KRITIS-Dachgesetz: Seit dem 17. März 2026 in Kraft – was Betreiber kritischer Infrastrukturen jetzt wissen und tun müssen
Energieversorger, Krankenhäuser, Wasserwerke, Rechenzentren – sie alle haben eines gemeinsam: Fällt einer dieser Bereiche aus, spüren es nicht einzelne Kunden, sondern die gesamte Gesellschaft. Genau hier setzt das KRITIS-Dachgesetz an. Seit dem 17. März 2026 ist es in Kraft – und bringt für Betreiber kritischer Anlagen in Deutschland ein umfassendes Pflichtenprogramm mit, das weit über bisherige IT-Sicherheitsanforderungen hinausgeht.
Was das Gesetz konkret bedeutet, wen es trifft und was jetzt zu tun ist – dieser Artikel gibt einen praxisnahen Überblick.
Was ist das KRITIS-Dachgesetz – und warum jetzt?
Bisher war die Regulierung kritischer Infrastrukturen in Deutschland vor allem auf IT- und Cybersicherheit fokussiert: NIS2 und das BSIG regelten digitale Angriffsvektoren. Was fehlte, war ein einheitlicher Rahmen für die physische Resilienz – also den Schutz kritischer Anlagen vor Naturkatastrophen, Sabotage, technischen Störungen oder Terroranschlägen.
Das KRITIS-Dachgesetz setzt die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in Deutschland um und schafft erstmals einen bundeseinheitlichen, sektorübergreifenden Rechtsrahmen für den physischen Schutz kritischer Infrastrukturen.
Der Bundestag hat das Gesetz am 29. Januar 2026 beschlossen, der Bundesrat hat am 6. März 2026 zugestimmt. Am 16. März 2026 wurde es im Bundesgesetzblatt verkündet – und trat damit einen Tag später in Kraft.
Wer ist betroffen? Die zehn regulierten Sektoren
Das Gesetz gilt für Betreiber kritischer Anlagen in zehn definierten Sektoren:
| Sektor | Beispiele |
|---|---|
| Energie | Strom-, Gas-, Wärmeversorgung |
| Wasser | Trinkwasser, Abwasser |
| Verkehr | Straße, Schiene, Flug, See |
| Gesundheit | Krankenhäuser, Labore, Pharmaindustrie |
| Digitale Infrastruktur | Rechenzentren, Cloud-Dienste, DNS |
| IKT-Dienstverwaltung | Managed Services für KRITIS-Betreiber |
| Banken & Finanzmarkt | Ergänzend zu DORA |
| Ernährung | Lebensmittelproduktion und -versorgung |
| Weltraum | Satellitenbetrieb |
| Öffentliche Verwaltung | Kritische Behörden und Einrichtungen |
Wichtig: Nicht jedes Unternehmen in diesen Branchen fällt automatisch unter das Gesetz. Ob ein Betreiber betroffen ist, hängt davon ab, ob seine Anlage definierte Schwellenwerte überschreitet – zum Beispiel in Bezug auf die Anzahl der versorgten Personen oder die Bedeutung der erbrachten Dienstleistung. Wer unsicher ist, sollte das frühzeitig prüfen – die erste Frist läuft bereits.
Die wichtigsten Pflichten im Überblick
1. Registrierungspflicht
Betreiber kritischer Anlagen müssen sich spätestens drei Monate nach ihrer Einstufung als kritische Anlage – frühestens jedoch ab dem 17. Juli 2026 – auf der gemeinsamen Plattform von BBK und BSI registrieren. Die Registrierung umfasst Angaben zum Betreiber (Name, Rechtsform, Kontaktdaten), zur Anlage (Standort, Branche, Versorgungsgebiet) und zur erbrachten kritischen Dienstleistung. Außerdem muss eine 24/7-Kontaktstelle benannt werden. Änderungen sind fortlaufend zu melden.
Was konkret zu tun ist: Prüfen Sie jetzt, ob Ihre Anlage die Schwellenwerte erfüllt. Falls ja, beginnen Sie frühzeitig mit der Vorbereitung der Registrierungsunterlagen – nicht erst im Juli 2026.
2. Risikoanalyse und -bewertung
Erstmals neun Monate nach der Registrierung und anschließend alle vier Jahre müssen Betreiber eigene Risikoanalysen und -bewertungen vornehmen. Der Ansatz ist dabei bewusst breit gehalten: Berücksichtigt werden müssen Natur-, technische und menschlich verursachte Gefahren sowie Abhängigkeiten innerhalb und zwischen Sektoren – ausdrücklich auch Lieferkettenunterbrechungen und die Abhängigkeit von Drittdienstleistern.
Was konkret zu tun ist: Führen Sie eine erste Bestandsaufnahme aller relevanten Gefährdungsszenarien durch – intern wie extern. Dokumentieren Sie Abhängigkeiten zu Lieferanten, Dienstleistern und anderen kritischen Anlagen.
3. Resilienzplan
Auf Basis der Risikoanalyse ist ein Resilienzplan zu erstellen. Dieser muss Maßnahmen zur Prävention, zur Reaktion auf Störungen und zur Wiederherstellung der kritischen Dienstleistung umfassen – bauliche, technische und organisatorische Maßnahmen eingeschlossen. Dass die Anforderungen erfüllt sind, muss alle zwei Jahre dem BBK gegenüber nachgewiesen werden.
Was konkret zu tun ist: Business Continuity Management (BCM) ist kein optionaler Zusatz mehr, sondern gesetzliche Pflicht. Wer noch kein strukturiertes Notfallmanagement hat, sollte damit umgehend beginnen.
4. Meldepflicht bei Vorfällen
Kritische Vorfälle müssen spätestens 24 Stunden nach Kenntnis gemeldet werden. Innerhalb eines Monats ist anschließend ein ausführlicher Bericht zu übermitteln. Dieser muss Angaben zur Anzahl betroffener Nutzer, zur prognostizierten Dauer der Störung und zu betroffenen geografischen Regionen enthalten.
Was konkret zu tun ist: Richten Sie interne Prozesse und klare Verantwortlichkeiten ein, damit die 24-Stunden-Frist im Ernstfall eingehalten werden kann. Eine nachträgliche Rekonstruktion unter Zeitdruck ist keine tragfähige Strategie.
5. Pflichten der Geschäftsleitung
Das KRITIS-Dachgesetz macht Compliance ausdrücklich zur Chefsache. Die Geschäftsleitung ist verpflichtet, die Resilienzmaßnahmen abzusegnen und deren Umsetzung zu kontrollieren. Außerdem muss sie sich in Sachen Risikomanagement schulen lassen und das auf Anfrage nachweisen können. Bei schuldhafter Pflichtverletzung droht persönliche Haftung.
Was konkret zu tun ist: Das Thema gehört auf die Agenda der Geschäftsführung – nicht in die IT-Abteilung delegiert und vergessen. Schulungen und Beschlüsse sind nachvollziehbar zu dokumentieren.
KRITIS-Dachgesetz vs. NIS2: Was ist der Unterschied?
Beide Regelwerke betreffen kritische Infrastrukturen – aber sie adressieren unterschiedliche Aspekte:
| NIS2 (BSIG) | KRITIS-Dachgesetz | |
|---|---|---|
| Fokus | Cybersicherheit | Physische Resilienz |
| Ansatz | IT-Risiken | All-Gefahren-Ansatz |
| Aufsichtsbehörde | BSI | BBK + sektorspezifische Behörden |
| In Kraft seit | Dezember 2025 | März 2026 |
Beide Gesetze gelten parallel und ergänzend. Wer bereits NIS2-konform ist, hat einen Teil der Hausaufgaben erledigt – aber eben nur einen Teil. Physische Schutzmaßnahmen, Resilienzpläne und das neue Meldewesen des KRITIS-Dachgesetzes kommen als eigenständige Anforderungen hinzu.
Die wichtigsten Fristen auf einen Blick
| Frist | Pflicht |
|---|---|
| Ab 17. Juli 2026 | Registrierungsplattform öffnet (spätestens 3 Monate nach Einstufung) |
| 9 Monate nach Registrierung | Erste Risikoanalyse abgeschlossen |
| 10 Monate nach Registrierung | Meldepflichten und Resilienzmaßnahmen aktiv |
| Alle 2 Jahre | Nachweispflicht gegenüber dem BBK |
| Alle 4 Jahre | Aktualisierung der Risikoanalyse |
| Ab 2027 | Behördliche Aufsicht und Sanktionen wirksam |
Der Puffer klingt komfortabel – ist er aber nicht. Neun Monate für eine vollständige Risikoanalyse, einen dokumentierten Resilienzplan und implementierte Schutzmaßnahmen sind für viele Organisationen knapp bemessen, vor allem wenn die nötige Expertise intern nicht vorhanden ist.
Was bedeutet das für kleinere Unternehmen in kritischen Sektoren?
Das KRITIS-Dachgesetz richtet sich primär an Betreiber, die definierte Schwellenwerte überschreiten. Kleinere Unternehmen unterhalb dieser Schwellen sind zunächst nicht direkt betroffen – können es aber indirekt sein: Das Gesetz erfasst auch Dienstleister, die wesentliche Leistungen für Betreiber kritischer Anlagen erbringen. Wer also als IT-Dienstleister, Logistikpartner oder Wartungsunternehmen für KRITIS-Betreiber tätig ist, sollte prüfen, ob Anforderungen aus Lieferkettenklauseln auf ihn durchschlagen.
Wissen Sie, welche Compliance-Anforderungen für Ihr Unternehmen gelten? Ob KRITIS-Dachgesetz, NIS2, DSGVO oder branchenspezifische Vorgaben – nicht jede Regel trifft jeden Betrieb. Mit dem kostenlosen Compliance-Checker von Garske Systems sehen Sie in wenigen Minuten, welche gesetzlichen Anforderungen für Sie relevant sind: https://garske-systems.de/compliance-checker
Fazit
Das KRITIS-Dachgesetz ist seit dem 17. März 2026 geltendes deutsches Recht. Für betroffene Betreiber bedeutet das: Registrierung vorbereiten, Risikoanalysen einplanen, Resilienzstrukturen aufbauen und die Geschäftsleitung in die Pflicht nehmen.
Wer jetzt anfängt, hat gute Chancen, die Fristen komfortabel einzuhalten. Wer wartet, bis die erste Behördenanfrage kommt, wird es schwerer haben – denn die Aufsichtsbehörden werden ab 2027 nicht nur beraten, sondern auch sanktionieren.