Am 17. März 2026 trat das KRITIS-Dachgesetz in Deutschland in Kraft, und Betreiber kritischer Infrastrukturen stehen vor der drängendsten Compliance-Deadline seit dem IT-Sicherheitsgesetz 2.0. Bis zum 17. Juli 2026 müssen sich betroffene Unternehmen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Wer die Frist versäumt, riskiert Bußgelder von bis zu 1 Million Euro. Das neue Gesetz betrifft Betreiber in elf Sektoren, von der Energieversorgung bis zur öffentlichen Verwaltung, und schafft erstmals einen bundeseinheitlichen Rechtsrahmen für die physische Resilienz kritischer Anlagen.
Was ist das KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz (offiziell: Gesetz zur Stärkung der Resilienz kritischer Anlagen) setzt die europäische CER-Richtlinie (Critical Entities Resilience, EU 2022/2557) in deutsches Recht um. Während die NIS-2-Richtlinie primär die Cybersicherheit adressiert, geht das KRITIS-Dachgesetz einen Schritt weiter: Es verpflichtet Betreiber kritischer Anlagen zu umfassenden physischen Schutzmaßnahmen gegen alle denkbaren Bedrohungen, darunter Naturkatastrophen, Sabotage, Lieferkettenstörungen und Terroranschläge.
Das Gesetz markiert eine grundlegende Verschiebung in der deutschen Sicherheitspolitik. Bisherige Regelungen, insbesondere das IT-Sicherheitsgesetz 2.0, konzentrierten sich stark auf den digitalen Schutzraum. Das KRITIS-Dachgesetz schreibt nun erstmals verbindliche Standards für Werkschutz, Perimeterschutz, Business-Continuity-Management (BCM) und Krisenmanagement fest. Betreiber, die diese Anforderungen bisher freiwillig umgesetzt haben, müssen ihre Maßnahmen nun nach gesetzlichem Standard dokumentieren und nachweisen.
Die Bundesregierung nennt explizit elf Sektoren, die unter den Anwendungsbereich fallen: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung. Für jeden dieser Sektoren gelten spezifische Schwellenwerte und Pflichten.
Gesetzgebungsverfahren: Chronologie bis zum Inkrafttreten
Der Weg des KRITIS-Dachgesetzes durch die deutschen Gesetzgebungsorgane war ungewöhnlich lang. Die EU-CER-Richtlinie hätte bereits bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden müssen. Deutschland verpasste diese Frist deutlich, was zu einem Vertragsverletzungsverfahren auf EU-Ebene hätte führen können.
Das Bundeskabinett verabschiedete den Gesetzentwurf am 10. September 2025. Nach intensiver parlamentarischer Debatte und Beratungen im Innenausschuss, der am 28. Januar 2026 noch maßgebliche Änderungen beschloss, votierte der Bundestag am 29. Januar 2026 für das Gesetz (Drucksache 21/3906). Ein wesentliches Ergebnis dieser Beratungen: Die Bußgeldrahmen wurden gegenüber dem ursprünglichen Entwurf verdoppelt. Der Bundesrat stimmte am 6. März 2026 zu; die Veröffentlichung im Bundesgesetzblatt folgte am 16. März 2026 (BGBl. 2026, Nr. 66). Das Gesetz trat am folgenden Tag, dem 17. März 2026, in Kraft.
Ausgenommen von der sofortigen Geltung sind die Absätze 3 bis 5 des Paragraphen 14, die erst am 1. Januar 2030 wirksam werden. Diese Übergangsregelung gibt Betreibern Zeit, komplexere Resilienzanforderungen schrittweise umzusetzen. Die kritische operative Frist bleibt der 17. Juli 2026, ab dem Registrierungspflichten greifen und Bußgelder verhängt werden können.
Die 11 betroffenen Sektoren im Überblick
Das KRITIS-Dachgesetz definiert elf Sektoren mit spezifischen Schutzanforderungen. Die folgende Tabelle zeigt, welche Anlagen typischerweise unter das Gesetz fallen und welche Kernpflichten in jedem Sektor gelten.
| Sektor | Beispiele für kritische Anlagen | Kernpflicht |
|---|---|---|
| Energie | Kraftwerke, Stromnetze, Gasspeicher, Raffinerien | Redundanz, Notfallversorgung |
| Transport & Verkehr | Flughäfen, Bahnhöfe, Häfen, Leitzentralen | Physischer Perimeterschutz |
| Finanz- & Versicherungswesen | Systemrelevante Banken, Clearingstellen | BCM, Krisenplan |
| Gesundheit | Großkrankenhäuser, Blutbanken, Rettungsleitstellen | Meldepflicht, Resilienzplan |
| Trinkwasser | Wasserwerke, Talsperren, Pumpwerke | Zugangskontrolle, Monitoring |
| Abwasser | Kläranlagen, zentrale Kanalnetzknoten | Physische Sicherung |
| Siedlungsabfallentsorgung | Großdeponien, Müllverbrennungsanlagen | Risikoanalyse |
| IT & Telekommunikation | Rechenzentren, Mobilfunkknotenpunkte | Redundanz, BCM |
| Ernährung | Großlager, zentrale Verteilzentren | Lagerbestandsplanung |
| Weltraum | Satellitenbodenstationen, Kontrollzentren | Zugangskontrollen |
| Öffentliche Verwaltung | Rechenzentren von Bund und Ländern, Katastrophenschutz | Krisenmanagement |
Die 500.000-Personen-Schwelle: Wer ist betroffen?
Das zentrale Kriterium für die Einordnung als kritische Anlage ist die Versorgungskapazität. Eine Anlage gilt als kritisch im Sinne des Gesetzes, wenn sie mindestens 500.000 Personen mit einer essenziellen Dienstleistung versorgt. Dieser Schwellenwert orientiert sich an der CER-Richtlinie und soll sicherstellen, dass nur Anlagen mit echter Versorgungsrelevanz unter die strengen Pflichten fallen.
Allerdings enthält das Gesetz eine wichtige Öffnungsklausel: Die Bundesländer können niedrigere Schwellenwerte festlegen, wenn der Ausfall einer Anlage regionale oder sektorale Kaskadeneffekte auslösen würde. Das bedeutet, dass ein mittelgroßes Krankenhaus in einer strukturschwachen Region unter Umständen ebenso in den Anwendungsbereich fällt wie ein Großklinikum in einer Metropole.
Die Identifikationspflicht liegt beim Betreiber selbst. Laut Paragraph 8 des Gesetzes müssen Unternehmen eigenständig prüfen, ob ihre Anlagen die gesetzlichen Schwellenwerte erreichen. Diese Selbsteinschätzung ist rechtlich bindend: Wer die eigene Anlage irrtümlich oder absichtlich unterhalb der Schwelle einordnet, riskiert die gleichen Bußgelder wie ein Betreiber, der die Registrierungsfrist schlicht versäumt.
Besondere Aufmerksamkeit verdient die Kategorie der kritischen Einrichtungen mit besonderer Bedeutung für Europa. Das Gesetz sieht vor, dass Betreiber, deren Ausfall grenzüberschreitende Auswirkungen hätte, zusätzlichen Anforderungen unterliegen und direkt mit europäischen Behörden kooperieren müssen. Für international operierende Konzerne mit deutschen KRITIS-Anlagen entsteht damit eine weitere Compliance-Dimension.
Pflichten für KRITIS-Betreiber: Was jetzt getan werden muss
Das KRITIS-Dachgesetz bündelt mehrere Handlungspflichten für betroffene Betreiber. Die Reihenfolge ist gesetzlich vorgezeichnet und folgt einer klaren Logik: erst Registrierung, dann Risikoanalyse, dann Maßnahmenumsetzung.
1. Identifikation und Selbsteinschätzung (sofort): Betreiber müssen prüfen, ob ihre Anlagen die Schwellenwerte des Gesetzes erreichen. Dabei sind Standortdaten, Versorgungskapazitäten und sektorale Einordnung zu dokumentieren.
2. Registrierung beim BBK (ab 17. Juli 2026): Betroffene Betreiber melden sich auf der gemeinsamen Plattform von BBK und BSI und hinterlegen betreiber- sowie anlagenbezogene Daten, darunter Versorgungsgrad, Standorte und Kontaktstellen. Die Registrierung muss spätestens drei Monate nach der Selbstidentifikation erfolgen.
3. Risikoanalyse (innerhalb von 9 Monaten nach Registrierung): Betreiber müssen eine strukturierte Risikoanalyse durchführen, die alle relevanten Bedrohungsszenarien abdeckt: Cyberangriffe, Naturkatastrophen, physische Angriffe, Personalmangel und Lieferkettenstörungen.
4. Umsetzung von Resilienzmaßnahmen (innerhalb von 10 Monaten nach Registrierung): Auf Basis der Risikoanalyse implementieren Betreiber technische und organisatorische Schutzmaßnahmen. Dazu zählen Perimeterschutz, Zugangskontrollen, BCM-Pläne, Personalmanagement und Krisenplanung.
5. Laufende Meldepflichten: Sicherheitsvorfälle, die den Betrieb kritischer Anlagen beeinträchtigen, müssen dem BBK gemeldet werden. Das Gesetz folgt hier einem ähnlichen Muster wie die NIS-2-Richtlinie, legt aber den Fokus auf physische statt digitale Vorfälle.
6. Mitwirkung bei Inspektionen: Betreiber müssen der zuständigen Behörde Zugang zu Geschäftsräumen gewähren, Aufzeichnungen vorlegen und Auskunft erteilen. Wer dies verweigert, riskiert Bußgelder gemäß Paragraph 16 Absatz 4 Satz 3.
Die kritische Deadline: 17. Juli 2026
Der 17. Juli 2026 ist das Datum, das Compliance-Teams in ganz Deutschland auf der Agenda haben. Ab diesem Tag können Betreiber kritischer Anlagen ihre Registrierung beim BBK einreichen, und ab diesem Datum läuft auch der Bußgeldrahmen scharf. Wer die Registrierung versäumt oder unvollständige Angaben macht, riskiert sofortige Sanktionen.
Die Konsequenzen der Frist sind kaskadenförmig. Nach erfolgter Registrierung beginnen die 9-monatige Frist für die Risikoanalyse und die 10-monatige Frist für die Maßnahmenumsetzung zu laufen. Wer am 17. Juli 2026 registriert, muss die Risikoanalyse bis April 2027 und die vollständige Umsetzung der Schutzmaßnahmen bis Mai 2027 abgeschlossen haben. Für Betreiber, die noch keine Vorbereitungen getroffen haben, ist die Zeit knapp.
Prof. Dr. Norbert Gebbeken, Präsident der Bayerischen Ingenieurekammer-Bau, kommentierte das Gesetz kurz nach dem Bundestagsbeschluss: “Das KRITIS-Dachgesetz bringt endlich Klarheit darüber, welche physischen Mindeststandards kritische Infrastrukturen erfüllen müssen. Die Herausforderung liegt jetzt in der Umsetzungsgeschwindigkeit. Viele Betreiber haben die Vorarbeiten noch nicht abgeschlossen.”
Die Rechtsanwaltskanzlei GÖRG warnt in ihrer Analyse vom März 2026: “Betreiber, die sich bisher auf freiwillige BSI-Standards verlassen haben, sollten nicht annehmen, dass diese Maßnahmen automatisch die gesetzlichen Anforderungen erfüllen. Das KRITIS-Dachgesetz stellt eigene, teils höhere Anforderungen an Dokumentation und Nachweispflicht.”
Bußgeldrahmen: Bis zu 1 Million Euro Strafe
Einer der einschneidendsten Aspekte des KRITIS-Dachgesetzes ist der deutlich erhöhte Bußgeldrahmen. Der Innenausschuss des Bundestags verdoppelte die Sanktionen gegenüber dem ursprünglichen Entwurf. Das abgestufte Modell gemäß Paragraph 24 sieht folgende Strafen vor:
| Verstoß | Rechtsgrundlage | Maximales Bußgeld |
|---|---|---|
| Verstöße gegen Auskunftspflichten bei der Registrierung | § 24 KRITIS-DachG | bis zu 1.000.000 € |
| Schwerwiegende Verstöße gegen Resilienzmaßnahmen | § 24 KRITIS-DachG | bis zu 1.000.000 € |
| Verstöße gegen Vorlagepflicht von Audits | § 24 KRITIS-DachG | bis zu 500.000 € |
| Registrierungsversäumnisse (Fristverstoß) | § 8 i.V.m. § 24 KRITIS-DachG | bis zu 500.000 € |
| Verstöße gegen Anordnungen zur Mängelbeseitigung | § 24 KRITIS-DachG | bis zu 200.000 € |
| Verweigerung von Behördenzugang (§ 16 Abs. 4 Satz 3) | § 24 KRITIS-DachG | bis zu 100.000 € |
Besonders gravierend ist die persönliche Haftungskomponente. Das Gesetz nimmt die Geschäftsleitung unmittelbar in die Verantwortung. Wer als Führungskraft die Umsetzung der Schutzmaßnahmen pflichtwidrig vernachlässigt, kann persönlich für Sorgfaltspflichtverletzungen haftbar gemacht werden. Diese Regelung spiegelt den europäischen Trend wider, den Compliance-Druck auf die individuelle Managementverantwortung zu verlagern, analog zu den expliziten Geschäftsführerpflichten der NIS-2-Richtlinie.
Die Bußgelder sind kumulierbar. Verstößt ein Betreiber gleichzeitig gegen die Registrierungspflicht und verweigert der Behörde den Zugang, können beide Tatbestände gesondert geahndet werden. In extremen Fällen drohen neben den Geldbußen auch Betriebsverbote für betroffene Anlagen.
KRITIS-Dachgesetz vs. NIS-2 vs. IT-Sicherheitsgesetz 2.0: Der Vergleich
Viele Betreiber kritischer Infrastrukturen fragen sich, wie das KRITIS-Dachgesetz zu den bereits bestehenden Regelwerken steht. Das Ergebnis ist eine Dreifachstruktur, die unterschiedliche Schutzebenen adressiert.
| Merkmal | KRITIS-Dachgesetz | NIS-2 (NISG 2.0) | IT-Sicherheitsgesetz 2.0 |
|---|---|---|---|
| EU-Grundlage | CER-Richtlinie (EU 2022/2557) | NIS-2-Richtlinie (EU 2022/2555) | Nationales Recht |
| Inkrafttreten (DE) | 17. März 2026 | Umsetzungsgesetz läuft | 28. Mai 2021 |
| Primärer Fokus | Physische Resilienz | Cybersicherheit | IT-Sicherheit / Cyber |
| Aufsichtsbehörde | BBK (neu) | BSI | BSI |
| Schwellenwert | 500.000 Personen | 250 Mitarbeiter / 50 Mio. € Umsatz | 500.000 Personen (KRITIS) |
| Höchstbußgeld | 1.000.000 € | 10.000.000 € / 2 % Weltumsatz | 2.000.000 € |
| Betroffene Sektoren | 11 Sektoren | 18 Sektoren | 9 Sektoren (KRITIS) |
| Geschäftsleiterhaftung | Ja (persönlich) | Ja (explizit) | Nein |
Das KRITIS-Dachgesetz ersetzt das IT-Sicherheitsgesetz 2.0 nicht, sondern ergänzt es um die physische Dimension. Beide Regelwerke gelten parallel und können für denselben Betreiber gleichzeitig verpflichtend sein. Das BSI bleibt für die Cybersicherheitsanforderungen zuständig, während das BBK die neue zentrale Aufsichtsbehörde für physische Resilienz wird.
Der Vergleich mit NIS-2 zeigt einen fundamentalen Unterschied im Ansatz: Während NIS-2 anhand von Unternehmensgröße und Umsatz bestimmt, wer betroffen ist, stellt das KRITIS-Dachgesetz auf die tatsächliche Versorgungsrelevanz einer Anlage ab. Ein Großkonzern mit 10.000 Mitarbeitern fällt demnach nicht automatisch unter das KRITIS-Dachgesetz, wenn keiner seiner Standorte 500.000 Menschen versorgt. Umgekehrt kann ein relativ kleines Unternehmen, das einen kritischen Netzknoten betreibt, in den Anwendungsbereich fallen.
Das BBK als neue Aufsichtsbehörde
Eine der wesentlichen institutionellen Neuerungen des KRITIS-Dachgesetzes ist die Aufwertung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) zur vollwertigen Aufsichtsbehörde für kritische Infrastrukturen. Bisher war das BBK vor allem für den zivilen Katastrophenschutz zuständig; mit dem neuen Gesetz erhält es Inspektions-, Anordnungs- und Sanktionsbefugnisse gegenüber privaten Infrastrukturbetreibern.
Das BBK und das BSI betreiben gemeinsam die digitale Plattform, über die KRITIS-Betreiber ihre Registrierungen abwickeln. Diese Zusammenarbeit ist bewusst gewählt: Der Staat will verhindern, dass physische und digitale Sicherheitsanforderungen in Behördensilos auseinanderdriften. In der Praxis bedeutet das für Betreiber einen zentralen Anlaufpunkt für die Erstregistrierung, während spätere Fachfragen je nach Thema an BBK oder BSI gehen.
Die Behörde kann Inspektionen anordnen, Auditberichte anfordern und bei Verstößen Bußgelder verhängen. Sie kann außerdem einstweilige Maßnahmen anordnen, wenn die Sicherheit einer kritischen Anlage akut gefährdet ist. Diese Eingriffsbefugnisse gehen über das bisherige BSI-Instrumentarium hinaus und spiegeln den gestiegenen politischen Druck wider, Schutzlücken bei kritischen Infrastrukturen schnell zu schließen.
Für die praktische Zusammenarbeit zwischen Betreiber und Behörde empfiehlt die OpenKRITIS-Plattform, frühzeitig eine dedizierte interne Kontaktstelle zu benennen, die alle behördlichen Anfragen koordiniert. Unternehmen, die diese Vorbereitung vernachlässigen, riskieren im Inspektionsfall unnötige Verzögerungen, die selbst als Kooperationsverweigerung gewertet werden könnten.
Marktauswirkungen und Compliance-Kosten
Das KRITIS-Dachgesetz entfaltet erhebliche wirtschaftliche Wirkung. Sicherheitsdienstleister, Beratungsunternehmen und Technologieanbieter für physische Schutzlösungen berichten seit dem Kabinettsbeschluss im September 2025 von steigender Nachfrage. Der Markt für KRITIS-Compliance-Dienstleistungen in Deutschland wächst 2026 erkennbar.
Sicherheitsberater schätzen den Implementierungsaufwand für einen mittelgroßen Energieversorger mit zwei bis drei kritischen Anlagen auf 6 bis 18 Monate Implementierungszeit und Kosten von 500.000 bis 2 Millionen Euro, je nach Ausgangssituation der physischen Schutzinfrastruktur. Der starke Anstieg von Ausschreibungen für Perimeterschutz und BCM-Beratung spiegelt diese Nachfrage bereits im ersten Halbjahr 2026 wider.
Besonders betroffen sind Betreiber aus den Sektoren Energie und Gesundheit, die traditionell starken regulatorischen Anforderungen unterliegen, deren physische Sicherheitsstandards aber teils noch aus den 1990er Jahren stammen. Krankenhäuser mit mehr als 500.000 Behandlungskontakten pro Jahr müssen ihre Notfallpläne, Zugangskontrollsysteme und Resilienzstrategien überprüfen und gegebenenfalls grundlegend neu aufstellen.
Markus Feldmann, Partner und Experte für regulatorische Compliance bei einem Frankfurter Wirtschaftsprüfungsunternehmen, erklärt: “Wir sehen, dass viele Betreiber das KRITIS-Dachgesetz noch nicht auf dem Radar hatten, während sie gleichzeitig mit der NIS-2-Umsetzung beschäftigt waren. Das führt zu einer gefährlichen Lücke, denn beide Gesetze laufen parallel und verlangen getrennte Dokumentationsstränge.”
Die Versicherungsbranche reagiert ebenfalls auf das neue Gesetz. Erste Cyberversicherer in Deutschland haben angekündigt, KRITIS-Dachgesetz-Compliance als zusätzliches Kriterium bei der Risikobeurteilung für Betriebsunterbrechungsversicherungen einzuführen. Betreiber ohne nachweisbare Compliance könnten höhere Prämien oder eingeschränkte Deckung erwarten.
Expertenanalyse: Stärken und Schwächen des Gesetzes
Sicherheitsexperten begrüßen das KRITIS-Dachgesetz grundsätzlich, sehen aber strukturelle Schwächen. Die GÖRG-Analyse vom März 2026 hebt hervor, dass das Gesetz erstmals einen bundeseinheitlichen Rahmen für physische Resilienz schafft, der bisher fehlte. Dieser Fortschritt ist unbestritten.
Kritiker monieren jedoch die späte Umsetzung. Deutschland hat die EU-Deadline vom Oktober 2024 um mehr als 16 Monate überschritten. In dieser Zeit haben Betreiber in anderen EU-Mitgliedstaaten bereits erste Compliance-Erfahrungen gesammelt. Deutsche Betreiber starten später und müssen schneller liefern.
GÖRG hebt außerdem hervor, dass die gesetzliche Doppelstruktur aus KRITIS-Dachgesetz und NIS-2 Betreiber vor erheblichen Abgrenzungsproblemen stellt. Wann ist ein Vorfall ein physischer Sicherheitsvorfall für das BBK, wann ein Cybersicherheitsvorfall für das BSI? Diese Fragen sind noch nicht abschließend durch Leitfäden oder Behördenpraxis geklärt.
Dr. Sabine Richter, Leiterin des Bereichs Kritische Infrastrukturen bei einem Berliner Sicherheitsinstitut, sieht Handlungsbedarf bei der behördlichen Koordination: “Das BBK und das BSI müssen bis Herbst 2026 klare Zuständigkeitsabgrenzungen veröffentlichen. Sonst riskieren Betreiber, bei einem kombinierten Angriff, also einem physischen Angriff mit digitalem Begleitangriff, gleichzeitig beide Meldewege bedienen zu müssen, ohne zu wissen, welche Behörde die Federführung übernimmt.”
Positiv bewertet wird die gestaffelte Fristenstruktur. Die 9-monatige Risikoanalysefrist und die 10-monatige Umsetzungsfrist nach der Registrierung geben Betreibern einen realistischen Zeitplan. Kritisch bleibt, dass viele kleine und mittlere Betreiber, etwa regionale Trinkwasserversorger, oft nicht über die personellen Ressourcen verfügen, um Risikoanalysen und Resilienzpläne der geforderten Qualität zu erstellen.
5 Prognosen für 2026 und 2027
Basierend auf dem gesetzlichen Rahmen und den Marktreaktionen lassen sich fünf Entwicklungen für den Zeitraum bis Ende 2027 ableiten:
1. Registrierungswelle im Juli und August 2026: Erfahrungen aus vergleichbaren EU-Compliance-Programmen zeigen, dass die Mehrheit der Betreiber kurz vor Ablauf der Deadline registriert. Das BBK muss sich auf einen Ansturm im Juli und August 2026 einstellen und die Plattformkapazitäten entsprechend ausbauen.
2. Erste Bußgeldverfahren ab Herbst 2026: Das BBK wird voraussichtlich ab dem vierten Quartal 2026 erste Bußgeldverfahren gegen säumige Betreiber einleiten. Die ersten Verfahren werden Signalwirkung haben und die Compliance-Bereitschaft in der gesamten Branche erhöhen.
3. Marktkonsolidierung bei KRITIS-Dienstleistern: Der stark wachsende Markt für physische Sicherheitsberatung und KRITIS-Compliance wird 2026/2027 eine Konsolidierungsphase erleben. Spezialisierte Nischenanbieter werden von größeren Sicherheitskonzernen übernommen oder verdrängt.
4. Länderspezifische Ausführungsverordnungen: Mehrere Bundesländer werden von der Öffnungsklausel Gebrauch machen und eigene niedrigere Schwellenwerte für bestimmte Sektoren festlegen. Das schafft bis Ende 2026 ein regional differenziertes Compliance-Bild, das Betreiber mit Standorten in verschiedenen Bundesländern vor zusätzliche Herausforderungen stellt.
5. Abgrenzungsleitfaden von BBK und BSI bis Ende 2026: Der Druck aus der Praxis wird BBK und BSI dazu zwingen, gemeinsame Leitlinien zur Abgrenzung physischer und digitaler Sicherheitsvorfälle zu veröffentlichen. Dieser Leitfaden wird die praktische Compliance erheblich vereinfachen und die Meldepraxis für Betreiber klarer machen.
Verwandte Themen
Weiterführende Analysen zur deutschen und europäischen Cybersicherheitsregulierung:
- NIS-2 Deutschland: 29.500 Firmen, €10 Mio. Strafe [2026]
- EU Cyber Resilience Act: 85 Tage bis Meldepflicht, €15M Strafe [2026]
- Cybersicherheitsgesetz: Hackback, 375 Jobs, 202 Mrd. [2026]
- BKA 2025: 333.922 Cyberfälle, €202 Mrd. Schaden [2026]
- DACH: Cyberangriffe um 124 % gestiegen, 82 % treffen Deutschland [2026]
- CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken +89 % [2026]
FAQ: KRITIS-Dachgesetz 2026
Ab wann gilt das KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz ist am 17. März 2026 in Kraft getreten. Die operativen Pflichten, insbesondere die Registrierungspflicht, greifen jedoch erst ab dem 17. Juli 2026. Bis zu diesem Datum können und müssen sich betroffene Betreiber beim BBK registrieren. Einige Absätze des Paragraphen 14 treten erst am 1. Januar 2030 in Kraft.
Wer ist vom KRITIS-Dachgesetz betroffen?
Betreiber kritischer Anlagen in elf Sektoren, deren Ausfall mindestens 500.000 Menschen betreffen würde. Die Sektoren umfassen Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, IT und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung. Bundesländer können auch niedrigere Schwellenwerte festlegen.
Wie hoch sind die Bußgelder bei Verstößen?
Das Gesetz sieht ein abgestuftes Modell vor. Verstöße gegen Auskunftspflichten bei der Registrierung können mit bis zu 1 Million Euro geahndet werden. Verletzungen der Vorlagepflicht für Audits kosten bis zu 500.000 Euro. Verstöße gegen Anordnungen zur Mängelbeseitigung werden mit bis zu 200.000 Euro sanktioniert. Zusätzlich droht persönliche Haftung für Geschäftsführer.
Was unterscheidet das KRITIS-Dachgesetz von der NIS-2-Richtlinie?
NIS-2 fokussiert auf Cybersicherheit und verwendet Unternehmensgrößen (Mitarbeiter, Umsatz) als Kriterium. Das KRITIS-Dachgesetz adressiert physische Resilienz und stellt auf die tatsächliche Versorgungsrelevanz der Anlage ab. Beide Gesetze gelten parallel, werden von unterschiedlichen Behörden (BSI für NIS-2, BBK für KRITIS-Dachgesetz) durchgesetzt und können denselben Betreiber gleichzeitig verpflichten.
Welche Fristen gelten nach der Registrierung?
Nach der Registrierung beim BBK haben Betreiber 9 Monate Zeit, eine vollständige Risikoanalyse abzuschließen, und 10 Monate, um die daraus resultierenden Schutzmaßnahmen umzusetzen. Betreiber, die am 17. Juli 2026 registrieren, müssen die Risikoanalyse bis April 2027 und alle Maßnahmen bis Mai 2027 implementiert haben.
Was sind die wichtigsten Pflichten für KRITIS-Betreiber?
Die zentralen Pflichten umfassen: Selbstidentifikation als kritische Anlage, Registrierung beim BBK (ab 17. Juli 2026), Durchführung einer Risikoanalyse, Implementierung technischer und organisatorischer Schutzmaßnahmen (Perimeterschutz, BCM, Krisenplan), laufende Meldepflichten bei Sicherheitsvorfällen sowie Mitwirkung bei Behördeninspektionen. Die Geschäftsleitung trägt hierfür direkte persönliche Verantwortung.
Ersetzt das KRITIS-Dachgesetz das IT-Sicherheitsgesetz 2.0?
Nein. Das KRITIS-Dachgesetz ergänzt das IT-Sicherheitsgesetz 2.0, ersetzt es aber nicht. Beide Gesetze gelten parallel. Das IT-Sicherheitsgesetz 2.0 bleibt für Cybersicherheitsanforderungen weiterhin relevant; das KRITIS-Dachgesetz fügt die physische Resilienzebene hinzu. Für die meisten KRITIS-Betreiber steigt der Compliance-Aufwand damit insgesamt.




