Bundesrat stimmt KRITIS-Dachgesetz zu

Der Bundesrat hat am 06.03.2026 dem sogenannten KRITIS‑Dachgesetz zugestimmt. Ziel des Gesetzes ist es, die Resilienz kritischer Anlagen in Deutschland zu stärken und zugleich europäische Vorgaben zur Resilienz kritischer Infrastrukturen in nationales Recht umzusetzen. Damit ist ein zentraler Baustein der deutschen Sicherheits‑ und Vorsorgestrategie beschlossen worden.

Unscharfe Ansicht eines industriellen Energie- oder Umspannwerks mit technischen Anlagen und Masten. Im Vordergrund sind leuchtende, digital wirkende Verbindungspunkte zu sehen, die ein Netzwerk symbolisieren.

Die Zustimmung des Bundesrates erfolgte nach intensiver Debatte. In einer begleitenden Entschließung haben die Länder unter anderem Kritik am angesetzten Schwellenwert geäußert und eine frühzeitige Evaluierung des Gesetzes angeregt. Gleichwohl wurde auf die Anrufung des Vermittlungsausschusses verzichtet, sodass das Gesetz nun ausgefertigt und verkündet werden kann.

Zielsetzung und Anwendungsbereich

Mit dem KRITIS-Dachgesetz werden erstmals bundeseinheitliche und sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen geschaffen. Erfasst werden Unternehmen und Einrichtungen, die für die Versorgung der Bevölkerung oder das Funktionieren der Wirtschaft von wesentlicher Bedeutung sind. Dazu zählen insbesondere Anlagen aus den folgenden Sektoren:

Energie
Transport und Verkehr
Finanz‑ und Versicherungswesen
Gesundheit
Trinkwasser und Abwasser
Ernährung
Informationstechnik und Telekommunikation
Siedlungsabfallentsorgung
Weltraum
Öffentliche Verwaltung

Als kritisch gelten grundsätzlich Einrichtungen, die mehr als 500.000 Personen versorgen. Ergänzend erhalten die Länder die Möglichkeit, im Rahmen einer Öffnungsklausel weitere Anlagen als kritisch einzustufen.

Zentrale Pflichten für Betreiber

Das Gesetz verpflichtet Betreiber kritischer Anlagen dazu, geeignete und verhältnismäßige Maßnahmen zum physischen Schutz ihrer Einrichtungen zu ergreifen. Dabei werden konkrete Einzelmaßnahmen bewusst nicht abschließend vorgegeben. Vielmehr sollen die Schutzmaßnahmen risikoorientiert ausgestaltet sein und sich nach Art, Größe und Gefährdungslage der jeweiligen Anlage richten.

Zu den Kernelementen des Gesetzes zählen insbesondere die verpflichtende Durchführung von Risikoanalysen sowie regelmäßige Risikobewertungen als Grundlage für geeignete Schutzmaßnahmen. Darüber hinaus sind Betreiber kritischer Anlagen dazu verpflichtet, Resilienz- und Notfallkonzepte zu entwickeln und diese fortlaufend zu überprüfen. Ergänzend sieht das Gesetz Maßnahmen zur Ausfallsicherheit und zum physischen Objektschutz vor. Schließlich sind Betreiber dazu verpflichtet, sicherheitsrelevante Vorfälle an die zuständigen Stellen zu melden.

Die konkreten Kriterien und Verfahren sollen durch Rechtsverordnungen des Bundesinnenministeriums näher ausgestaltet werden.

Hinweis: Für Unternehmen der betroffenen Sektoren bedeutet das KRITIS-Dachgesetz einen deutlichen Bedeutungszuwachs von Resilienz-, Risiko- und Governance-Strukturen. Neben technischen und organisatorischen Schutzmaßnahmen rücken insbesondere klare Verantwortlichkeiten, dokumentierte Prozesse, belastbare Risiko- und Kontrollsysteme sowie die angemessene Einbindung der Unternehmensleitung in den Fokus. Gerne beraten wir Sie!