KRITIS-Dachgesetz : Mehr Resilienz bei KRITIS

Zusätzlich zu dieser allgemeinen Strategie obliegt es den Bundes- und Landesministerien nach § 11 Abs. 1 KRITIS-DachG, für die in ihren Geschäftsbereich fallenden kritischen Dienstleistungen nationale Risikoanalysen und -bewertungen durchzuführen. Diese dienen als Grundlage für die Risikomanagementmaßnahmen der kritischen Anlagen und umfassen nach § 11 Abs. 2 KRITIS-DachG unter anderem naturbedingte, technische oder menschlich verursachte Risiken, die geeignet sein können, die Verfügbarkeit der kritischen Dienstleistungen entscheidend zu beeinträchtigen – außerdem alle wesentlichen Risiken für wirtschaftliche Tätigkeiten im Binnenmarkt und die Bevölkerung, die sich aus dem Ausmaß der Abhängigkeit zwischen den Sektoren ergeben und die Handlungsfähigkeit der Wirtschaft bedrohen sowie alle für die personelle Arbeitsfähigkeit wesentlichen Risiken in den Sektoren, die für die wirtschaftlichen Tätigkeiten im Binnenmarkt und die Bevölkerung von erheblichem Einfluss sind.

Nach § 11 Abs.  4 KRITIS-DachG sind nationale Risikoanalysen als „systematische Verfahren zur Bestimmung eines Risikos“ (§ 2 Nr. 7 KRITIS-DachG) und die Risikobewertungen jedenfalls alle 4 Jahre als Prozess durchzuführen, in dem Risiken in Bezug auf ihre Wirkung auf die kritische Dienstleistung verglichen und priorisiert werden. Es ist dann zu entscheiden, ob Maßnahmen zur Risikobehandlung zu ändern und zu ergänzen sind (§ 2 Nr. 8 KRITIS-DachG).

Eine zentrale Rolle bei der Umsetzung trägt nach § 3 Abs. 1 KRITIS-DachG das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Für das Zusammenspiel zwischen KRITIS-DachG und BSIG regeln beide Gesetze auch eine Zusammenarbeit zwischen BBK und BSI. Außerdem sieht das KRITIS-DachG an unterschiedlichen Stellen eine Verordnungsermächtigung für das Bundesministerium des Innern (BMI) vor, durch Rechtsverordnung konkretisierende Regelungen zu treffen.

Anwendungsbereich

Anders als beim BSIG, wo NIS-2 den Mitgliedstaaten die konkrete Bestimmung betroffener Einrichtungen aus den vorgeschriebenen Sektoren entzogen hat, gibt es diese Freiheit im Rahmen der Resilienz-Richtlinie durchaus: Die Mitgliedstaaten können also den Anwendungsbereich in den Sektoren selbst festlegen.

Die Betroffenheit der Einrichtungen bestimmt sich nach § 2 Abs. 3 in Verbindung mit § 4 Abs. 3 und Abs.  1 KRITIS-DachG nach der BSI-Kritisverordnung (BSI-KritisV), die das das BMI im Einvernehmen mit den in § 4 Abs. 4 KRITIS-DachG genannten Stellen erlässt. Bis zum Erlass einer neuen BSI-KritisV gilt die im Rahmen des novellierten BSIG ebenfalls aktualisierte Fassung. Über § 2 Nr. 22 BSIG wirkt sie sich auch auf das BSIG aus, wodurch das jetzige Gesetz seinen Titel „Dachgesetz“ verdient.

Während es im BSIG also zusätzlich die „wichtigen“ und „besonders wichtigen“ Einrichtungen gibt (§ 28 Abs. 1 und Abs. 2 BSIG), bleibt es im KRITIS-DachG bei der Betroffenheit von Betreibern kritischer Anlagen. Für die Schwellenwerte orientiert sich die BSIKritisV an 500 000 von einer Einrichtung versorgten Personen, was dazu führt, dass nur große Einrichtungen erfasst sind. Der Regierungsentwurf für das KRITIS-DachG ging von 1700 kritischen Anlagen aus (siehe S. 37 in [4]), der Entwurf für das BSIG mit den dortigen drei Einrichtungskategorien von knapp 30 000 betroffenen Einrichtungen (siehe S. 110 in [5]). Im Gesetzgebungsverfahren zum KRITIS-DachG kam daher die Forderung auf, sich beim Schwellenwert an 150 000 versorgten Personen zu orientieren, was sich aber nicht durchgesetzt hat (vgl. [6]). In einer Protokollerklärung zur 1062. Sitzung des Bundesrats gab die Bundesregierung allerdings an, eine mögliche Herabsetzung des Regelschwellenwerts bei einer Evaluierung des Gesetzes spätestens nach zwei Jahren zu prüfen, um einen flächendeckenden und einheitlichen KRITIS-Schutz zu gewährleisten.

Betroffene Einrichtungen müssen sich nach § 8 Abs.  1 KRITIS-DachG bei der vom BBK gemeinsam mit dem BSI betriebenen Registrierungsmöglichkeit registrieren. Diese Pflicht gilt frühestens zum 17. Juli 2026 – danach muss die Registrierung spätestens drei Monate erfolgen, nachdem eine Anlage als kritisch gilt.

Risikomanagement-Pflichten

Kernvorschrift für die Einrichtungen ist § 13 KRITIS-DachG, der die Resilienzpflichten regelt. Resilienz ist nach § 2 Nr. 5 KRITIS-DachG die Fähigkeit einer kritischen Anlage, einen Vorfall zu verhindern, sich vor einem Vorfall zu schützen, einen Vorfall abzuwehren, auf einen Vorfall zu reagieren, die Folgen eines Vorfalls zu begrenzen, einen Vorfall aufzufangen und zu bewältigen und sich von einem Vorfall zu erholen.

Die Pflichten des § 13 Abs. 1 KRITIS-DachG erstrecken sich darauf,

• das Auftreten von Vorfällen zu verhindern,
• einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten,
• auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und
• nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten.

Grundlagen dieser Pflichten sind die angesprochenen nationalen Risikoanalysen und -bewertungen sowie die durch die Betreiber gemäß § 12 KRITIS-DachG durchzuführenden Risikoanalysen und -bewertungen. Deren Ergebnisse müssen betroffene Einrichtungen in einen Resilienzplan nach § 13 Abs. 4 KRITIS-DachG überführen, in dem die nach § 13 Abs. 2 und 3 KRITIS-DachG genannten technischen, sicherheitsbezogenen und organisatorischen Maßnahmen dargestellt werden.

Für diese Pflichten ist der „Stand der Technik“ einzuhalten und ein Verhältnismäßigkeitsmaßstab anzuwenden. Dabei ist eine Zweck-Mittel-Relation vorzunehmen, bei der besonders der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls gegen das Risiko eines Vorfalls abzuwägen ist und wirtschaftliche Aspekte zu berücksichtigen sind, was gerade bei öffentlich finanzierten Einrichtungen in Zeiten „knapper Kassen“ durchaus eine praktische Bedeutung haben kann.

Wie bereits in § 38 Abs. 1 BSIG vorgesehen, ist die Geschäftsleitung von Betreibern kritischer Anlagen auch nach § 20 Abs.  1 KRITIS-DachG verpflichtet, die Umsetzung der Resilienzpflicht als delegationsfeindliche Leitungsaufgabe zu überwachen. Bei Verstößen gegen diese Leitungspflicht haftet die Geschäftsleitung, was § 18 Abs. 2 KRITIS-DachG klarstellt.

Lediglich die konkret ausgestaltete Schulungspflicht aus § 38 Abs. 3 BSIG findet im KRITIS-DachG keine Entsprechung – allerdings zählt eine ausreichende Fachkenntnis zu den Grundvoraussetzungen, um seinen Leitungspflichten nachkommen zu können. Eine Weiterbildungspflicht für Leitungspersonen besteht also ohnehin, nur eben nicht in der gesetzlich konkreten Ausformung.

Angebote zur Unterstützung der Umsetzung erforderlicher Maßnahmen

Für die praktische Umsetzung sieht das Gesetz mehrere Hilfestellungen vor: Das BBK soll nach § 13 Abs.  5 KRITIS-DachG Vorlagen und Muster für die Erstellung von Resilienzplänen auf seiner Internetseite bereitstellen. Bei einer ursprünglich genannten Veröffentlichungsfrist bis zum 17. Januar 2026 dürfte es sich allerdings um ein redaktionelles Versehen handeln – dieser Zeitpunkt war in früheren Entwurfsfassungen an mehreren Stellen enthalten und wurde hier offensichtlich nicht korrigiert. Zum Zeitpunkt der Erstellung des vorliegenden Beitrags waren die Dokumente jedenfalls noch nicht veröffentlicht.

Ähnlich zu den den „Branchenspezifischen Sicherheitsstandards“ (B3S) nach § 30 Abs. 8 BSIG können Betreiber kritischer Anlagen oder deren Branchenverbände dem BBK nach § 14 Abs. 2 KRITIS-DachG branchenspezifische Resilienzstandards zur Konkretisierung der Verpflichtungen von § 13 Abs.  1 KRITIS-DachG vorschlagen. Das BBK stellt dann für einen gesetzlich nicht näher bestimmten Zeitraum die Eignung des Standards fest (im BSIG nach Behördenpraxis für drei Jahre). Wer als Betreiber die dortigen Vorgaben umsetzt, für den gilt die Rechtsvermutung, alles Erforderliche zur Umsetzung der Anforderungen getan zu haben.

Außerdem kann das BMI nach § 14 Abs. 1 KRITIS-DachG per Rechtsverordnung (mit Zustimmung des Bundesrats) zur Konkretisierung der Verpflichtung von § 13 Abs. 1 KRITIS-DachG sektorenübergreifende Mindestanforderungen bestimmen. Die allgemeine Unterstützungsklausel des § 19 Abs. 1 KRITIS-DachG durch das BBK rundet die öffentlichen Unterstützungsangebote ab.

Meldepflichten

Da sich Vorfälle nicht gänzlich vermeiden lassen und dies auch das KRITIS-DachG so nicht verlangt, ist es für die Aufsichtsbehörde unerlässlich, über aktuelle Vorfälle informiert zu sein. § 18 Abs. 1 KRITIS-DachG statuiert daher eine Meldepflicht für Vorfälle gemäß § 2 Nr. 9 KRITIS-DachG: Dabei handelt es sich um Ereignisse, welche die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigen oder beeinträchtigen könnten – mit Ausnahme von Ereignissen, die ausschließlich Sicherheitsvorfälle im Sinne des § 2 Nr. 40 des BSIG oder § 3 Nr. 53 des Telekommunikationsgesetzes (TKG) sind.

Damit greift das Gesetz die Herausforderung der schwierigen Abgrenzung von cyber- und nicht-cyberbezogenen Vorfällen für Unternehmen auf – hier hilft auch der Umstand, dass Meldungen an die gemeinsame Meldestelle von BBK und BSI zu richten sind. Man versucht also, Unternehmen im Ernstfall möglichst wenig Gedanken abzufordern, ob nun ein Vorfall aus dem einen oder anderen Risikobereich stammt, sodass durch diese Differenzierung unnötige Ressourcen gebunden würden. Andererseits sieht § 18 Abs. 1 KRITIS-DachG ausdrücklich zwei Stufen vor, weicht also von der mindestens dreistufigen Meldepflicht nach § 32 Abs. 1 BSIG ab, was für die Vereinfachung nicht förderlich ist

Der Inhalt einer Meldung richtet sich nach § 18 Abs. 2 KRITIS-DachG – weitere Konkretisierungen legt das BBK gemäß Abs. 3 noch fest. Nach § 18 Abs. 6 KRITIS-DachG soll der meldende Betreiber umgehend eine Eingangsbestätigung und sachdienliche Folgeinformationen zur Unterstützung bei der Vorfallsbewältigung erhalten. Alle Meldungen fließen überdies nach § 18 Abs.  8 KRITIS-DachG in Lagebilder des BBK ein.

Aufsicht und Sanktionen

Für die Überprüfung der Umsetzung der Resilienzpflicht nach § 13 Abs.  1 KRITIS-DachG stehen der Aufsichtsbehörde (gem. § 3 KRITIS-DachG) verschiedene Wege offen: Zunächst kann und soll sie sich hierfür der im Rahmen des BSIG erbrachten Nachweise bedienen, die sie vom BSI nach § 16 Abs. 1 KRITIS-DachG erhält. Reichen diese nicht aus, kann die Aufsichtsbehörde nach § 16 Abs. 2 KRITIS-DachG weitere Informationen und Nachweise vom Betreiber anfordern – unter anderem den Resilienzplan sowie Unterlagen zu Audits (Abs. 3). Nach Abs. 5 kann die Aufsichtsbehörde auch eine Mängelbeseitigung verlangen.

§24 KRITIS-DachG sieht mehrere Ordnungswidrigkeitentatbestände vor. Der Bußgeldrahmen ist nach Abs.  2 abgestuft und reicht von „bis zu 100.000  €“ bis „bis zu einer Million Euro“. Verwaltungsbehörden sind je nach Tatbestand entweder das BBK oder die nach § 3 Abs.  2 Satz  1 KRITIS-DachG zuständige Behörde. Anders als in § 65 Abs. 6 und 7 BSIG eingeführt, kennt das KRITIS-DachG allerdings keine konzernweite Bußgeldbemessungsvorschrift.

Zeitplan

Während des Gesetzgebungsverfahrens war vorgesehen, dass die erste nationale Risikoanalyse und -bewertung bereits im Januar 2026 veröffentlicht werden sollte (vgl. S.  19 in [4]). Diese Vorschrift wurde jedoch nicht Gesetz – eine erste Veröffentlichung muss daher spätestens erst mit Ablauf des ersten Vier-Jahres-Zyklus nach Inkrafttreten des Gesetzes erfolgen, also bis 2030.

Die Pflicht zur Risikoanalyse und -bewertung durch die Betreiber kritischer Anlagen (nach § 12 KRITIS-DachG) gilt gemäß § 8 Abs.  7 KRITIS-DachG ab neun Monaten nach Registrierung – Resililienzpflicht, Meldepflicht und die Geschäftsleitungsregelung ab 12 Monaten nach Registrierung.

Dass öffentliche Behörden somit für Analyse und Bewertung von Risiken keinen echten Zeitdruck haben, schwächt die Umsetzung des Gesetzes und mithin die Resilienz zum Schutz der Gesellschaft, da die Risikoanalysen und -bewertungen der Unternehmen und die Resilienzpflicht maßgeblich die Ergebnisse der nationalen Risikoanalyse und -bewertung aufgreifen sollen und diese damit nur auf „andere vertrauenswürdiger Informationsquellen“ (§ 12 Abs. 1 KRITIS-DachG) zurückgreifen können.

Fazit und Ausblick

Für Unternehmen und andere betroffene Einrichtungen ist es wichtig, die immer größer und vielfältiger werdenden Anforderungen an die Unternehmenssicherheit (u. a. gem. BSIG, KRITIS-DachG, GeschGehG und/oder LuftSiG) zu analysieren, zu strukturieren und dadurch Synergien in der Umsetzung bezüglich des Personaleinsatzes und der Unternehmensprozesse zu nutzen. Zugleich ist es wichtig, weitere Rechtsrisiken bei der Umsetzung zu vermeiden. Beispielhaft ist etwa bei Regelungen zum Einsatz von Detektionsgeräten und zur Zugangskontrolle (§ 13 Abs.  3 Nr.  2 Lit.  c und Lit.  d KRITIS-DachG) eine datenschutzkonforme Umsetzung zu berücksichtigen.

Im Bereich des KRITIS-DachG ist es misslich, dass die ersten wichtigen nationalen Risikoanalysen und -bewertungen vermutlich noch einige Zeit auf sich warten lassen – auch andere im Gesetz vorgesehene Unterstützungsangebote, allem voran des BBK und des BMI (per Rechtsverordnung), sind noch nicht verfügbar. Damit fehlen zunächst unterstützende Angebote zur Umsetzung – andererseits steht es den Unternehmen und öffentlichen Einrichtungen damit aber auch frei, sich innerhalb des gesetzlichen Rahmens selbst „Leitplanken“ für die Umsetzung zu setzen.

Dr. Tilmann Dittrich, LL. M. ist Senior Fellow beim cyberintelligence.institute (CII). Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des CII.

Literatur

_{[1] Deutscher Bundestag, Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen, in: Bundesgesetzblatt (BGBl.) 2026 Teil I Nr. 66, März 2026, www.recht.bund.de/bgbl/1/2026/66/VO.html}  

_{[2] Europäische Union, Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen …, in: Amtsblatt der Europäischen Union L333, S.  164, Dezember 2022, https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557}

_{[3] Bundesministerium des Innern (BMI), Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie), Juni 2009, www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/BMI09324-kritis-strategie.html}   

_{[4] Deutscher Bundestag, Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen, BT Drucksache 21/2510, November 2025, https://dip.bundestag.de/drucksache/entwurf-eines-gesetzes-zurumsetzung-der-richtlinie-eu-2022-2557-und/282745}

 _{[5] Deutscher Bundestag, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BT Drucksache 21/1501, September 2025, https://dip.bundestag.de/drucksache/entwurf-eines-gesetzes-zur-umsetzungder-nis-2-richtlinie-und-zur-regelung/281240}

_{[6] Stephan Schmidt, Hybride Bedrohungen und die Wechselwirkung von NIS-2-RL und CERRL, Multimedia und Recht (MMR) 2026, S.  269, https://beck-online.beck.de/?typ=reference&y=300&z=MMR&b=2026&s=269&n=1 (kostenpflichtig)}