DE EN

KRITIS-Dachgesetz 2026: Was Betreiber jetzt wissen müssen

11/03/2026

KRITIS-Dachgesetz 2026: Was Betreiber jetzt wissen müssen

Das KRITIS-Dachgesetz (KRITIS-DachG) wurde am 29. Januar 2026 vom Bundestag beschlossen und setzt die EU-CER-Richtlinie (EU) 2022/2557 zur physischen Resilienz kritischer Einrichtungen in deutsches Recht um. Inhaltlich ist es klar vom „klassischen“ KRITIS-Anforderungen der IT-Sicherheit (BSI-Gesetz/KRITIS-Verordnung) abzugrenzen: Das Dachgesetz adressiert primär physische Gefahren, betriebliche und organisatorische Resilienz, nicht die reine Cybersecurity.

Gleichzeitig besteht eine Verwechslungsgefahr: In der Praxis werden Betreiber künftig zwei Regulierungsstränge sauber verzahnen müssen (physisch/organisatorisch vs. Cyber/IT). Dieser Beitrag ordnet ein, zeigt typische Pflichten und liefert konkrete nächste Schritte.

Verwechslungsgefahr: Dachgesetz versus alte KRITIS-Verordnung

Die bisherige KRITIS-Verordnung im Kontext des BSI-Gesetzes fokussierte IT-/Cybersicherheit und arbeitete stark mit sektoralen Schwellenwerten. Das KRITIS-Dachgesetz erweitert den Blick auf den physischen Schutz und folgt einem All-Gefahren-Ansatz (z. B. Naturgefahren, Sabotage, Terror, Unfälle) – mit dem Ziel, Ausfälle kritischer Dienstleistungen zu verhindern, abzufedern und die Wiederherstellung zu beschleunigen.

Wichtig: Das Dachgesetz ersetzt das bisherige IT-KRITIS-Anforderungen nicht, sondern ergänzt es. Wer bereits KRITIS/NIS2-Pflichten plant, sollte deshalb vor allem auf Schnittstellen und Doppelarbeit achten.

Aspekte der IT-KRITIS und des KRITIS-Dachgesetz, unterteilt in Schwerpunkt, Sektoren/Scope, typische Pflichten, Zuständigkeit und Bußgelder

Wer ist betroffen und welche Pflichten gelten neu?

Betroffen sind Betreiber kritischer Anlagen in den vom Gesetz erfassten Sektoren; als Faustformel wird häufig genannt, dass Betreiber, die mehr als 500.000 Einwohner versorgen bzw. deren Ausfall erhebliche Auswirkungen hätte, typischerweise in den Anwendungsbereich fallen können (eine Einzelfallprüfung bleibt erforderlich). Zusätzlich ist praxisrelevant: Bundesländer können regional bedeutsame Anlagen unter Umständen auch unterhalb bundeseinheitlicher Schwellen als kritisch identifizieren.

 

Neue Pflichten:

  • Registrierung/Identifizierung als Grundlage für Folgepflichten.​
  • Regelmäßige Risikoanalyse/-bewertung (mind. alle 4 Jahre).​
  • Umsetzung verhältnismäßiger Resilienzmaßnahmen (z. B. Notfallvorsorge, Objektschutz, Zugangskontrollen, Detektion/Überwachung, Krisen- und Alarmabläufe, Notstrom/Redundanzen, Schulungen/Übungen).
  • Schriftlicher Resilienzplan (Dokumentations- und Steuerungszentrum der Nachweise).
  • Meldewesen für erhebliche Vorfälle mit Frist „innerhalb von 24 Stunden“ für die Erstmeldung; nachgelagerte Berichte/Updates sind üblich (Details hängen von finalen Vorgaben/Leitlinien ab).

Hinweis zu Fristen: In vielen Darstellungen werden „3/9/10 Monate“ als Orientierungswerte ab Registrierung genannt; entscheidend ist, dass die Umsetzungsarbeit nicht erst „nach Verkündung“ gestartet werden sollte, weil Betroffenheitsprüfung, Scope, Datenaufnahme und Governance Zeit brauchen.

 

Was droht an Bußgeldern?

Die Bußgeldregelungen wurden im parlamentarischen Verfahren sichtbar verschärft: In schwerwiegenden Fällen sind Geldbußen bis zu 1 Mio. € möglich. Daneben existieren weitere Stufen (z. B. 500.000 / 200.000 / 100.000 €) je nach Verstoßtyp und -schwere. Zusätzlich entstehen neben Bußgeldern weitere Risiken: behördliche Anordnungen, mögliche Betriebseinschränkungen sowie Haftungs- / Reputationsrisiken (insb. bei ignorierter Behördenkooperation oder Meldeversäumnissen).

Beispiele für Verstöße ("Ignorieren behördlicher Anordnungen, gravierende Pflichtverletzungen", "Fehlender/ungeeigneter Resilienzplan oder unzureichende Resilienzmaßnahmen", "Verspätete/fehlerhafte Meldungen, Versäumnisse bei Risikoanalyse-Updates", mit Einordnung (Schwerwiegend / Hoch / Mittel/Leicht) und typischem Bußgeldrahmen (teilweise bis zu 1 Mio. EUR)

Handlungsempfehlungen für Betreiber

  • Betroffenheit klären (Scope zuerst): Prüfen Sie Sektor/Anlage, Versorgungswirkung, regionale Bedeutung. Bei Grenzfällen ist hier eine juristische Klärung zu empfehlen. Berücksichtigen Sie auch die Möglichkeit der Länder-Identifizierung.
  • Synergien mit Standards nutzen: ISO 22301 (BCM) eignet sich als Strukturgeber für Notfall- / Wiederanlauf; ISO / IEC 27001 bleibt zentral für Cyber / NIS2, deckt aber physische Resilienz nicht vollständig ab (Ergänzung nötig).​
  • Programmstruktur aufsetzen: Projektteam (Compliance/Legal, IT-Security, BCM, Objektschutz / Facility, Betrieb, Kommunikation / PR). Klare Owner- und Eskalationswege.
  • Daten- und Nachweisbasis schaffen: Asset-/Standortübersicht, Abhängigkeiten (Strom, TK, Lieferketten), kritische Komponenten / IT-Bezug, bestehende Notfall-/ Krisenpläne, bestehende Verträge / SLAs.
  • Risikoanalyse & Resilienzmaßnahmen integrieren: Führen Sie eine integrierte Betrachtung durch (cyber-physisch), damit Hybrid-Szenarien nicht „zwischen zwei Stühlen“ landen.
  • Resilienzplan als Steuerungsartefakt nutzen: Nicht als Papierübung behandeln, sondern als Dokument, das Maßnahmen, Verantwortlichkeiten, Tests/Übungen und Wiederanlauf priorisiert.
  • Meldewesen & externe Kommunikation vorbereiten: Meldeprozesse (24h), Vorlagen, Zuständigkeiten, sichere Kommunikationswege. Parallel die Website / Presseinfos darauf prüfen, ob sie sensible Sicherheitsdetails offenlegen (politisch ausdrücklich adressiert).​

Wie ist die Beziehung zur NIS2-Umsetzung und zur DIN / ISO 27001?

Das KRITIS-DachG ist als Ergänzung zu NIS2 bzw. den IT-sicherheitsrechtlichen Pflichten im BSI-Umfeld zu verstehen: NIS2 adressiert primär Cybersicherheit, das Dachgesetz primär physische Resilienz. In hochvernetzten Infrastrukturen greifen beide Ebenen jedoch ineinander (z. B. Notstrom/Redundanzen, Zutritts- und Perimeterschutz, Betriebsprozesse, Abhängigkeiten sowie hybride cyber-physische Szenarien). 

Es wurde versucht eine Doppelregulierung mit NIS2 zu vermeiden. Dieses ist nur teilweise gelungen.

Das Risiko: Doppelarbeit bei Analysen, Nachweisen und Meldungen, insbesondere wenn Organisationen Cyber- und physische Resilienz in getrennten Silos umsetzen. 
Die Chance: ein integriertes Governance- und Nachweissystem, das beide Perspektiven (Cyber und physisch/organisatorisch) konsistent zusammenführt und dadurch Reibungsverluste reduziert. Leider ist dieses Stand Februar 2026 nicht gelöst.

NIS2 fokussiert digitales Risikomanagement und Meldeprozesse für wesentliche / wichtige Einrichtungen, während das KRITIS-DachG Resilienz gegen All-Gefahren-Lagen (z. B. Sabotage, Naturereignisse, Unfälle) priorisiert und hierfür ein eigenes Aufsichts- und Kooperationsgefüge vorsieht (im DachG-Kontext mit dem BBK als zentraler Stelle und Schnittstellen zum BSI im IT-Bezug).
In der Praxis sind abgestimmte Registrierungs- und Meldeprozesse zwischen den zuständigen Stellen zwar vorgesehen, eine „ganzheitliche“ Integration ist jedoch nicht automatisch gegeben. Das kann zu parallelen Nachweisen (cyber vs. physisch/organisatorisch) und zu nebeneinander laufenden Meldeabläufen mit sehr kurzen Erstfristen führen (im KRITIS-DachG ausdrücklich binnen 24 Stunden – trotz abweichender Regelung „innerhalb der Geschäftszeiten“ in NIS2). Auch die Betroffenheitslogik unterscheidet sich typischerweise: NIS2 arbeitet stärker entlang Einrichtungstypen/Sektoren und Größen-/Relevanzkriterien, das Dachgesetz stärker entlang Versorgungswirkung/Schwellenwerten (in der Praxis häufig entlang der 500.000er-Systematik).

Was bedeutet das für betroffene Firmen?

Für betroffene Unternehmen bedeutet das meist ein hybrides Managementsystem mit geteilten Nachweisen (z. B. ISMS für Cyber/NIS2 plus BCM/Resilienz-Strukturen für physische und organisatorische Resilienz), verbunden mit spürbarem bürokratischem Mehraufwand, wenn Nachweise und Prozesse nicht konsequent integriert werden.​

Aus dem KRITIS-DachG ergeben sich insbesondere:

  • Physische und organisatorische Mindestanforderungen (z. B. Notfall-/Krisenorganisation, Objektschutz, Maßnahmenplanung, Übungen/Reviews).​
  • Bundeseinheitliche Identifizierung/Registrierung und Meldepflichten für erhebliche Vorfälle im Sinne des Dachgesetzes (typisch physisch/organisatorisch; hybride Lagen eingeschlossen).​
  • Erhöhte Verantwortlichkeit und Haftungsrisiken für die Geschäftsleitung aus Organisations- und Compliance-Pflichten.
  • Restrisiken aus Abgrenzungsfragen (z. B. bei cyber-physischen Angriffen), Abhängigkeiten von staatlichen Lagebildern/Risikobewertungen und noch nicht vollständig harmonisierten Umsetzungsdetails im Zusammenspiel CER vs. NIS2.​

Zusätzlich ergibt sich eine Überschneidung zur DIN/ISO 27001: Ein ISMS nach ISO/IEC 27001 ist ein sehr guter organisatorischer Rahmen für cyberbezogene Anforderungen (z. B. NIS2-nahe Risikosteuerung und Nachweisführung), reicht für die physischen Resilienzpflichten des KRITIS-DachG allein aber nicht aus und sollte deshalb um Resilienz-/BCM-Bausteine (z. B. ISO 22301-orientiert) ergänzt werden. Wichtig: Eine Zertifizierung kann Nachweisführung erleichtern und Reife erhöhen, schützt aber nicht per se vor Bußgeldern, wenn konkrete Pflichten/Nachweise gegenüber der Behörde nicht erfüllt werden.

 

Fazit:

Das KRITIS-Dachgesetz soll Resilienz stärken, erhöht aber kurzfristig den Umsetzungs- und Dokumentationsdruck, besonders dort, wo NIS2 und physische Resilienz „gleichzeitig“ organisiert werden müssen.

Wenn Sie neu mit der Gesamtimplementierung beginnen, sind sie in der komfortablen Situation, dass Sie Synergieeffekte nutzen können, beispielsweise eine ISO 27001 Zertifizierung vorbereiten. Sollten Sie bereits aktiv NIS2 oder auch bereits die 27001 umgesetzt haben, stehen Ihnen bedauerlicherweise Mehraufwände und Dopplungen bevor.

Betreiber sollten jetzt Betroffenheit und Programmstruktur klären, weil Risikoanalyse, Resilienzplanung, Übungen und Meldeprozesse nicht „in wenigen Wochen“ sauber aufgesetzt werden können.
Sie haben noch Herausforderungen zu bewältigen beim Definieren, der detaillierten Anforderungen? Sie benötigen Unterstützung bei der konzeptionellen Migration? Sprechen Sie uns an!