetzes zusammengefasst:

1. Einheitlicher Rechtsrahmen
   Mit dem Gesetz treten bundesweit einheitliche Mindeststandards zum Schutz kritischer Infrastrukturen in Kraft. Betreiber sind verpflichtet, ihre Netze, Anlagen und Werke zu schützen. Dabei gilt der All-Gefahren-Ansatz*!
2. Klare Definition der Sektoren
   Durch das Gesetz werden 11 Sektoren mit ihren Unternehmen und Einrichtungen der kritischen Infrastruktur zugeordnet. Das sind:
   Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung.
3. Festgelegter Schwellenwert
   Als kritisch gilt eine Anlage typischerweise, wenn sie Leistungen für rund 500.000 Einwohner erbringt (z. B. Netzgröße, Wassermengen usw.). Zusätzlich können Staat/Ländern durch nationale Risikoanalysen weitere Betreiber erfassen.
4. Pflicht kritische Anlagen zu registrieren
   Betreiber müssen ihre kritischen Anlagen auf einer gemeinsamen Plattform des BSI (Bundesamt für Sicherheit in der Informationstechnik) und BKK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) registrieren.
5. Systematische Risikoanalysen (All-Gefahren-Ansatz)
   Alle betroffenen Unternehmen müssen regelmäßig Risikoanalysen durchführen. So erhalten sie einen Überblick über potenzielle Gefahren, egal welcher Art.
6. Verbindliche Resilienz- und Notfallpläne
   Anhand der Risikoanalysen müssen Resilienzpläne erstellt werden. In denen werden unter anderem die Maßnahmen festgelegt, wie im Krisenfall die Versorgung wiederhergestellt bzw. das Funktionieren der Infrastruktur aufrechterhalten werden kann. Dazu gehört u.a. die Verpflichtung, Redundanzen aufzubauen, für Notstrom zu sorgen, Materialen vorzuhalten und das Personal zu schulen und einzuplanen.
7. Konkrete Anforderungen an physischen Schutz
   Kritische Infrastrukturen müssen physische angemessen gesichert werden, zum Beispiel durch Zugangskontrollen, Zäune, Überwachung rund um die Uhr… Auch Lieferketten müssen für Krisenfälle gesichert werden.
8. Meldepflicht bei Störungen und Sicherheitsvorfällen
   Schwere Störungen oder Angriffe müssen sofort gemeldet werden. So können alle Beteiligten besser und schneller reagieren!
9. Abgrenzung zu IT-/Cyber-Vorgaben (NIS2)
   Das KRITIS-Dachgesetz stellt die physische Resilienz in den Fokus. Der Schutz vor Cyber-Angriffen wird durch die NIS-2-Richtlinie abgedeckt. Seitdem die europäischen Richtlinie hierzulande durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz im Dezember 2025 umgesetzt wurde, gelten für viele Einrichtungen erweiterte Pflichten im Bereich der Cybersicherheit. Beide Gesetze zusammen erhöhen die Resilienz!
10. Sanktionen, Fristen und Investitionsdruck
    Bei Verstößen drohen Bußgelder bis zu 500.000 €. Die Umsetzungsfristen sind kurz (teils < 1 Jahr nach Registrierung), was erheblichen Investitions- und Organisationsdruck für Versorger bedeutet.

Klar muss sein: Die Abwehr von Terrorangriffen ist nicht die Aufgabe von Stadtwerken und Wasserversorgern, sondern des Bundes und der Länder!

Für Wasserwerke brauchen den bestmöglichen digitalen wie auch physischen Schutz. Stromausfälle, Anschläge, Naturkatastrophen – alles Mögliche kann die Versorgungssicherheit empfindlich beeinträchtigen. Deshalb müssen Wasserwerke Redundanzen vorhalten und ihren physischen Schutz verstärken.

Das erfordert Investitionen, Strategien und Einsatz! Noch in den 1970er Jahren war ein Wasserwerk ein in sich geschlossenes System – ohne Schnittstellen nach außen. Heute erleichtern Digitalisierung und Automatisierung den Betrieb, machen die Anlagen aber auch anfälliger für gezielte Sabotage.

Wird ein System angegriffen, muss der Betrieb manuell weiter funktionieren. Für kurze Zeiträume ist das machbar – über Tage hinweg wird es jedoch zur Herausforderung. Deshalb ist es auch wichtig, Prozesse jenseits des Standards und sogar Krisen-Szenarien zu üben.

Mit dem KRITIS-Dachgesetz kommt unser Gesetzgeber seiner Verpflichtung nach, die EU-CER-Richtlinie** über die Resilienz kritischer Infrastrukturen in nationales Recht umzusetzen. Der Schutz vor Cyber-Angriffen wird durch die NIS-2-Richtlinie abgedeckt. Seit der Umsetzung dieser europäischen Richtlinie in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz im Dezember letzten Jahres gelten für viele Einrichtungen erweitere Pflichten im Bereich der Cybersicherheit.

Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Quelle: BSI

* All-Gefahren-Ansatz
Jedes denkbare Risiko muss berücksichtigt werden, zum Beispiel Gefahren durch Naturkatastrophen, Terrorismus, Sabotage, menschliches Versagen, Cyberkriminalität usw.

** Gemeint ist die EU-Richtlinie 2022/2557 (Critical Entities Resilience / CER-Richtlinie). Sie ist am 16. Januar 2023 in Kraft getreten und stärkt die physische Widerstandsfähigkeit kritischer Infrastrukturen. Sie verpflichtet die EU-Mitgliedstaaten zur Identifizierung kritischer Einrichtungen und zur Umsetzung strenger Sicherheitsmaßnahmen in elf Sektoren.