KRITIS-Dachgesetz

Unternehmen im Bereich kritischer Infrastruktur

KRITIS-Dachgesetz

Geschäftsführer, Sicherheitsverantwortliche, Standortleiter und viele mehr stehen angesichts neuer Bedrohungen und steigender Anforderungen im Bereich Sicherheit und Resilienz vor zahlreichen Herausforderungen. In Deutschland spielt dabei der Schutz sogenannter „kritischer Infrastrukturen“ (KRITIS) eine besonders wichtige Rolle, denn Unternehmen im Bereich von KRITIS bilden das Rückgrat unserer Gesellschaft. Um diesen Schutz auf eine einheitliche rechtliche Basis zu stellen, hat das Bundeskabinett den Entwurf eines Gesetzes zur Stärkung der Resilienz kritischer Anlagen – das sogenannte KRITIS-Dachgesetz – auf den Weg gebracht. Doch was verbirgt sich eigentlich dahinter?

Was steckt hinter dem KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz ist ein Entwurf, der vom Bundeskabinett auf den Weg gebracht wurde und die Resilienz kritischer Anlagen gezielt stärken soll. Bisher existieren bereits verschiedene sektorspezifische Regelungen (z. B. im Energiesektor oder im Wasserbereich). Mit dem Dachgesetz soll jedoch ein einheitlicher und umfassender rechtlicher Rahmen geschaffen werden, der für alle kritischen Infrastrukturen gleichermaßen gilt.

Alle denkbaren Risiken – seien sie durch die Natur (z. B. Unwetter), durch technische oder menschliche Fehler oder durch gezielte kriminelle Handlungen bedingt – sollen betrachtet und Betreiber dazu verpflichtet werden, angemessene Schutzmaßnahmen zu ergreifen.

Im Kern geht es um:

  1. Bundesweite Identifizierung kritischer Anlagen: Betreiber werden erfasst und klassifiziert.
  2. Einrichtung eines Störungsmonitorings: Sicherheitsrelevante Vorfälle müssen gemeldet und ausgewertet werden.
  3. Risikoanalysen: Sowohl Betreiber als auch staatliche Stellen führen regelmäßige Prüfungen durch.
  4. Mindestvorgaben für Resilienzmaßnahmen: Physische und digitale Sicherheitsstandards werden vereinheitlicht, sodass Unternehmen Naturkatastrophen, technischen Pannen, menschlichem Versagen und Sabotage möglichst robust begegnen können.

Warum ist das KRITIS-Dachgesetz wichtig?

Die Bundesregierung verfolgt mit dem KRITIS-Dachgesetz vor allem das Ziel, Deutschland besser auf Katastrophen und Sicherheitsrisiken vorzubereiten. Zwar existierten bisher in verschiedenen Branchen separate Regelwerke, jedoch fehlte ein übergreifendes Gesetz, das für Rechtssicherheit und einheitliche Standards sorgt. Das Dachgesetz soll:

1. Bundesweit festzulegen, welche Unternehmen und Einrichtungen Teil der kritischen Infrastruktur sind 


Bisher gab es keine einheitliche, bundesweite Definition, die eindeutig bestimmt, was genau unter KRITIS fällt. Dieser Mangel an Klarheit kann dazu führen, dass essenzielle Bereiche übersehen oder nicht ausreichend geschützt werden. Durch das KRITIS-Dachgesetz soll eine verbindliche und umfassende Liste erstellt werden, sodass Betreiber genau wissen, ob sie unter die Regelungen fallen.


Während das Thema IT-Sicherheit in den letzten Jahren verstärkt in den Fokus gerückt ist, fehlte es oftmals an klaren Vorgaben für physische Sicherheitsmaßnahmen. Das KRITIS-Dachgesetz soll nun Mindestanforderungen für bauliche, organisatorische und personelle Schutzmaßnahmen definieren. Damit soll sichergestellt werden, dass kritische Anlagen robust genug sind, um verschiedene Szenarien – von Naturkatastrophen über Sabotage bis hin zu Terrorakten oder menschlichem Versagen – abzufedern.


Ein wesentliches Element des Entwurfs besteht darin, dass Betreiber kritischer Infrastrukturen sicherheitsrelevante Vorfälle (z. B. Schäden, Störungen, Sabotageakte) melden müssen. Dieses Störungsmonitoring erlaubt den zuständigen Behörden, schneller zu reagieren und Trends oder Muster frühzeitig zu erkennen. So soll ein besseres Lagebild entstehen, das alle Beteiligten bei der Prävention und schnellen Intervention unterstützt.


Aktuell gelten in verschiedenen Branchen unterschiedliche Anforderungen. Das führt nicht nur zu Verwirrung bei Betreibern, sondern kann auch zu Lücken im Schutz kritischer Infrastrukturen führen. Mit dem Dachgesetz werden nun übergreifende Vorgaben formuliert, an denen sich alle sektorenübergreifend orientieren können.


Das Bundesinnenministerium betont, dass Betreiber sämtlicher relevanter Einrichtungen jedes denkbare Risiko berücksichtigen müssen – von Naturkatastrophen über Stromausfälle und Cyberangriffe bis hin zu gezielten Sabotageakten. Diese ganzheitliche Betrachtung dient dazu, dass keine potenzielle Gefahr übersehen wird und dass Maßnahmen zur Steigerung der Resilienz breit angelegt sind. 

Welche Unternehmen fallen unter das Gesetz?

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) erstrecken sich kritische Infrastrukturen auf zehn verschiedene Sektoren: 

KRIRIS Betroffene Unternehmen Energie IT Telekommunikation Transport Verkehr Gesundheit Medien Kultur
KRIRIS Betroffene Unternehmen Wasser Ernährung FInanzwesen Versicherungswesen Siedlungsabfallentsorgung Staat Verwaltung

Grundsätzlich gilt: Wer in einem dieser Sektoren tätig ist, gehört potenziell zu den KRITIS-Unternehmen. Allerdings nimmt das BSI über die BSI-Kritisverordnung (BSI-KritisV) noch eine genauere Einordnung vor. Dort werden Schwellenwerte definiert, ab denen ein Unternehmen offiziell als KRITIS-Betrieb eingestuft wird. So kann es beispielsweise sein, dass ein Wasserwerk eine bestimmte Liefermenge oder ein Krankenhaus eine bestimmte Patientenzahl erreichen muss, um unter die KRITIS-Definition zu fallen. 

Im Klartext bedeutet das: Nicht jedes Unternehmen in den genannten Branchen ist automatisch KRITIS. Entscheidend sind die konkrete Größe, die Leistungsfähigkeit und vor allem die Bedeutung für die Versorgungssicherheit in Deutschland. Resilienzmaßnahmen einleiten zu können. 

Sichern Sie jetzt Ihre kritische Infrastruktur gemeinsam mit der Realtec-Systems ab.

Beratungstermin vereinbaren

Wann tritt das KRITIS-Dachgesetz in Kraft?

Der Gesetzentwurf für das sogenannte „KRITIS-Dachgesetz“ (20/13961) wurde am 5. Dezember 2024 vom Parlament in erster Lesung beraten. Nach der ersten Beratung wurde der Entwurf an die zuständigen Ausschüsse – allen voran den Ausschuss für Inneres und Heimat – zur weiteren Diskussion und Ausarbeitung überwiesen. Ursprünglich war geplant, das Gesetz bereits im Frühling 2024 zu verkünden. Aufgrund von Verzögerungen ist nun allerdings davon auszugehen, dass das KRITIS-Dachgesetz erst 2025 in Kraft treten wird. 

Was bedeutet das KRITIS-Dachgesetz für betroffene Unternehmen?

Durch die neuen Regelungen des KRITIS-Dachgesetzes wird das allgemeine Schutzniveau für Betreiber kritischer Infrastrukturen (KRITIS) in Deutschland deutlich angehoben. Unternehmen in den betroffenen Sektoren müssen daher mit verschiedenen betrieblichen und organisatorischen Änderungen rechnen, um den Anforderungen gerecht zu werden. Dazu zählt, Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherzustellen.

Erhöhte Sicherheits- und Resilienzanforderungen 

 

  • Kontinuierliche Überwachung und Anomalieerkennung: Betreiber sollen frühzeitig auf Unregelmäßigkeiten reagieren können. Dazu gehören etwa intelligente Sensorsysteme, die Ausfälle oder Sabotageversuche erkennen. 
  • Physischer Schutz: Zugangs- und Zutrittskontrollen, Alarmanlagen sowie bauliche Sicherheitsmaßnahmen müssen modernisiert und auf einen einheitlich hohen Standard gebracht werden. 
  • Erweiterte Cybersecurity-Maßnahmen: Neben Firewalls und Intrusion-Detection-Systemen bedarf es konsistenter Notfallkonzepte, um digitale Angriffsflächen zu minimieren. So können Betriebsabläufe bei einem Cyberangriff schnell wiederhergestellt werden. 

  • Dokumentation von Maßnahmen, Audits und Vorfällen: Unternehmen müssen ihre Sicherheitsprozesse gründlich festhalten und Audits in regelmäßigen Abständen durchführen. Diese Dokumentation dient als Nachweis gegenüber Aufsichtsbehörden und trägt zur Identifikation von Verbesserungspotenzial bei. 
  • Meldepflicht für Störungen und Sicherheitsvorfälle: Sobald ein sicherheitsrelevanter Vorfall eintritt (z. B. Brandanschlag, Cyberangriff, Überschwemmung), ist dieser umgehend an die zuständigen Behörden zu melden. Dies ermöglicht eine schnellere Reaktion und erleichtert das Sammeln von Informationen über die Art und Häufigkeit von Gefahren. 


Betreiber kritischer Infrastrukturen sind verpflichtet, sämtliche Risiken einzubeziehen – von Naturkatastrophen und klimabedingten Extremsituationen über menschliches Versagen bis hin zu Terrorismus und Sabotage.


Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und weitere Aufsichtsbehörden behalten die Einhaltung der Vorgaben genau im Blick. 

Bußgelder und Imageverlust: Bei Verstößen drohen nicht nur finanzielle Sanktionen, sondern im Ernstfall auch ein erheblicher Reputationsschaden. Gerade für KRITIS-Betriebe kann ein Vertrauensverlust weitreichende Folgen haben. 


Unternehmen sind gefordert, ihre Mitarbeiter regelmäßig zu schulen, damit diese Sicherheitsrisiken erkennen und in Notfallsituationen wissen, wie zu reagieren ist. 

Viele Betriebe werden dafür zusätzliche Ressourcen einplanen müssen – etwa Fachpersonal für IT-Sicherheit oder bauliche Umrüstungen zur physischen Absicherung. 

Unser Fazit

Das KRITIS-Dachgesetz setzt neue Maßstäbe für den Schutz kritischer Infrastrukturen in Deutschland. Angesichts der zunehmend komplexen Bedrohungslage – von Cyberangriffen bis hin zu physischen Gefahren – ist ein sektorenübergreifendes Vorgehen unerlässlich. Indem es Mindeststandards festlegt und Betreiber zu umfassenden Risikoanalysen und Meldepflichten verpflichtet, stärkt das Dachgesetz nicht nur die Resilienz einzelner Unternehmen, sondern trägt auch zur Stabilität unserer Gesellschaft insgesamt bei. 

Unternehmen sollten die neuen Anforderungen nicht als bloße Pflichtübung verstehen, sondern als Gelegenheit, ihr Sicherheitsniveau dauerhaft zu erhöhen. Moderne Technologien zur Dokumentation, Zutrittskontrolle und Videoüberwachung können den Schutz verbessern und gleichzeitig Vertrauen bei Kunden und Partnern schaffen. Wer frühzeitig investiert und sein Sicherheitssystem anpasst, profitiert von einer nachhaltig gesteigerten Compliance, erhöhter operativer Stabilität und einer klaren Wettbewerbsvorteil: dem guten Gefühl, auch in Krisensituationen handlungsfähig zu bleiben. 

Maßstäbe für den Schutz kritischer Infrastrukturen. Mit sektorenübergreifenden Mindeststandards und klaren Meldepflichten sollen Betreiber widerstandsfähiger gegen Bedrohungen werden – ein Gewinn für Unternehmen und Gesellschaft. 

In Zeiten wachsender Unsicherheit lohnt es sich, die neuen Anforderungen als Chance zu sehen: Wer sein Sicherheitsniveau frühzeitig modernisiert und klar dokumentiert, sichert sich nicht nur rechtlich ab, sondern gewinnt auch Vertrauen bei Kunden und Partnern. 

Sichern Sie jetzt Ihr Unternehmen mit einer Sicherheitslösung der Realtec-Systems ab.​​

Beratungstermin vereinbaren
zur Übersicht
TAGS :

Über uns

Unsere Leistungen

Branchen

Rechtliches

Facebook Instagram Linkedin
Realtec Systems Zertifizierungen

© 2025 | Realtec-Systems Deutschland GmbH