von

KRITIS-Dachgesetz 2026


Was Führungskräfte jetzt wissen und entscheiden müssen

Das KRITIS-Dachgesetz ist kein Spezialthema mehr für Sicherheitsverantwortliche, Facility Management oder Krisenstäbe. Seit März 2026 ist es ein Führungsthema. Der Grund ist einfach: Das Gesetz verschiebt den Blick auf Kritische Infrastrukturen weg von einer engen Cyberperspektive hin zu einem umfassenden Resilienzverständnis. Es geht nicht mehr nur darum, ob IT-Systeme sicher sind. Es geht darum, ob kritische Leistungen auch dann noch erbracht werden können, wenn physische, organisatorische oder hybride Störungen eintreten.

Für Führungskräfte ist genau das der entscheidende Punkt. Wer Verantwortung für ein betroffenes Unternehmen trägt, muss das KRITIS-Dachgesetz nicht in juristischen Details auswendig kennen. Aber es muss klar sein, worum es im Kern geht, wer betroffen sein kann, welche Fristen laufen, was organisatorisch zu tun ist und welche Folgen drohen, wenn das Unternehmen unvorbereitet bleibt.

Was ist das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz ist das deutsche Gesetz zur Stärkung der physischen Resilienz kritischer Anlagen. Es setzt die europäische CER-Richtlinie in deutsches Recht um und ergänzt damit die bestehenden Cybervorgaben um Anforderungen an die physische und betriebliche Widerstandsfähigkeit.

Die strategische Bedeutung ist hoch. Während NIS-2 vor allem auf Cybersicherheit, IT-Risikomanagement und Meldepflichten im digitalen Raum abzielt, adressiert das KRITIS-Dachgesetz die Frage, ob kritische Dienstleistungen auch bei Sabotage, Naturereignissen, Ausfällen von Zulieferern, Störungen in Gebäuden, physischen Angriffen, Personalausfällen oder Krisenlagen weiter funktionieren.

Damit entsteht ein neues Regulierungsbild: Kritische Resilienz wird nicht mehr nur als technisches Thema verstanden, sondern als Führungsaufgabe an der Schnittstelle von Unternehmenssteuerung, Notfallmanagement, Sicherheitsorganisation und operativer Stabilität.

Was ist der Regelungsgegenstand?

Der Regelungsgegenstand des KRITIS-Dachgesetzes ist die Resilienz kritischer Anlagen. Gemeint ist die Fähigkeit, Vorfälle zu verhindern, sich davor zu schützen, sie abzuwehren, darauf zu reagieren, ihre Folgen zu begrenzen, den Betrieb aufzufangen und sich davon zu erholen.

Das ist bemerkenswert, weil das Gesetz nicht nur auf die Abwehr von Schäden schaut, sondern auf die gesamte Widerstandsfähigkeit eines Betreibers. Führungskräfte sollten das Gesetz daher nicht als reine Nachweispflicht lesen, sondern als regulatorischen Rahmen für operative Belastbarkeit.

Konkret verlangt das Gesetz von betroffenen Betreibern insbesondere:

  • Registrierung kritischer Anlagen
  • regelmäßige Risikoanalysen und Risikobewertungen
  • angemessene technische, organisatorische und sicherheitsbezogene Resilienzmaßnahmen
  • einen dokumentierten Resilienzplan
  • Meldepflichten bei erheblichen Vorfällen
  • Mitwirkung bei Aufsicht, Prüfungen und Nachweisen
  • eine klar verantwortliche Geschäftsleitung

Inhaltlich reicht das weit über klassische Objektsicherheit hinaus. Erwartet werden unter anderem Notfallvorsorge, physischer Schutz von Liegenschaften und Anlagen, Zugangskontrollen, Krisenmanagement, Wiederherstellungsfähigkeit, alternative Lieferketten, Personal- und Fremdpersonalsicherheit sowie Schulungen und Übungen.

Die klare Botschaft lautet: Kritische Dienstleistungen sollen auch unter Stress funktionieren. Nicht perfekt, aber verlässlich steuerbar.

Welche Veränderungen haben sich im März 2026 ergeben?

Der März 2026 war der entscheidende Wendepunkt. Das Gesetz wurde am 6. März 2026 im Bundesrat angenommen und trat am 17. März 2026 in Kraft. Für viele Unternehmen ist damit aus einem länger diskutierten Vorhaben eine verbindliche Realität geworden.

Wesentlich sind dabei mehrere Veränderungen:

1. Das Gesetz ist jetzt geltendes Recht

Die wichtigste Veränderung ist banal und gleichzeitig folgenreich: Das KRITIS-Dachgesetz ist nicht mehr Entwurf, sondern verbindlicher Rechtsrahmen. Führungsgremien können das Thema daher nicht mehr auf einen späteren Gesetzgebungsstand verschieben.

2. Resilienz wird als eigenständige Aufsichtsmaterie etabliert

Mit dem Gesetz wird die Aufsicht breiter aufgestellt. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe übernimmt eine zentrale Rolle, daneben bestehen sektorspezifische Zuständigkeiten bei Bundes- und Landesbehörden. Damit wird deutlich: Resilienz wird nicht nur als IT-Sicherheitsfrage behandelt, sondern als Teil staatlicher Schutz- und Vorsorgesteuerung.

3. Die Pflichten der Geschäftsleitung sind ausdrücklich verankert

Besonders relevant für Führungskräfte ist die gesetzliche Verankerung der Verantwortung der Geschäftsleitung. Sie muss die erforderlichen Resilienzmaßnahmen nicht nur dulden, sondern deren Umsetzung organisatorisch sicherstellen. Das hebt das Thema auf die Ebene der Unternehmensleitung.

4. Im finalen Gesetz sind Bußgelder klar geregelt.

Im Zuge der finalen Gesetzgebung wurden Bußgelder klar geregelt. In bestimmten Fällen sind Geldbußen bis zu 1 Million Euro möglich. Das verändert die Diskussion im Management. Es geht nicht mehr nur um Reputations- und Betriebsrisiken, sondern auch um ein klares aufsichtsrechtliches Sanktionsregime.

5. Einige Konkretisierungen wurden in nachgelagerte Rechtsverordnungen verlagert

In den Vorstufen des Gesetzes waren einzelne Fristen und Konkretisierungen noch schärfer oder enger diskutiert worden. In der finalen Fassung sind einige Details in spätere Rechtsverordnungen verlagert oder zeitlich gestreckt worden. Das ist jedoch kein Grund zur Entwarnung. Im Gegenteil: Gerade weil noch Konkretisierungen ausstehen, ist eine frühzeitige organisatorische Vorbereitung umso wichtiger.

6. Regulierung mit offenen Flanken, Handlungsbedarf entsteht vor der finalen Klarheit

Ein Aspekt wird in vielen Geschäftsleitungen unterschätzt:
Das Gesetz ist in Kraft, jedoch erfolgen wesentliche Konkretisierungen zu kritischen Dienstleistungen, Anlagenkategorien, Schwellenwerten und Stichtagen erst über nachgelagerte Rechtsverordnungen.

Die grundsätzliche Einordnung von Sektoren ist dabei bereits klar.
Für einzelne Unternehmen lässt sich die konkrete Betroffenheit jedoch teilweise noch nicht mit vollständiger Rechtssicherheit bestimmen.

Genau daraus entsteht eine strategisch anspruchsvolle Situation.

Organisationen, die auf vollständige regulatorische Klarheit warten, verlieren wertvolle Zeit.
Organisationen, die frühzeitig Strukturen und Verantwortlichkeiten aufbauen, sichern sich operative Handlungsfähigkeit und reduzieren Umsetzungsrisiken.

Die zentrale Managementaufgabe besteht darin, unter regulatorischer Unsicherheit entscheidungsfähig zu bleiben und Resilienz proaktiv aufzubauen.

Welche zeitlichen Fristen sind einzuhalten?

Hier zeigt sich, warum das Gesetz in die Vorstandsvorlage und nicht nur in die Fachabteilung gehört. Das KRITIS-Dachgesetz kennt nicht nur eine einzelne Frist, sondern eine ganze Fristenlogik.

Inkrafttreten

Das Gesetz ist am 17. März 2026 in Kraft getreten. Die sektorspezifischen Mindestvorgaben nach § 14 Abs. 3 bis 5 treten erst am 1. Januar 2030 in Kraft.

Registrierung

Ein Betreiber kritischer Anlagen muss sich spätestens drei Monate, nachdem eine Anlage als kritische Anlage gilt, registrieren. Frühestens greift diese Pflicht jedoch bis einschließlich 17. Juli 2026 (§ 8 Abs. 1).
Es sollte unverzüglich eine belastbare Betroffenheitsprüfung veranlassen werden, um die Frist sicher einzuhalten.

Mitteilung der zuständigen Behörde

Nach der Registrierung soll die zuständige Behörde grundsätzlich binnen zwei Wochen mitgeteilt werden. Für die erstmalige Mitteilung gilt jedoch, dass sie nicht vor dem 17. August 2026 erfolgen muss.

Änderungsmeldungen

Änderungen an den registrierten Angaben müssen grundsätzlich unverzüglich, spätestens aber innerhalb von zwei Wochen nach Kenntnis gemeldet werden. Änderungen beim Versorgungsgrad sind einmal jährlich zu übermitteln.

Umsetzungsfristen nach Registrierung

Nach der Registrierung laufen weitere Fristen an:

  • Risikoanalyse: erstmals nach neun Monaten
  • Resilienzmaßnahmen: erstmals nach zehn Monaten
  • Meldewesen: erstmals nach zehn Monaten
  • Pflichten der Geschäftsleitung: erstmals nach zehn Monaten

Wiederkehrende Pflichten

Die Risikoanalyse ist mindestens alle vier Jahre durchzuführen. Das macht deutlich, dass das Gesetz keinen Einmaleffekt erzeugen will, sondern eine dauerhafte Steuerungslogik.

Welche Unternehmen sind betroffen?

Betroffen sind Betreiber kritischer Anlagen in den Sektoren:

  • Energie
  • Transport und Verkehr
  • Finanzwesen
  • Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende
  • Gesundheitswesen
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Weltraum
  • Siedlungsabfallentsorgung

Für Führungskräfte ist aber entscheidend: Nicht jedes Unternehmen in diesen Sektoren fällt automatisch unter das Gesetz. Maßgeblich ist, ob eine Anlage für die Erbringung einer kritischen Dienstleistung erheblich ist.

Das Gesetz arbeitet dabei mit dem Konzept der kritischen Anlage und mit Schwellenwerten zum Versorgungsgrad. Als gesetzlicher Regelwert wird grundsätzlich eine Versorgung von 500.000 Einwohnern genannt. Gleichzeitig können Rechtsverordnungen Kategorien, Schwellenwerte, Stichtage und Anlagen definieren. Zudem kann eine Anlage im Einzelfall auch dann als erheblich eingestuft werden, wenn sie die allgemeinen Schwellenwerte formal nicht erfüllt.

Das ist der entscheidende Managementpunkt: Betroffenheit ist kein Bauchgefühl und auch keine bloße Branchenzuordnung. Sie ist das Ergebnis einer strukturierten Prüfung von Dienstleistung, Anlage, Versorgungsgrad, Abhängigkeiten, Marktstellung und möglichen Auswirkungen eines Ausfalls.

Hinzu kommen Ausnahmen und Sonderregeln. Bestimmte Finanzunternehmen, Teile des Sektors Informationstechnik und Telekommunikation sowie einzelne Bereiche der Sozialversicherung oder Entsorgung sind nur eingeschränkt oder abweichend erfasst. Deshalb ist eine fachlich saubere Einordnung unverzichtbar.

Was ist bei Betroffenheit zu tun?

Sobald ein Unternehmen seine Betroffenheit erkannt hat oder mit einer realistischen Wahrscheinlichkeit betroffen ist, sollte das Thema in sechs klaren Schritten strukturiert werden.

1. Betroffenheit belastbar feststellen

Zuerst braucht es eine formale Betroffenheitsprüfung. Diese sollte dokumentiert, freigegeben und regelmäßig aktualisiert werden. Dafür sind insbesondere folgende Fragen relevant:

  • Welche kritische Dienstleistung wird erbracht?
  • Welche Anlage ist für diese Leistung erheblich?
  • Welche Schwellenwerte oder Versorgungsgrade sind einschlägig?
  • Welche Bundes- oder Landesbehörde ist zuständig?
  • Welche Ausnahmen oder Sonderregeln greifen?

2. Governance festlegen

Das KRITIS-Dachgesetz ist kein isoliertes Sicherheitsthema. Deshalb braucht es ein klares Mandat aus der Unternehmensleitung. Zuständigkeiten sollten mindestens für folgende Rollen definiert werden:

  • Geschäftsleitung oder verantwortliches Leitungsorgan
  • Gesamtverantwortung für Resilienzsteuerung
  • operative Koordination
  • Facility, Security, BCM, ISMS, Compliance, Recht und Kommunikation
  • Melde- und Eskalationswege

3. Registrierung vorbereiten und durchführen

Die Registrierung ist mehr als ein Formular. Sie zwingt das Unternehmen, seine kritischen Anlagen, Kontaktdaten, Zuständigkeiten, Versorgungsgebiete und Kommunikationswege belastbar zu strukturieren. Genau hier werden häufig organisatorische Schwächen sichtbar.

4. Risikoanalyse und Resilienzplan aufbauen

Ein belastbarer Reifegrad entsteht erst dann, wenn Risiken systematisch analysiert und in konkrete Maßnahmen übersetzt werden. Das Unternehmen sollte dabei physische, technische, organisatorische und personelle Risiken gemeinsam betrachten. Der Resilienzplan sollte nicht als Akte für die Behörde verstanden werden, sondern als Steuerungsdokument für Krisenfähigkeit.

5. Maßnahmenprogramm umsetzen

Im Fokus stehen typischerweise:

  • physischer Schutz von Standorten und Anlagen
  • Zutritts- und Zugangskontrollen
  • Notfallvorsorge und Krisenreaktion
  • Wiederanlauf- und Wiederherstellungsfähigkeit
  • Personal- und Fremdpersonalsicherheit
  • Lieferketten- und Abhängigkeitsmanagement
  • Übungen, Schulungen und Sensibilisierung

6. Melde- und Nachweisfähigkeit herstellen

Viele Unternehmen scheitern nicht an fehlendem Willen, sondern an mangelnder Nachweisfähigkeit. Deshalb sollten Auditfähigkeit, Dokumentation, Aufzeichnungen, Schnittstellen zu Behörden und interne Eskalationsmechanismen von Anfang an mitgedacht werden.

Was sind die Konsequenzen bei Incompliance?

Incompliance ist beim KRITIS-Dachgesetz kein abstraktes Rechtsrisiko. Sie hat drei sehr konkrete Ebenen.

1. Aufsichtsrechtliche Folgen

Behörden können Auskünfte verlangen, Unterlagen einsehen, Geschäftsräume betreten, Prüfungen durchführen und Maßnahmen anordnen. Wer Anordnungen ignoriert, Informationen nicht liefert oder Prüfungen behindert, verschärft die Lage regelmäßig selbst.

2. Bußgelder

Das Gesetz sieht Bußgelder je nach Verstoß in unterschiedlicher Höhe vor. Möglich sind unter anderem Geldbußen bis zu:

  • 1.000.000 Euro bei schwerwiegenden Verstößen gegen vollziehbare Anordnungen oder bei fehlender Mitwirkung zur Feststellung der Kritikalität
  • 500.000 Euro bei nicht oder nicht rechtzeitig übermittelten Auditergebnissen
  • 200.000 Euro bei bestimmten Verstößen gegen Nachweis- und Vorlagepflichten
  • bis zu 100.000 Euro in sonstigen Fällen

Für das Management ist dabei entscheidend: Sanktionen sind in der Regel kein isoliertes Ereignis, sondern ein Indikator für unzureichend etablierte Steuerungs- und Kontroll-mechanismen.

3. Verantwortung der Geschäftsleitung

Die Geschäftsleitung ist ausdrücklich verpflichtet, die erforderlichen Resilienzmaßnahmen umzusetzen und deren Umsetzung organisatorisch sicherzustellen. Bei Pflichtverletzungen kommt eine Haftung der Geschäftsleitung gegenüber der eigenen Einrichtung in Betracht, soweit die jeweilige Rechtsform dies vorsieht oder das Gesetz ergänzend eingreift.

Damit wird das KRITIS-Dachgesetz zu einem klassischen Organpflichtenthema. Die wesentliche Frage lautet dann nicht mehr, ob ein Unternehmen theoretisch compliant sein wollte, sondern ob die Leitung nachweisbar gesteuert, überwacht und entschieden hat.

Fazit: Das KRITIS-Dachgesetz ist ein Resilienzgesetz mit Managementwirkung

Für Führungskräfte ist das KRITIS-Dachgesetz vor allem eines: ein Gesetz zur operativen Verantwortungsreife. Es verlangt nicht perfekte Sicherheit. Es verlangt strukturierte Vorsorge, belastbare Steuerung und nachvollziehbare Entscheidungen.

Die beste Reaktion ist deshalb nicht Aktionismus, sondern ein geordneter Managementansatz. Zuerst die Betroffenheit klären. Dann Verantwortung festlegen. Danach Registrierung, Risikoanalyse, Maßnahmenprogramm und Meldefähigkeit systematisch aufbauen.

Gerade weil noch nicht jede Detailregelung vorliegt, ist jetzt der richtige Zeitpunkt für Vorbereitung. Unternehmen, die erst auf die letzte Konkretisierung warten, laufen Gefahr, genau die knappe Ressource zu verlieren, die in Krisen am wertvollsten ist: Zeit.

Am Ende ist das KRITIS-Dachgesetz kein bürokratischer Zusatz zum Tagesgeschäft. Es ist ein Stresstest für die Frage, wie ernst eine Organisation ihre eigene Betriebsfähigkeit wirklich nimmt.

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

von
Bild
BSI C5:2026 Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres
Weiter lesen »
von
Bild
NIS2 und das neue BSIG Die rechtliche Verantwortung der Geschäftsleitung im Fokus Stand: April 2026 Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und der Neufassung des BSI-Gesetzes (BSIG) ist Cybersicherheit in Deutschland endgültig zu einer Leitungsaufgabe geworden. Für Geschäftsführungen, Vorstände und andere Leitungsorgane bedeutet das: Informationssicherheit ist nicht mehr nur eine unterstützende Fachfunktion innerhalb der Organisation. Sie ist eine zentrale Aufgabe der Unternehmenssteuerung, der Haftungsvermeidung und der operativen Resilienz.
Weiter lesen »