Das KRITIS-Dachgesetz – Ziel und Bedeutung

Der Schutz kritischer Infrastrukturen gewinnt in Deutschland zunehmend an Bedeutung. Naturkatastrophen, Sabotage, Cyberangriffe und geopolitische Spannungen zeigen, wie verwundbar zentrale Versorgungssysteme sein können.

Mit dem neuen KRITIS-Dachgesetz hat der Gesetzgeber nun einen einheitlichen rechtlichen Rahmen geschaffen, um den physischen Schutz kritischer Anlagen und die Resilienz kritischer Infrastrukturen nachhaltig zu stärken.
Eine zentrale Neuerung ist dabei die Registrierungsmöglichkeit beziehungsweise Registrierungspflicht für Betreiber kritischer Anlagen, die künftig für mehr Transparenz und eine bessere staatliche Koordination sorgen soll.

Mit dem KRITIS-Dachgesetz setzt Deutschland einen wichtigen Schritt zur Stärkung der nationalen Sicherheitsarchitektur. Besonders die Registrierung von Betreibern kritischer Anlagen schafft erstmals eine zentrale Übersicht über systemrelevante Einrichtungen.

Für Betreiber bedeutet dies neue Pflichten – aber auch die Chance, ihre Sicherheits- und Resilienzstrukturen nachhaltig zu verbessern.

Unternehmen, Kommunen und Organisationen sollten daher frühzeitig prüfen, ob ihre Anlagen unter die neuen Regelungen fallen und welche Maßnahmen erforderlich sind, um den Anforderungen des KRITIS-Dachgesetzes gerecht zu werden.

Was ist das KRITIS-Dachgesetz?

Das sogenannte KRITIS-Dachgesetz schafft erstmals eine sektorübergreifende Grundlage für den Schutz kritischer Infrastrukturen in Deutschland. Es ergänzt bestehende Regelwerke wie das IT-Sicherheitsgesetz und setzt gleichzeitig europäische Vorgaben zur Resilienz kritischer Einrichtungen um.
Ziel des Gesetzes ist es, sicherzustellen, dass zentrale Dienstleistungen auch unter extremen Bedingungen funktionieren.

Dazu zählen unter anderem:

• Energieversorgung
• Trinkwasserversorgung
• Gesundheitswesen
• Transport und Verkehr
• Ernährung
• IT- und Telekommunikation
• Finanz- und Versicherungswesen

Betreiber kritischer Anlagen müssen künftig umfassendere Maßnahmen ergreifen, um ihre Einrichtungen vor physischen Bedrohungen, technischen Ausfällen und hybriden Angriffen zu schützen.

Warum der physische Schutz kritischer Anlagen wichtiger wird

In der Vergangenheit lag der Fokus vieler Sicherheitsvorgaben vor allem auf der Cybersecurity. Doch aktuelle Entwicklungen zeigen, dass auch physische Risiken erheblich zunehmen.

Zu den wichtigsten Bedrohungen zählen heute:

• Sabotage und Terrorismus
• Extremwetter und Naturkatastrophen
• Stromausfälle und Versorgungskrisen
• geopolitische Konflikte und hybride Bedrohungen
• Störungen globaler Lieferketten

Der physische Schutz kritischer Anlagen umfasst daher unter anderem:
Zutrittskontrollsysteme

• Perimeterschutz und Videoüberwachung
• redundante Versorgungssysteme
• Notfall- und Krisenmanagement
• organisatorische Sicherheitsmaßnahmen

Mit dem KRITIS-Dachgesetz wird dieser Bereich erstmals umfassend gesetzlich geregelt.

Registrierung von Betreibern kritischer Anlagen – ein zentraler Baustein

Eine der wichtigsten Neuerungen des Gesetzes ist die Einführung eines bundesweiten Registers für Betreiber kritischer Anlagen.

Bislang existierte keine vollständige Übersicht darüber, welche Anlagen für die Versorgung der Bevölkerung besonders relevant sind. Die neue Registrierungspflicht soll genau diese Lücke schließen.
Betreiber müssen ihre Anlagen künftig bei den zuständigen Behörden melden. Dadurch entsteht erstmals ein zentraler Überblick über kritische Infrastruktur in Deutschland.

Ziele der Registrierung

Die Registrierung verfolgt mehrere strategische Ziele:

• Aufbau eines nationalen Lagebilds kritischer Infrastruktur
• schnellere Kommunikation zwischen Behörden und Betreibern
• bessere Koordination im Krisenfall
• Grundlage für staatliche Risikoanalysen
• gezielte Unterstützung bei Sicherheitsvorfällen

Insbesondere in Krisensituationen kann eine aktuelle Übersicht über kritische Anlagen entscheidend sein, um schnell reagieren zu können.

Welche Betreiber betroffen sind

Die Registrierungspflicht betrifft Unternehmen und Organisationen, die kritische Dienstleistungen erbringen und dabei bestimmte Schwellenwerte überschreiten.

Typische Beispiele sind:

• Betreiber von Strom- und Energieanlagen
• Wasserwerke und Abwasseranlagen
• Krankenhäuser und medizinische Versorgungseinrichtungen
• Logistik- und Verkehrsinfrastruktur
• Betreiber von Rechenzentren
• Telekommunikationsunternehmen
• Unternehmen der Lebensmittelversorgung

Auch kommunale Einrichtungen können unter die Regelung fallen.

Welche Informationen bei der Registrierung erforderlich sind

Im Rahmen der Registrierung müssen Betreiber mehrere Informationen zu ihrer Organisation und ihren Anlagen übermitteln.

Dazu gehören unter anderem:

Angaben zum Betreiber

• Name des Unternehmens
• Rechtsform
• Anschrift und Kontaktdaten

Angaben zur kritischen Anlage

• Standort der Anlage
• Sektor oder Branche
• Art der bereitgestellten Dienstleistung

Versorgungsrelevante Informationen

• Versorgungsgebiet
• Anzahl der versorgten Personen

Sicherheitsrelevante Kontaktstellen

Ein wichtiger Bestandteil der Registrierung ist die Benennung einer 24/7 erreichbaren Kontaktstelle, über die Behörden im Krisenfall schnell kommunizieren können.

Diese Kontaktstelle spielt eine zentrale Rolle bei:

• Sicherheitsvorfällen
• Krisenkommunikation
• Warnmeldungen
• Koordinationsmaßnahmen

Fristen für die Registrierung

Das KRITIS-Dachgesetz sieht klare Fristen für die Registrierung vor.

Für Betreiber bestehender kritischer Anlagen gilt:

Registrierung spätestens bis Juli 2026

Neue kritische Anlagen müssen sich:
innerhalb von drei Monaten nach Einstufung als kritische Anlage registrieren.
Sollte ein Betreiber seiner Registrierungspflicht nicht nachkommen, können Behörden die Anlage auch eigenständig in das Register aufnehmen.

Weitere Pflichten für Betreiber kritischer Anlagen

Die Registrierung ist nur der erste Schritt. Betreiber müssen anschließend weitere Anforderungen erfüllen.

Dazu gehören insbesondere:

Risikoanalyse

Betreiber müssen systematisch analysieren, welche Risiken ihre Anlagen bedrohen könnten.

Resilienzmaßnahmen

Auf Basis der Risikoanalyse müssen geeignete Schutzmaßnahmen umgesetzt werden, beispielsweise:

• bauliche Schutzmaßnahmen
• organisatorische Sicherheitskonzepte
• technische Redundanzen

Resilienzplan

Zusätzlich muss ein umfassender Plan erstellt werden, der beschreibt, wie der Betrieb auch in Krisensituationen aufrechterhalten werden kann.

Meldepflichten

Sicherheitsrelevante Vorfälle müssen künftig innerhalb definierter Fristen an die zuständigen Behörden gemeldet werden.

Bedeutung für Unternehmen und Betreiber

Für viele Unternehmen bedeutet das KRITIS-Dachgesetz zunächst einen erhöhten organisatorischen Aufwand. Gleichzeitig verbessert es jedoch auch die Zusammenarbeit zwischen Staat und Wirtschaft im Bereich der kritischen Infrastruktur.

Unternehmen profitieren unter anderem von:

• klaren gesetzlichen Rahmenbedingungen
• verbesserten Krisenkommunikationsstrukturen
• besserer Einbindung in staatliche Schutzmechanismen
• erhöhter Planungssicherheit

Gerade vor dem Hintergrund zunehmender geopolitischer Risiken wird die Resilienz kritischer Infrastrukturen zu einem entscheidenden Faktor für die Stabilität moderner Gesellschaften.