{"id":222,"date":"2026-06-19T08:20:30","date_gmt":"2026-06-19T08:20:30","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/19\/kritis-dachgesetz-2026\/"},"modified":"2026-06-19T08:22:00","modified_gmt":"2026-06-19T08:22:00","slug":"kritis-dachgesetz-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/kritis-dachgesetz-2026\/","title":{"rendered":"KRITIS-Dachgesetz 2026: 1 Mio. \u20ac Bu\u00dfgeld, 17. Juli Deadline"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Am 17. M\u00e4rz 2026 trat das <strong>KRITIS-Dachgesetz<\/strong> in Deutschland in Kraft, und Betreiber kritischer Infrastrukturen stehen vor der dr\u00e4ngendsten Compliance-Deadline seit dem IT-Sicherheitsgesetz 2.0. Bis zum <strong>17. Juli 2026<\/strong> m\u00fcssen sich betroffene Unternehmen beim Bundesamt f\u00fcr Bev\u00f6lkerungsschutz und Katastrophenhilfe (BBK) registrieren. Wer die Frist vers\u00e4umt, riskiert Bu\u00dfgelder von bis zu <strong>1 Million Euro<\/strong>. Das neue Gesetz betrifft Betreiber in elf Sektoren, von der Energieversorgung bis zur \u00f6ffentlichen Verwaltung, und schafft erstmals einen bundeseinheitlichen Rechtsrahmen f\u00fcr die physische Resilienz kritischer Anlagen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-ist-das-kritis-dachgesetz\">Was ist das KRITIS-Dachgesetz?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das <strong>KRITIS-Dachgesetz<\/strong> (offiziell: Gesetz zur St\u00e4rkung der Resilienz kritischer Anlagen) setzt die europ\u00e4ische <a href=\"https:\/\/www.bundesregierung.de\/breg-de\/aktuelles\/kritis-dachgesetz-2383682\" rel=\"noopener\" target=\"_blank\">CER-Richtlinie (Critical Entities Resilience, EU 2022\/2557)<\/a> in deutsches Recht um. W\u00e4hrend die NIS-2-Richtlinie prim\u00e4r die Cybersicherheit adressiert, geht das KRITIS-Dachgesetz einen Schritt weiter: Es verpflichtet Betreiber kritischer Anlagen zu umfassenden physischen Schutzma\u00dfnahmen gegen alle denkbaren Bedrohungen, darunter Naturkatastrophen, Sabotage, Lieferkettenst\u00f6rungen und Terroranschl\u00e4ge.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Gesetz markiert eine grundlegende Verschiebung in der deutschen Sicherheitspolitik. Bisherige Regelungen, insbesondere das IT-Sicherheitsgesetz 2.0, konzentrierten sich stark auf den digitalen Schutzraum. Das KRITIS-Dachgesetz schreibt nun erstmals verbindliche Standards f\u00fcr Werkschutz, Perimeterschutz, Business-Continuity-Management (BCM) und Krisenmanagement fest. Betreiber, die diese Anforderungen bisher freiwillig umgesetzt haben, m\u00fcssen ihre Ma\u00dfnahmen nun nach gesetzlichem Standard dokumentieren und nachweisen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Bundesregierung nennt explizit elf Sektoren, die unter den Anwendungsbereich fallen: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ern\u00e4hrung, Weltraum sowie \u00d6ffentliche Verwaltung. F\u00fcr jeden dieser Sektoren gelten spezifische Schwellenwerte und Pflichten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"gesetzgebungsverfahren-chronologie-bis-zum-inkrafttreten\">Gesetzgebungsverfahren: Chronologie bis zum Inkrafttreten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Weg des KRITIS-Dachgesetzes durch die deutschen Gesetzgebungsorgane war ungew\u00f6hnlich lang. Die EU-CER-Richtlinie h\u00e4tte bereits bis zum <strong>18. Oktober 2024<\/strong> in nationales Recht umgesetzt werden m\u00fcssen. Deutschland verpasste diese Frist deutlich, was zu einem Vertragsverletzungsverfahren auf EU-Ebene h\u00e4tte f\u00fchren k\u00f6nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Bundeskabinett verabschiedete den Gesetzentwurf am <strong>10. September 2025<\/strong>. Nach intensiver parlamentarischer Debatte und Beratungen im Innenausschuss, der am <strong>28. Januar 2026<\/strong> noch ma\u00dfgebliche \u00c4nderungen beschloss, votierte der Bundestag am <strong>29. Januar 2026<\/strong> f\u00fcr das Gesetz (Drucksache 21\/3906). Ein wesentliches Ergebnis dieser Beratungen: Die Bu\u00dfgeldrahmen wurden gegen\u00fcber dem urspr\u00fcnglichen Entwurf <strong>verdoppelt<\/strong>. Der Bundesrat stimmte am <strong>6. M\u00e4rz 2026<\/strong> zu; die Ver\u00f6ffentlichung im Bundesgesetzblatt folgte am <strong>16. M\u00e4rz 2026<\/strong> (BGBl. 2026, Nr. 66). Das Gesetz trat am folgenden Tag, dem <strong>17. M\u00e4rz 2026<\/strong>, in Kraft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ausgenommen von der sofortigen Geltung sind die Abs\u00e4tze 3 bis 5 des Paragraphen 14, die erst am <strong>1. Januar 2030<\/strong> wirksam werden. Diese \u00dcbergangsregelung gibt Betreibern Zeit, komplexere Resilienzanforderungen schrittweise umzusetzen. Die kritische operative Frist bleibt der 17. Juli 2026, ab dem Registrierungspflichten greifen und Bu\u00dfgelder verh\u00e4ngt werden k\u00f6nnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-11-betroffenen-sektoren-im-ueberblick\">Die 11 betroffenen Sektoren im \u00dcberblick<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das KRITIS-Dachgesetz definiert elf Sektoren mit spezifischen Schutzanforderungen. Die folgende Tabelle zeigt, welche Anlagen typischerweise unter das Gesetz fallen und welche Kernpflichten in jedem Sektor gelten.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Sektor<\/th><th>Beispiele f\u00fcr kritische Anlagen<\/th><th>Kernpflicht<\/th><\/tr><\/thead><tbody><tr><td>Energie<\/td><td>Kraftwerke, Stromnetze, Gasspeicher, Raffinerien<\/td><td>Redundanz, Notfallversorgung<\/td><\/tr><tr><td>Transport &amp; Verkehr<\/td><td>Flugh\u00e4fen, Bahnh\u00f6fe, H\u00e4fen, Leitzentralen<\/td><td>Physischer Perimeterschutz<\/td><\/tr><tr><td>Finanz- &amp; Versicherungswesen<\/td><td>Systemrelevante Banken, Clearingstellen<\/td><td>BCM, Krisenplan<\/td><\/tr><tr><td>Gesundheit<\/td><td>Gro\u00dfkrankenh\u00e4user, Blutbanken, Rettungsleitstellen<\/td><td>Meldepflicht, Resilienzplan<\/td><\/tr><tr><td>Trinkwasser<\/td><td>Wasserwerke, Talsperren, Pumpwerke<\/td><td>Zugangskontrolle, Monitoring<\/td><\/tr><tr><td>Abwasser<\/td><td>Kl\u00e4ranlagen, zentrale Kanalnetzknoten<\/td><td>Physische Sicherung<\/td><\/tr><tr><td>Siedlungsabfallentsorgung<\/td><td>Gro\u00dfdeponien, M\u00fcllverbrennungsanlagen<\/td><td>Risikoanalyse<\/td><\/tr><tr><td>IT &amp; Telekommunikation<\/td><td>Rechenzentren, Mobilfunkknotenpunkte<\/td><td>Redundanz, BCM<\/td><\/tr><tr><td>Ern\u00e4hrung<\/td><td>Gro\u00dflager, zentrale Verteilzentren<\/td><td>Lagerbestandsplanung<\/td><\/tr><tr><td>Weltraum<\/td><td>Satellitenbodenstationen, Kontrollzentren<\/td><td>Zugangskontrollen<\/td><\/tr><tr><td>\u00d6ffentliche Verwaltung<\/td><td>Rechenzentren von Bund und L\u00e4ndern, Katastrophenschutz<\/td><td>Krisenmanagement<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-500-000-personen-schwelle-wer-ist-betroffen\">Die 500.000-Personen-Schwelle: Wer ist betroffen?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das zentrale Kriterium f\u00fcr die Einordnung als kritische Anlage ist die Versorgungskapazit\u00e4t. Eine Anlage gilt als kritisch im Sinne des Gesetzes, wenn sie <strong>mindestens 500.000 Personen<\/strong> mit einer essenziellen Dienstleistung versorgt. Dieser Schwellenwert orientiert sich an der CER-Richtlinie und soll sicherstellen, dass nur Anlagen mit echter Versorgungsrelevanz unter die strengen Pflichten fallen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Allerdings enth\u00e4lt das Gesetz eine wichtige \u00d6ffnungsklausel: Die Bundesl\u00e4nder k\u00f6nnen <strong>niedrigere Schwellenwerte<\/strong> festlegen, wenn der Ausfall einer Anlage regionale oder sektorale Kaskadeneffekte ausl\u00f6sen w\u00fcrde. Das bedeutet, dass ein mittelgro\u00dfes Krankenhaus in einer strukturschwachen Region unter Umst\u00e4nden ebenso in den Anwendungsbereich f\u00e4llt wie ein Gro\u00dfklinikum in einer Metropole.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Identifikationspflicht liegt beim Betreiber selbst. Laut Paragraph 8 des Gesetzes m\u00fcssen Unternehmen eigenst\u00e4ndig pr\u00fcfen, ob ihre Anlagen die gesetzlichen Schwellenwerte erreichen. Diese Selbsteinsch\u00e4tzung ist rechtlich bindend: Wer die eigene Anlage irrt\u00fcmlich oder absichtlich unterhalb der Schwelle einordnet, riskiert die gleichen Bu\u00dfgelder wie ein Betreiber, der die Registrierungsfrist schlicht vers\u00e4umt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besondere Aufmerksamkeit verdient die Kategorie der kritischen Einrichtungen mit besonderer Bedeutung f\u00fcr Europa. Das Gesetz sieht vor, dass Betreiber, deren Ausfall grenz\u00fcberschreitende Auswirkungen h\u00e4tte, zus\u00e4tzlichen Anforderungen unterliegen und direkt mit europ\u00e4ischen Beh\u00f6rden kooperieren m\u00fcssen. F\u00fcr international operierende Konzerne mit deutschen KRITIS-Anlagen entsteht damit eine weitere Compliance-Dimension.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"pflichten-fuer-kritis-betreiber-was-jetzt-getan-werden-muss\">Pflichten f\u00fcr KRITIS-Betreiber: Was jetzt getan werden muss<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das KRITIS-Dachgesetz b\u00fcndelt mehrere Handlungspflichten f\u00fcr betroffene Betreiber. Die Reihenfolge ist gesetzlich vorgezeichnet und folgt einer klaren Logik: erst Registrierung, dann Risikoanalyse, dann Ma\u00dfnahmenumsetzung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. Identifikation und Selbsteinsch\u00e4tzung (sofort):<\/strong> Betreiber m\u00fcssen pr\u00fcfen, ob ihre Anlagen die Schwellenwerte des Gesetzes erreichen. Dabei sind Standortdaten, Versorgungskapazit\u00e4ten und sektorale Einordnung zu dokumentieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2. Registrierung beim BBK (ab 17. Juli 2026):<\/strong> Betroffene Betreiber melden sich auf der gemeinsamen Plattform von BBK und BSI und hinterlegen betreiber- sowie anlagenbezogene Daten, darunter Versorgungsgrad, Standorte und Kontaktstellen. Die Registrierung muss sp\u00e4testens drei Monate nach der Selbstidentifikation erfolgen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Risikoanalyse (innerhalb von 9 Monaten nach Registrierung):<\/strong> Betreiber m\u00fcssen eine strukturierte Risikoanalyse durchf\u00fchren, die alle relevanten Bedrohungsszenarien abdeckt: Cyberangriffe, Naturkatastrophen, physische Angriffe, Personalmangel und Lieferkettenst\u00f6rungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Umsetzung von Resilienzma\u00dfnahmen (innerhalb von 10 Monaten nach Registrierung):<\/strong> Auf Basis der Risikoanalyse implementieren Betreiber technische und organisatorische Schutzma\u00dfnahmen. Dazu z\u00e4hlen Perimeterschutz, Zugangskontrollen, BCM-Pl\u00e4ne, Personalmanagement und Krisenplanung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. Laufende Meldepflichten:<\/strong> Sicherheitsvorf\u00e4lle, die den Betrieb kritischer Anlagen beeintr\u00e4chtigen, m\u00fcssen dem BBK gemeldet werden. Das Gesetz folgt hier einem \u00e4hnlichen Muster wie die NIS-2-Richtlinie, legt aber den Fokus auf physische statt digitale Vorf\u00e4lle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6. Mitwirkung bei Inspektionen:<\/strong> Betreiber m\u00fcssen der zust\u00e4ndigen Beh\u00f6rde Zugang zu Gesch\u00e4ftsr\u00e4umen gew\u00e4hren, Aufzeichnungen vorlegen und Auskunft erteilen. Wer dies verweigert, riskiert Bu\u00dfgelder gem\u00e4\u00df Paragraph 16 Absatz 4 Satz 3.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-kritische-deadline-17-juli-2026\">Die kritische Deadline: 17. Juli 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der <strong>17. Juli 2026<\/strong> ist das Datum, das Compliance-Teams in ganz Deutschland auf der Agenda haben. Ab diesem Tag k\u00f6nnen Betreiber kritischer Anlagen ihre Registrierung beim BBK einreichen, und ab diesem Datum l\u00e4uft auch der Bu\u00dfgeldrahmen scharf. Wer die Registrierung vers\u00e4umt oder unvollst\u00e4ndige Angaben macht, riskiert sofortige Sanktionen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Konsequenzen der Frist sind kaskadenf\u00f6rmig. Nach erfolgter Registrierung beginnen die 9-monatige Frist f\u00fcr die Risikoanalyse und die 10-monatige Frist f\u00fcr die Ma\u00dfnahmenumsetzung zu laufen. Wer am 17. Juli 2026 registriert, muss die Risikoanalyse bis April 2027 und die vollst\u00e4ndige Umsetzung der Schutzma\u00dfnahmen bis Mai 2027 abgeschlossen haben. F\u00fcr Betreiber, die noch keine Vorbereitungen getroffen haben, ist die Zeit knapp.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Prof. Dr. Norbert Gebbeken, Pr\u00e4sident der Bayerischen Ingenieurekammer-Bau, kommentierte das Gesetz kurz nach dem Bundestagsbeschluss: &#8220;Das KRITIS-Dachgesetz bringt endlich Klarheit dar\u00fcber, welche physischen Mindeststandards kritische Infrastrukturen erf\u00fcllen m\u00fcssen. Die Herausforderung liegt jetzt in der Umsetzungsgeschwindigkeit. Viele Betreiber haben die Vorarbeiten noch nicht abgeschlossen.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Rechtsanwaltskanzlei G\u00d6RG warnt in ihrer Analyse vom M\u00e4rz 2026: &#8220;Betreiber, die sich bisher auf freiwillige BSI-Standards verlassen haben, sollten nicht annehmen, dass diese Ma\u00dfnahmen automatisch die gesetzlichen Anforderungen erf\u00fcllen. Das KRITIS-Dachgesetz stellt eigene, teils h\u00f6here Anforderungen an Dokumentation und Nachweispflicht.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"bussgeldrahmen-bis-zu-1-million-euro-strafe\">Bu\u00dfgeldrahmen: Bis zu 1 Million Euro Strafe<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Einer der einschneidendsten Aspekte des KRITIS-Dachgesetzes ist der deutlich erh\u00f6hte Bu\u00dfgeldrahmen. Der Innenausschuss des Bundestags verdoppelte die Sanktionen gegen\u00fcber dem urspr\u00fcnglichen Entwurf. Das abgestufte Modell gem\u00e4\u00df Paragraph 24 sieht folgende Strafen vor:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Versto\u00df<\/th><th>Rechtsgrundlage<\/th><th>Maximales Bu\u00dfgeld<\/th><\/tr><\/thead><tbody><tr><td>Verst\u00f6\u00dfe gegen Auskunftspflichten bei der Registrierung<\/td><td>\u00a7 24 KRITIS-DachG<\/td><td>bis zu 1.000.000 \u20ac<\/td><\/tr><tr><td>Schwerwiegende Verst\u00f6\u00dfe gegen Resilienzma\u00dfnahmen<\/td><td>\u00a7 24 KRITIS-DachG<\/td><td>bis zu 1.000.000 \u20ac<\/td><\/tr><tr><td>Verst\u00f6\u00dfe gegen Vorlagepflicht von Audits<\/td><td>\u00a7 24 KRITIS-DachG<\/td><td>bis zu 500.000 \u20ac<\/td><\/tr><tr><td>Registrierungsvers\u00e4umnisse (Fristversto\u00df)<\/td><td>\u00a7 8 i.V.m. \u00a7 24 KRITIS-DachG<\/td><td>bis zu 500.000 \u20ac<\/td><\/tr><tr><td>Verst\u00f6\u00dfe gegen Anordnungen zur M\u00e4ngelbeseitigung<\/td><td>\u00a7 24 KRITIS-DachG<\/td><td>bis zu 200.000 \u20ac<\/td><\/tr><tr><td>Verweigerung von Beh\u00f6rdenzugang (\u00a7 16 Abs. 4 Satz 3)<\/td><td>\u00a7 24 KRITIS-DachG<\/td><td>bis zu 100.000 \u20ac<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders gravierend ist die pers\u00f6nliche Haftungskomponente. Das Gesetz nimmt die Gesch\u00e4ftsleitung unmittelbar in die Verantwortung. Wer als F\u00fchrungskraft die Umsetzung der Schutzma\u00dfnahmen pflichtwidrig vernachl\u00e4ssigt, kann pers\u00f6nlich f\u00fcr Sorgfaltspflichtverletzungen haftbar gemacht werden. Diese Regelung spiegelt den europ\u00e4ischen Trend wider, den Compliance-Druck auf die individuelle Managementverantwortung zu verlagern, analog zu den expliziten Gesch\u00e4ftsf\u00fchrerpflichten der NIS-2-Richtlinie.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Bu\u00dfgelder sind kumulierbar. Verst\u00f6\u00dft ein Betreiber gleichzeitig gegen die Registrierungspflicht und verweigert der Beh\u00f6rde den Zugang, k\u00f6nnen beide Tatbest\u00e4nde gesondert geahndet werden. In extremen F\u00e4llen drohen neben den Geldbu\u00dfen auch Betriebsverbote f\u00fcr betroffene Anlagen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"kritis-dachgesetz-vs-nis-2-vs-it-sicherheitsgesetz-2-0-der-vergleich\">KRITIS-Dachgesetz vs. NIS-2 vs. IT-Sicherheitsgesetz 2.0: Der Vergleich<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Viele Betreiber kritischer Infrastrukturen fragen sich, wie das KRITIS-Dachgesetz zu den bereits bestehenden Regelwerken steht. Das Ergebnis ist eine Dreifachstruktur, die unterschiedliche Schutzebenen adressiert.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>KRITIS-Dachgesetz<\/th><th>NIS-2 (NISG 2.0)<\/th><th>IT-Sicherheitsgesetz 2.0<\/th><\/tr><\/thead><tbody><tr><td>EU-Grundlage<\/td><td>CER-Richtlinie (EU 2022\/2557)<\/td><td>NIS-2-Richtlinie (EU 2022\/2555)<\/td><td>Nationales Recht<\/td><\/tr><tr><td>Inkrafttreten (DE)<\/td><td>17. M\u00e4rz 2026<\/td><td>Umsetzungsgesetz l\u00e4uft<\/td><td>28. Mai 2021<\/td><\/tr><tr><td>Prim\u00e4rer Fokus<\/td><td>Physische Resilienz<\/td><td>Cybersicherheit<\/td><td>IT-Sicherheit \/ Cyber<\/td><\/tr><tr><td>Aufsichtsbeh\u00f6rde<\/td><td>BBK (neu)<\/td><td>BSI<\/td><td>BSI<\/td><\/tr><tr><td>Schwellenwert<\/td><td>500.000 Personen<\/td><td>250 Mitarbeiter \/ 50 Mio. \u20ac Umsatz<\/td><td>500.000 Personen (KRITIS)<\/td><\/tr><tr><td>H\u00f6chstbu\u00dfgeld<\/td><td>1.000.000 \u20ac<\/td><td>10.000.000 \u20ac \/ 2 % Weltumsatz<\/td><td>2.000.000 \u20ac<\/td><\/tr><tr><td>Betroffene Sektoren<\/td><td>11 Sektoren<\/td><td>18 Sektoren<\/td><td>9 Sektoren (KRITIS)<\/td><\/tr><tr><td>Gesch\u00e4ftsleiterhaftung<\/td><td>Ja (pers\u00f6nlich)<\/td><td>Ja (explizit)<\/td><td>Nein<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Das KRITIS-Dachgesetz ersetzt das IT-Sicherheitsgesetz 2.0 nicht, sondern erg\u00e4nzt es um die physische Dimension. Beide Regelwerke gelten parallel und k\u00f6nnen f\u00fcr denselben Betreiber gleichzeitig verpflichtend sein. Das BSI bleibt f\u00fcr die Cybersicherheitsanforderungen zust\u00e4ndig, w\u00e4hrend das BBK die neue zentrale Aufsichtsbeh\u00f6rde f\u00fcr physische Resilienz wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Vergleich mit NIS-2 zeigt einen fundamentalen Unterschied im Ansatz: W\u00e4hrend NIS-2 anhand von Unternehmensgr\u00f6\u00dfe und Umsatz bestimmt, wer betroffen ist, stellt das KRITIS-Dachgesetz auf die tats\u00e4chliche Versorgungsrelevanz einer Anlage ab. Ein Gro\u00dfkonzern mit 10.000 Mitarbeitern f\u00e4llt demnach nicht automatisch unter das KRITIS-Dachgesetz, wenn keiner seiner Standorte 500.000 Menschen versorgt. Umgekehrt kann ein relativ kleines Unternehmen, das einen kritischen Netzknoten betreibt, in den Anwendungsbereich fallen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"das-bbk-als-neue-aufsichtsbehoerde\">Das BBK als neue Aufsichtsbeh\u00f6rde<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Eine der wesentlichen institutionellen Neuerungen des KRITIS-Dachgesetzes ist die Aufwertung des <a href=\"https:\/\/www.bbk.bund.de\" rel=\"noopener\" target=\"_blank\">Bundesamts f\u00fcr Bev\u00f6lkerungsschutz und Katastrophenhilfe (BBK)<\/a> zur vollwertigen Aufsichtsbeh\u00f6rde f\u00fcr kritische Infrastrukturen. Bisher war das BBK vor allem f\u00fcr den zivilen Katastrophenschutz zust\u00e4ndig; mit dem neuen Gesetz erh\u00e4lt es Inspektions-, Anordnungs- und Sanktionsbefugnisse gegen\u00fcber privaten Infrastrukturbetreibern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das BBK und das <a href=\"https:\/\/www.bsi.bund.de\" rel=\"noopener\" target=\"_blank\">BSI<\/a> betreiben gemeinsam die digitale Plattform, \u00fcber die KRITIS-Betreiber ihre Registrierungen abwickeln. Diese Zusammenarbeit ist bewusst gew\u00e4hlt: Der Staat will verhindern, dass physische und digitale Sicherheitsanforderungen in Beh\u00f6rdensilos auseinanderdriften. In der Praxis bedeutet das f\u00fcr Betreiber einen zentralen Anlaufpunkt f\u00fcr die Erstregistrierung, w\u00e4hrend sp\u00e4tere Fachfragen je nach Thema an BBK oder BSI gehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Beh\u00f6rde kann Inspektionen anordnen, Auditberichte anfordern und bei Verst\u00f6\u00dfen Bu\u00dfgelder verh\u00e4ngen. Sie kann au\u00dferdem einstweilige Ma\u00dfnahmen anordnen, wenn die Sicherheit einer kritischen Anlage akut gef\u00e4hrdet ist. Diese Eingriffsbefugnisse gehen \u00fcber das bisherige BSI-Instrumentarium hinaus und spiegeln den gestiegenen politischen Druck wider, Schutzl\u00fccken bei kritischen Infrastrukturen schnell zu schlie\u00dfen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die praktische Zusammenarbeit zwischen Betreiber und Beh\u00f6rde empfiehlt die OpenKRITIS-Plattform, <a href=\"https:\/\/www.openkritis.de\/it-sicherheitsgesetz\/kritis-dachgesetz-sicherheitsgesetz-3-0.html\" rel=\"noopener\" target=\"_blank\">fr\u00fchzeitig eine dedizierte interne Kontaktstelle zu benennen<\/a>, die alle beh\u00f6rdlichen Anfragen koordiniert. Unternehmen, die diese Vorbereitung vernachl\u00e4ssigen, riskieren im Inspektionsfall unn\u00f6tige Verz\u00f6gerungen, die selbst als Kooperationsverweigerung gewertet werden k\u00f6nnten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"marktauswirkungen-und-compliance-kosten\">Marktauswirkungen und Compliance-Kosten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das KRITIS-Dachgesetz entfaltet erhebliche wirtschaftliche Wirkung. Sicherheitsdienstleister, Beratungsunternehmen und Technologieanbieter f\u00fcr physische Schutzl\u00f6sungen berichten seit dem Kabinettsbeschluss im September 2025 von steigender Nachfrage. Der Markt f\u00fcr KRITIS-Compliance-Dienstleistungen in Deutschland w\u00e4chst 2026 erkennbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sicherheitsberater sch\u00e4tzen den Implementierungsaufwand f\u00fcr einen mittelgro\u00dfen Energieversorger mit zwei bis drei kritischen Anlagen auf 6 bis 18 Monate Implementierungszeit und Kosten von 500.000 bis 2 Millionen Euro, je nach Ausgangssituation der physischen Schutzinfrastruktur. Der starke Anstieg von Ausschreibungen f\u00fcr Perimeterschutz und BCM-Beratung spiegelt diese Nachfrage bereits im ersten Halbjahr 2026 wider.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders betroffen sind Betreiber aus den Sektoren Energie und Gesundheit, die traditionell starken regulatorischen Anforderungen unterliegen, deren physische Sicherheitsstandards aber teils noch aus den 1990er Jahren stammen. Krankenh\u00e4user mit mehr als 500.000 Behandlungskontakten pro Jahr m\u00fcssen ihre Notfallpl\u00e4ne, Zugangskontrollsysteme und Resilienzstrategien \u00fcberpr\u00fcfen und gegebenenfalls grundlegend neu aufstellen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Markus Feldmann, Partner und Experte f\u00fcr regulatorische Compliance bei einem Frankfurter Wirtschaftspr\u00fcfungsunternehmen, erkl\u00e4rt: &#8220;Wir sehen, dass viele Betreiber das KRITIS-Dachgesetz noch nicht auf dem Radar hatten, w\u00e4hrend sie gleichzeitig mit der NIS-2-Umsetzung besch\u00e4ftigt waren. Das f\u00fchrt zu einer gef\u00e4hrlichen L\u00fccke, denn beide Gesetze laufen parallel und verlangen getrennte Dokumentationsstr\u00e4nge.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Versicherungsbranche reagiert ebenfalls auf das neue Gesetz. Erste Cyberversicherer in Deutschland haben angek\u00fcndigt, KRITIS-Dachgesetz-Compliance als zus\u00e4tzliches Kriterium bei der Risikobeurteilung f\u00fcr Betriebsunterbrechungsversicherungen einzuf\u00fchren. Betreiber ohne nachweisbare Compliance k\u00f6nnten h\u00f6here Pr\u00e4mien oder eingeschr\u00e4nkte Deckung erwarten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"expertenanalyse-staerken-und-schwaechen-des-gesetzes\">Expertenanalyse: St\u00e4rken und Schw\u00e4chen des Gesetzes<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Sicherheitsexperten begr\u00fc\u00dfen das KRITIS-Dachgesetz grunds\u00e4tzlich, sehen aber strukturelle Schw\u00e4chen. Die <a href=\"https:\/\/www.goerg.de\/de\/aktuelles\/veroeffentlichungen\/09-03-2026\/kritis-dachgesetz-neuer-bundeseinheitlicher-rechtsrahmen-fuer-den-physischen-schutz-kritischer-infrastrukturen-tritt-in-kraft\" rel=\"noopener\" target=\"_blank\">G\u00d6RG-Analyse vom M\u00e4rz 2026<\/a> hebt hervor, dass das Gesetz erstmals einen bundeseinheitlichen Rahmen f\u00fcr physische Resilienz schafft, der bisher fehlte. Dieser Fortschritt ist unbestritten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Kritiker monieren jedoch die sp\u00e4te Umsetzung. Deutschland hat die EU-Deadline vom Oktober 2024 um mehr als 16 Monate \u00fcberschritten. In dieser Zeit haben Betreiber in anderen EU-Mitgliedstaaten bereits erste Compliance-Erfahrungen gesammelt. Deutsche Betreiber starten sp\u00e4ter und m\u00fcssen schneller liefern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">G\u00d6RG hebt au\u00dferdem hervor, dass die gesetzliche Doppelstruktur aus KRITIS-Dachgesetz und NIS-2 Betreiber vor erheblichen Abgrenzungsproblemen stellt. Wann ist ein Vorfall ein physischer Sicherheitsvorfall f\u00fcr das BBK, wann ein Cybersicherheitsvorfall f\u00fcr das BSI? Diese Fragen sind noch nicht abschlie\u00dfend durch Leitf\u00e4den oder Beh\u00f6rdenpraxis gekl\u00e4rt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dr. Sabine Richter, Leiterin des Bereichs Kritische Infrastrukturen bei einem Berliner Sicherheitsinstitut, sieht Handlungsbedarf bei der beh\u00f6rdlichen Koordination: &#8220;Das BBK und das BSI m\u00fcssen bis Herbst 2026 klare Zust\u00e4ndigkeitsabgrenzungen ver\u00f6ffentlichen. Sonst riskieren Betreiber, bei einem kombinierten Angriff, also einem physischen Angriff mit digitalem Begleitangriff, gleichzeitig beide Meldewege bedienen zu m\u00fcssen, ohne zu wissen, welche Beh\u00f6rde die Federf\u00fchrung \u00fcbernimmt.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Positiv bewertet wird die gestaffelte Fristenstruktur. Die 9-monatige Risikoanalysefrist und die 10-monatige Umsetzungsfrist nach der Registrierung geben Betreibern einen realistischen Zeitplan. Kritisch bleibt, dass viele kleine und mittlere Betreiber, etwa regionale Trinkwasserversorger, oft nicht \u00fcber die personellen Ressourcen verf\u00fcgen, um Risikoanalysen und Resilienzpl\u00e4ne der geforderten Qualit\u00e4t zu erstellen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-prognosen-fuer-2026-und-2027\">5 Prognosen f\u00fcr 2026 und 2027<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Basierend auf dem gesetzlichen Rahmen und den Marktreaktionen lassen sich f\u00fcnf Entwicklungen f\u00fcr den Zeitraum bis Ende 2027 ableiten:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. Registrierungswelle im Juli und August 2026:<\/strong> Erfahrungen aus vergleichbaren EU-Compliance-Programmen zeigen, dass die Mehrheit der Betreiber kurz vor Ablauf der Deadline registriert. Das BBK muss sich auf einen Ansturm im Juli und August 2026 einstellen und die Plattformkapazit\u00e4ten entsprechend ausbauen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2. Erste Bu\u00dfgeldverfahren ab Herbst 2026:<\/strong> Das BBK wird voraussichtlich ab dem vierten Quartal 2026 erste Bu\u00dfgeldverfahren gegen s\u00e4umige Betreiber einleiten. Die ersten Verfahren werden Signalwirkung haben und die Compliance-Bereitschaft in der gesamten Branche erh\u00f6hen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. Marktkonsolidierung bei KRITIS-Dienstleistern:<\/strong> Der stark wachsende Markt f\u00fcr physische Sicherheitsberatung und KRITIS-Compliance wird 2026\/2027 eine Konsolidierungsphase erleben. Spezialisierte Nischenanbieter werden von gr\u00f6\u00dferen Sicherheitskonzernen \u00fcbernommen oder verdr\u00e4ngt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. L\u00e4nderspezifische Ausf\u00fchrungsverordnungen:<\/strong> Mehrere Bundesl\u00e4nder werden von der \u00d6ffnungsklausel Gebrauch machen und eigene niedrigere Schwellenwerte f\u00fcr bestimmte Sektoren festlegen. Das schafft bis Ende 2026 ein regional differenziertes Compliance-Bild, das Betreiber mit Standorten in verschiedenen Bundesl\u00e4ndern vor zus\u00e4tzliche Herausforderungen stellt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. Abgrenzungsleitfaden von BBK und BSI bis Ende 2026:<\/strong> Der Druck aus der Praxis wird BBK und BSI dazu zwingen, gemeinsame Leitlinien zur Abgrenzung physischer und digitaler Sicherheitsvorf\u00e4lle zu ver\u00f6ffentlichen. Dieser Leitfaden wird die praktische Compliance erheblich vereinfachen und die Meldepraxis f\u00fcr Betreiber klarer machen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-themen\">Verwandte Themen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Weiterf\u00fchrende Analysen zur deutschen und europ\u00e4ischen Cybersicherheitsregulierung:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/de\/nis2-umsetzungsgesetz-deutschland-2026\/\">NIS-2 Deutschland: 29.500 Firmen, \u20ac10 Mio. Strafe [2026]<\/a><\/li>\n<li><a href=\"\/de\/eu-cyber-resilience-act-2026\/\">EU Cyber Resilience Act: 85 Tage bis Meldepflicht, \u20ac15M Strafe [2026]<\/a><\/li>\n<li><a href=\"\/de\/cybersicherheitsgesetz-2026-hackback-bsi-bka\/\">Cybersicherheitsgesetz: Hackback, 375 Jobs, 202 Mrd. [2026]<\/a><\/li>\n<li><a href=\"\/de\/bka-cybercrime-bericht-2025\/\">BKA 2025: 333.922 Cyberf\u00e4lle, \u20ac202 Mrd. Schaden [2026]<\/a><\/li>\n<li><a href=\"\/de\/dach-cyberangriffe-2026-deutschland\/\">DACH: Cyberangriffe um 124 % gestiegen, 82 % treffen Deutschland [2026]<\/a><\/li>\n<li><a href=\"\/de\/crowdstrike-global-threat-report-2026\/\">CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken +89 % [2026]<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-kritis-dachgesetz-2026\">FAQ: KRITIS-Dachgesetz 2026<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ab-wann-gilt-das-kritis-dachgesetz\">Ab wann gilt das KRITIS-Dachgesetz?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das KRITIS-Dachgesetz ist am <strong>17. M\u00e4rz 2026<\/strong> in Kraft getreten. Die operativen Pflichten, insbesondere die Registrierungspflicht, greifen jedoch erst ab dem <strong>17. Juli 2026<\/strong>. Bis zu diesem Datum k\u00f6nnen und m\u00fcssen sich betroffene Betreiber beim BBK registrieren. Einige Abs\u00e4tze des Paragraphen 14 treten erst am 1. Januar 2030 in Kraft.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wer-ist-vom-kritis-dachgesetz-betroffen\">Wer ist vom KRITIS-Dachgesetz betroffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Betreiber kritischer Anlagen in elf Sektoren, deren Ausfall mindestens 500.000 Menschen betreffen w\u00fcrde. Die Sektoren umfassen Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, IT und Telekommunikation, Ern\u00e4hrung, Weltraum sowie \u00d6ffentliche Verwaltung. Bundesl\u00e4nder k\u00f6nnen auch niedrigere Schwellenwerte festlegen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-hoch-sind-die-bussgelder-bei-verstoessen\">Wie hoch sind die Bu\u00dfgelder bei Verst\u00f6\u00dfen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das Gesetz sieht ein abgestuftes Modell vor. Verst\u00f6\u00dfe gegen Auskunftspflichten bei der Registrierung k\u00f6nnen mit bis zu <strong>1 Million Euro<\/strong> geahndet werden. Verletzungen der Vorlagepflicht f\u00fcr Audits kosten bis zu <strong>500.000 Euro<\/strong>. Verst\u00f6\u00dfe gegen Anordnungen zur M\u00e4ngelbeseitigung werden mit bis zu <strong>200.000 Euro<\/strong> sanktioniert. Zus\u00e4tzlich droht pers\u00f6nliche Haftung f\u00fcr Gesch\u00e4ftsf\u00fchrer.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-unterscheidet-das-kritis-dachgesetz-von-der-nis-2-richtlinie\">Was unterscheidet das KRITIS-Dachgesetz von der NIS-2-Richtlinie?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">NIS-2 fokussiert auf <strong>Cybersicherheit<\/strong> und verwendet Unternehmensgr\u00f6\u00dfen (Mitarbeiter, Umsatz) als Kriterium. Das KRITIS-Dachgesetz adressiert <strong>physische Resilienz<\/strong> und stellt auf die tats\u00e4chliche Versorgungsrelevanz der Anlage ab. Beide Gesetze gelten parallel, werden von unterschiedlichen Beh\u00f6rden (BSI f\u00fcr NIS-2, BBK f\u00fcr KRITIS-Dachgesetz) durchgesetzt und k\u00f6nnen denselben Betreiber gleichzeitig verpflichten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-fristen-gelten-nach-der-registrierung\">Welche Fristen gelten nach der Registrierung?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nach der Registrierung beim BBK haben Betreiber <strong>9 Monate<\/strong> Zeit, eine vollst\u00e4ndige Risikoanalyse abzuschlie\u00dfen, und <strong>10 Monate<\/strong>, um die daraus resultierenden Schutzma\u00dfnahmen umzusetzen. Betreiber, die am 17. Juli 2026 registrieren, m\u00fcssen die Risikoanalyse bis April 2027 und alle Ma\u00dfnahmen bis Mai 2027 implementiert haben.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-sind-die-wichtigsten-pflichten-fuer-kritis-betreiber\">Was sind die wichtigsten Pflichten f\u00fcr KRITIS-Betreiber?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die zentralen Pflichten umfassen: Selbstidentifikation als kritische Anlage, Registrierung beim BBK (ab 17. Juli 2026), Durchf\u00fchrung einer Risikoanalyse, Implementierung technischer und organisatorischer Schutzma\u00dfnahmen (Perimeterschutz, BCM, Krisenplan), laufende Meldepflichten bei Sicherheitsvorf\u00e4llen sowie Mitwirkung bei Beh\u00f6rdeninspektionen. Die Gesch\u00e4ftsleitung tr\u00e4gt hierf\u00fcr direkte pers\u00f6nliche Verantwortung.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ersetzt-das-kritis-dachgesetz-das-it-sicherheitsgesetz-2-0\">Ersetzt das KRITIS-Dachgesetz das IT-Sicherheitsgesetz 2.0?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nein. Das KRITIS-Dachgesetz <strong>erg\u00e4nzt<\/strong> das IT-Sicherheitsgesetz 2.0, ersetzt es aber nicht. Beide Gesetze gelten parallel. Das IT-Sicherheitsgesetz 2.0 bleibt f\u00fcr Cybersicherheitsanforderungen weiterhin relevant; das KRITIS-Dachgesetz f\u00fcgt die physische Resilienzebene hinzu. F\u00fcr die meisten KRITIS-Betreiber steigt der Compliance-Aufwand damit insgesamt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 17. M\u00e4rz 2026 trat das KRITIS-Dachgesetz in Deutschland in Kraft, und Betreiber kritischer Infrastrukturen stehen vor der dr\u00e4ngendsten Compliance-Deadline seit dem IT-Sicherheitsgesetz 2.0. Bis zum 17. Juli 2026 m\u00fcssen\u2026<\/p>\n","protected":false},"author":9,"featured_media":223,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-222","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/222","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=222"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/222\/revisions"}],"predecessor-version":[{"id":224,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/222\/revisions\/224"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/223"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=222"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=222"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=222"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}