KRITIS-Dachgesetz: Vollständiger Leitfaden für Betreiber kritischer Infrastruktur 2026
1. Mai 2026
21 Min. Lesezeit
KRITIS
Das KRITIS-Dachgesetz (offiziell: Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen) ist die deutsche Umsetzung der EU-Richtlinie 2022/2557 (CER — Critical Entities Resilience) und ergänzt das deutsche IT-Sicherheits-Recht um eine physische und organisatorische Resilienz-Komponente. Während NIS2 auf Cyber-Sicherheit fokussiert, deckt das KRITIS-Dachgesetz die gesamte Resilienz ab — von Naturkatastrophen über Sabotage bis zu Lieferanten-Ausfällen. Beide Regelwerke greifen parallel für KRITIS-Betreiber. Die Aufsicht teilen sich BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) für physische Aspekte und BSI für IT-Sicherheit. Das Gesetz betrifft rund 30.000 deutsche Unternehmen in 9 Sektoren — dieselbe Adressaten-Schwelle wie NIS2, aber mit physischer Erweiterung. Bußgelder erreichen bis zu 2 Mio. EUR oder 1 % des weltweiten Jahresumsatzes für signifikante Verstöße.
Kerntatsachen
Rechtsgrundlage: EU CER-Richtlinie 2022/2557 + deutsches KRITIS-Dachgesetz.
Das KRITIS-Dachgesetz ist ein horizontales Gesetz für die physische und organisatorische Resilienz aller kritischen Infrastrukturen in Deutschland. Es ergänzt sektorspezifische Gesetze (Energiewirtschaftsgesetz, Telekommunikationsgesetz, Krankenhausgesetz etc.) und das BSI-Gesetz (NIS2).
Warum ein Dachgesetz?
Die deutsche Resilienz-Regulierung war bislang fragmentiert:
BSI-Gesetz (alt) für IT-Sicherheit
sektorale Gesetze für jeweilige Branchen
fehlende physische Schutz-Komponente
Die EU-CER-Richtlinie 2022/2557 schuf ein einheitliches Resilienz-Rahmenwerk, das in Deutschland durch das KRITIS-Dachgesetz umgesetzt wird.
Gesetzes-Hierarchie
EU CER-Richtlinie 2022/2557
│
▼
KRITIS-Dachgesetz (DE)
│
┌─────┴─────┐
▼ ▼
NIS2-UmsuCG sektorale Gesetze
(IT-Sicherheit) (z. B. EnWG, TKG)
Kennzahl
Rund 30.000 deutsche Unternehmen fallen unter NIS2 + KRITIS-Dachgesetz — eine Versechsfachung gegenüber der bisherigen KRITIS-Regulierung. Davon sind etwa 6.000-8.000 als „kritische Anlagen" mit erhöhten Anforderungen klassifiziert.
Rechtliche Grundlagen
EU CER-Richtlinie 2022/2557
Aspekt
Detail
Verabschiedung
14. Dezember 2022
Inkrafttreten EU
16. Januar 2023
Umsetzungsfrist
17. Oktober 2024 (DE im Verzug)
Hauptthema
Resilienz kritischer Einrichtungen — physisch und organisatorisch
Deutsche Umsetzung
Gesetz
Inhalt
KRITIS-Dachgesetz
Hauptumsetzung CER-Richtlinie
NIS-2-Umsetzungsgesetz
parallel, IT-Sicherheits-Schwerpunkt
Sektorspezifische Gesetze
EnWG, TKG, KHZG etc.
Aktueller Status
Das KRITIS-Dachgesetz befand sich Anfang 2025 noch im parlamentarischen Verfahren. Das Inkrafttreten in Deutschland verzögert sich — die EU-Frist (17.10.2024) wurde bereits verfehlt.
Neun Sektoren
Das KRITIS-Dachgesetz erfasst neun Sektoren — identisch oder weitgehend kongruent mit NIS2-Anlage 1.
Übersicht
Sektor
Beispiele
Energie
Strom-, Gas-, Wärme- und Wasserstoff-Versorgung
Verkehr
Schiene, Luft, Straße, Wasserwege, Häfen
Bankwesen
Banken, Sparkassen
Finanzmarkt-Infrastruktur
Börsen, zentrale Gegenparteien
Gesundheit
Krankenhäuser, Arzneimittelhersteller
Trinkwasser
Wasserversorger
Abwasser
Abwasserentsorger
Digitale Infrastruktur
Rechenzentren, DNS-Provider
öffentliche Verwaltung
Bundes- und Landesbehörden
Weltraum
Bodenstationen-Betreiber
Vergleich zu NIS2
Sektor
NIS2
KRITIS-Dachgesetz
Energie
ja (Anlage 1)
ja
Verkehr
ja (Anlage 1)
ja
Bankwesen
ja (Anlage 1)
ja (DORA-Bezug)
Finanzmarkt
ja (Anlage 1)
ja (DORA-Bezug)
Gesundheit
ja (Anlage 1)
ja
Trinkwasser
ja (Anlage 1)
ja
Abwasser
ja (Anlage 1)
ja
Digitale Infrastruktur
ja (Anlage 1)
ja
öffentliche Verwaltung
ja
ja
Weltraum
ja (Anlage 1)
ja
Sonstige NIS2-Sektoren (z. B. Lebensmittel, Chemikalien)
ja (Anlage 2)
nein
Wer ist Betreiber?
Das KRITIS-Dachgesetz definiert „Betreiber kritischer Infrastruktur" anhand:
Sektor-Zugehörigkeit
Größenschwellen (BSI-Kritisverordnung)
Bedeutung für die Versorgung
BSI-Kritisverordnung
Die BSI-Kritisverordnung legt konkrete Schwellenwerte fest:
Sektor
Schwellenwert
Stromversorgung
> 250.000 Haushalte
Gasversorgung
> 250.000 Haushalte
Wasserversorgung
> 200.000 Personen
Krankenhaus
> 30.000 vollstationäre Fälle/Jahr
Bahn
> 1.000.000 Personen/Jahr
Selbsteinschätzung
Eine Selbsteinschätzung durch den potenziellen Betreiber ist Pflicht — mit Meldung an BBK und BSI.
Kernpflichten
Das KRITIS-Dachgesetz stellt sechs Hauptpflichten auf.
Pflicht 1 — Resilienz-Strategie
Anforderung
Detail
Geschäftsleitungs-Mandat
persönliche Verabschiedung
Risiko-orientierter Ansatz
systematische Risikoanalyse
Mehrjähriger Plan
mindestens 3 Jahre
Regelmäßige Aktualisierung
mind. jährlich
Pflicht 2 — Sicherheits- und Notfallpläne
Sicherheitsplan für physische Infrastruktur
Notfallpläne für Krisenszenarien
Wiederherstellungs-Strategien
Krisenkommunikation
Pflicht 3 — Hintergrundprüfungen
Mitarbeiter mit Zugang zu kritischen Bereichen müssen Hintergrundprüfungen durchlaufen — eine neue rechtliche Grundlage im KRITIS-Dachgesetz.
Pflicht 4 — Meldepflichten
Meldung
Frist
Empfänger
Schwere Vorfälle
unverzüglich
BBK + BSI
Sicherheits-Updates
jährlich
BBK
Wesentliche Änderungen
bei Änderung
BBK
Pflicht 5 — Vorfalls-Management
Identifikation und Reaktion
Eindämmung und Wiederherstellung
Lessons-Learned-Prozess
Dokumentation
Pflicht 6 — Geschäftsleitungs-Schulung
Wie bei NIS2: regelmäßige Schulung der Geschäftsleitung zu Resilienz-Themen — dokumentationspflichtig.
Resilienz-Strategie
Die Resilienz-Strategie ist das strategische Steuerungs-Instrument.
Pflichtinhalte
Inhalt
Detail
Strategische Ziele
Resilienz-Niveau-Ziele
Risiko-Akzeptanz-Kriterien
welche Risiken akzeptabel
Mehrjähriges Maßnahmenprogramm
konkrete Investitionen
Verantwortlichkeiten
Rollen und Befugnisse
Wirksamkeitsmessung
KPIs
Aktualisierungsplan
mind. jährlich
Geschäftsleitungs-Verantwortung
Die Geschäftsleitung muss:
die Strategie persönlich verabschieden
Ressourcen bereitstellen
die Umsetzung überwachen
jährliche Berichte an BBK ermöglichen
Risikoanalyse
Die Risikoanalyse für KRITIS-Dachgesetz umfasst physische, organisatorische und IT-Risiken.
Bedrohungs-Kategorien
Kategorie
Beispiele
Naturkatastrophen
Hochwasser, Sturm, Erdbeben, Feuer
Mensch-gemachte Bedrohungen
Sabotage, Terror, Innen-Bedrohungen
Technische Ausfälle
Anlagen-Ausfälle, Stromausfall
Pandemie / Personalausfall
Mitarbeiter-Verfügbarkeit
Lieferketten-Unterbrechungen
kritische Zulieferer
Cyber-Bedrohungen
(mit NIS2-Bezug)
Methodik
Schritt
Inhalt
1. Asset-Inventar
kritische Anlagen, Systeme, Daten
2. Bedrohungs-Identifikation
für jede Asset-Kategorie
3. Schwachstellen-Analyse
physisch und organisatorisch
4. Eintrittswahrscheinlichkeit
Bewertung
5. Auswirkungs-Bewertung
Schaden, Versorgungs-Auswirkungen
6. Risiko-Behandlung
Maßnahmen
Hintergrundprüfungen
Eine wesentliche Neuerung des KRITIS-Dachgesetzes: Hintergrundprüfungen für Mitarbeiter mit Zugang zu kritischen Bereichen.
Anwendungsbereich
Personalgruppe
Prüfungs-Tiefe
Mitarbeiter mit physischem Zugang zu Hochsicherheits-Bereichen
umfassende Prüfung
IT-Administratoren mit Vollzugriff
umfassende Prüfung
Externe Dienstleister mit kritischem Zugang
wie eigene Mitarbeiter
Sonstige Mitarbeiter
Standard-Identitätsprüfung
Prüfungs-Inhalte
Die genauen Inhalte werden noch präzisiert, voraussichtlich:
Identitätsprüfung
Strafregister-Auszug
Berufsweg-Verifikation
ggf. Sicherheits-Bewertung durch Bundesbehörden
regelmäßige Wiederholung (z. B. alle 3-5 Jahre)
Datenschutzrechtliche Grenzen
Hintergrundprüfungen unterliegen Art. 9 DSGVO (besondere Kategorien) — strenge Voraussetzungen, aber das KRITIS-Dachgesetz schafft die rechtliche Grundlage für notwendige Prüfungen.
Meldepflichten
Schwere Sicherheitsvorfälle müssen an BBK + BSI gemeldet werden.
Was ist ein „schwerer Vorfall"?
Kriterium
Beispiel
Versorgungsbeeinträchtigung
Stromausfall in mehreren Regionen
Sicherheitsvorfall
Sabotage, Cyberangriff
Naturkatastrophe-Auswirkung
Hochwasser-bedingter Ausfall
Lieferketten-Unterbrechung
kritischer Zulieferer-Ausfall
Meldefristen
Im Detail noch nicht final, aber voraussichtlich:
Stufe
Frist
Erstmeldung
unverzüglich, max. 24 Stunden
Detailmeldung
72 Stunden
Abschlussbericht
1 Monat
Parallel zu NIS2 (BSI) und sektoralen Meldepflichten.
Aufsicht
Die Aufsicht ist mehrschichtig.
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
Hauptaufsichtsbehörde für:
physische Resilienz
Notfallpläne
organisatorische Aspekte
Krisen-Koordination
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Hauptaufsichtsbehörde für:
IT-Sicherheits-Aspekte
NIS2-Anforderungen
Cyber-Vorfälle
Schnittstelle zu Cyber-Behörden
Sektorale Aufsicht
Sektor
Aufsichtsbehörde
Energie
BNetzA
Telekommunikation
BNetzA
Verkehr
EBA, BMVI
Bankwesen
BaFin (mit DORA-Bezug)
Gesundheitswesen
Landes-Gesundheitsministerien
Aufsichts-Befugnisse
Befugnis
Anwendung
Informationszugang
jederzeit
Vor-Ort-Kontrollen
mit angemessener Frist
Anordnungen
konkrete Maßnahmen
Bußgelder
bis 2 Mio. EUR / 1 % Umsatz
Funktionsverbot
bei Geschäftsleitungs-Verstößen
öffentliche Bekanntmachung
in schweren Fällen
NIS2-Synergien
KRITIS-Dachgesetz und NIS2 sind komplementär.
Aufgabenteilung
Aspekt
NIS2
KRITIS-Dachgesetz
IT-Sicherheit
primär
sekundär
physische Sicherheit
nicht abgedeckt
primär
Cyber-Vorfälle
primär
sekundär
Naturkatastrophen / Sabotage
nicht abgedeckt
primär
Lieferketten
beide
Resilienz-Strategie
beide
Aufsichtsbehörde
BSI
BBK
Praktische Konsequenzen
KRITIS-Betreiber haben doppelten Pflichten-Katalog:
NIS2-Pflichten für IT-Sicherheit (10 Bereiche)
KRITIS-Dachgesetz-Pflichten für Resilienz (6 Pflichten)
Empfohlen: integriertes Resilienz-Managementsystem, das beide Regelwerke abdeckt.
Mapping-Übersicht
Anforderung
NIS2-Bezug
KRITIS-Dachgesetz-Bezug
Risikoanalyse
NIS2 § 30 Pkt. 1
KRITIS Resilienz-Strategie
Vorfalls-Bewältigung
NIS2 § 30 Pkt. 2
KRITIS Notfallpläne
Betriebs-Kontinuität
NIS2 § 30 Pkt. 3
KRITIS Resilienz-Strategie
Lieferketten-Sicherheit
NIS2 § 30 Pkt. 4
KRITIS Lieferketten-Risiko
MFA / Authentifizierung
NIS2 § 30 Pkt. 10
(NIS2-spezifisch)
Hintergrundprüfungen
NIS2 § 30 Pkt. 9 (gemildert)
KRITIS-Dachgesetz (strenger)
IT-Grundschutz-Synergien
BSI-IT-Grundschutz ist die natürliche Methodik für die IT-Aspekte des KRITIS-Dachgesetzes.
Empfohlene Methodik-Auswahl
Bereich
Methodik
IT-Sicherheits-Anforderungen
BSI-IT-Grundschutz (Standard- oder Kern-Absicherung)
Risikoanalyse für hohen Schutzbedarf
BSI-Standard 200-3
Business Continuity
BSI-Standard 200-4
physische Sicherheit
KRITIS-Dachgesetz-spezifisch + BSI INF-Bausteine
Lieferanten-Sicherheit
NIS2 + KRITIS-Klauseln
Vorteil der Kombination
internationale Anerkennung (ISO 27001) + deutsche Detail-Tiefe (IT-Grundschutz) + KRITIS-spezifische Anforderungen
BBK- und BSI-Akzeptanz als zentrale Methodik
bewährte Vorlagen und Bausteine
synergiestarke Implementierung
Implementierungs-Roadmap
Phase 1 — Status-Klärung (Monate 1-3)
Selbsteinschätzung: ist das Unternehmen Betreiber kritischer Infrastruktur?
Anwendungsbereich definieren
Geschäftsleitungs-Mandat
Projektorganisation
Phase 2 — Resilienz-Strategie (Monate 3-6)
mehrjährige Strategie entwerfen
Risiko-Akzeptanz-Kriterien
Geschäftsleitungs-Verabschiedung
Phase 3 — Risikoanalyse (Monate 4-7)
physische und IT-Risiken
Asset-Inventar
Bedrohungs- und Schwachstellen-Analyse
Risiko-Bewertung
Phase 4 — Sicherheits- und Notfallpläne (Monate 6-10)
Sicherheitsplan für physische Infrastruktur
Notfallpläne pro Szenario
Krisenkommunikations-Pläne
Wiederherstellungs-Strategien
Phase 5 — Hintergrundprüfungen (Monate 7-9)
relevante Personalgruppen identifizieren
Prüfungs-Verfahren definieren
rechtliche Grundlagen klären
Implementation
Phase 6 — Meldewege (Monate 9-11)
Meldewege an BBK + BSI etablieren
Vorfalls-Klassifizierung
Tabletop-Übungen
Phase 7 — Schulung (Monate 10-12)
Geschäftsleitungs-Schulung
Mitarbeiter-Awareness
Übungs-Programm
Phase 8 — Wirksamkeitsmessung (ab Monat 12)
KPIs etablieren
internes Audit
Management-Review
Bußgelder
Verstoß
Maximalbußgeld
Schwere Verstöße
2 Mio. EUR oder 1 % weltweiter Jahresumsatz
Sonstige Verstöße
gestaffelt nach Schwere
Fortgesetzter Verstoß
tagessatzbasierte Verschärfung
Plus mögliche persönliche Haftung der Geschäftsleitung und öffentliche Bekanntmachung.
FAQ
Was ist das KRITIS-Dachgesetz?
Die deutsche Umsetzung der EU CER-Richtlinie 2022/2557 — ein horizontales Resilienz-Gesetz für alle kritischen Infrastrukturen.
Wer ist betroffen?
Betreiber kritischer Infrastruktur in 9 Sektoren — typisch ab den Schwellenwerten der BSI-Kritisverordnung.
Was ist der Unterschied zu NIS2?
NIS2 fokussiert IT-Sicherheit, KRITIS-Dachgesetz physische und organisatorische Resilienz. Beide gelten parallel für KRITIS-Betreiber.
Das KRITIS-Dachgesetz ist die zentrale Resilienz-Verordnung für deutsche kritische Infrastruktur — ergänzend zu NIS2 und sektoralen Spezialgesetzen. Drei strategische Empfehlungen:
Erstens, integriertes Resilienz-Management. KRITIS-Betreiber unterliegen mehreren parallel greifenden Regelwerken — eine integrierte Resilienz-Strategie spart erhebliche Aufwände.
Zweitens, BSI-IT-Grundschutz als IT-Methodik. Bewährt, behördlich akzeptiert, KRITIS-spezifisch erweiterbar.
Drittens, frühe Vorbereitung. Auch wenn das Gesetz noch im Verfahren ist — die EU-CER-Richtlinie ist bereits verbindlich, und die Anforderungen werden sich nicht grundlegend ändern.
Vision Compliance unterstützt KRITIS-Betreiber bei integrierter Resilienz-Implementierung — als Teil unserer NIS2-Beratung und Cyber-Security-Beratung, von der Selbsteinschätzung über die Risikoanalyse bis zur Audit-Vorbereitung. Wir kombinieren KRITIS-Dachgesetz, NIS2, BSI-IT-Grundschutz und ISO 27001 zu einem schlanken Compliance-Rahmenwerk. Sprechen Sie uns an für ein kostenloses Erstgespräch mit individueller Anwendungsbereichs-Klärung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
