Seite wählen
Einfach erklärt

KRITIS Dachgesetz

Das KRITIS-Dachgesetz (offiziell: Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen) ist ein deutsches Bundesgesetz, das im Juli 2024 verabschiedet wurde und die bisherigen, sektorspezifischen Regelungen für kritische Infrastrukturen (KRITIS) unter einem einheitlichen Rechtsrahmen bündelt.

KRITIS-konforme Sicherheitslösungen
DIN 77200-2 & ISO 27001 zertifiziert

Es setzt die europäische CER-Richtlinie (Critical Entities Resilience Directive) in nationales Recht um und ersetzt bzw. ergänzt bisherige Regelungen im IT-Sicherheitsgesetz 2.0 und anderen sektorspezifischen Vorschriften.

Zielsetzung und Hintergrund

Das KRITIS-Dachgesetz verfolgt das Ziel, die Widerstandsfähigkeit (Resilienz) kritischer Einrichtungen in Deutschland gegen physische und cyber-physische Bedrohungen zu erhöhen. Anders als bisherige Regelungen, die primär auf IT-Sicherheit fokussiert waren, umfasst das Dachgesetz explizit auch den physischen Schutz von Anlagen, Personal und Infrastruktur.

Hintergrund ist die zunehmende Bedrohung durch:

  • Terroristische Anschläge und Sabotage
  • Naturkatastrophen und Extremwetterereignisse
  • Technisches Versagen und Unfälle
  • Hybrid-Bedrohungen (kombinierte physische und Cyber-Angriffe)

Zentrale Inhalte und Anforderungen

Das Gesetz definiert kritische Anlagen (früher: KRITIS-Betreiber) neu und erweitert den Kreis der verpflichteten Unternehmen. Zu den zentralen Pflichten gehören:

  • Resilienzpläne: Erstellung und regelmäßige Aktualisierung von Konzepten zur Vorbeugung, Bewältigung und Wiederherstellung nach Störfällen
  • Risikoanalysen: Systematische Bewertung physischer und digitaler Bedrohungen
  • Physische Sicherheitsmaßnahmen: Zugangskontrollen, Perimeterschutz, Videoüberwachung, Sicherheitspersonal
  • Meldepflichten: Unverzügliche Meldung von Vorfällen an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
  • Dokumentationspflichten: Nachweis der umgesetzten Schutzmaßnahmen

Betroffene Sektoren

Das KRITIS-Dachgesetz gilt für Betreiber kritischer Anlagen in folgenden Sektoren:

  • Energie (Strom, Gas, Mineralöl, Fernwärme)
  • Wasser (Trinkwasser, Abwasser)
  • Ernährung (Lebensmittelproduktion und -versorgung)
  • Informationstechnik und Telekommunikation
  • Gesundheit (Krankenhäuser, Arzneimittelversorgung)
  • Finanz- und Versicherungswesen
  • Transport und Verkehr
  • Medien und Kultur (neu hinzugekommen)
  • Öffentliche Verwaltung (teilweise)

Die konkrete Schwellenwertfestlegung erfolgt über Rechtsverordnungen der zuständigen Bundesministerien.

Abgrenzung zu verwandten Regelungen

Das KRITIS-Dachgesetz steht nicht isoliert, sondern bildet zusammen mit anderen Regelwerken ein Gesamtsystem:

  • IT-Sicherheitsgesetz 2.0: Fokus auf digitale Infrastrukturen und Cybersicherheit; wird durch das Dachgesetz ergänzt, nicht ersetzt
  • NIS-2-Richtlinie / NIS-2-Umsetzungsgesetz: EU-weite Cybersicherheitsanforderungen für wichtige und besonders wichtige Einrichtungen
  • Sektorspezifische Verordnungen: Energiewirtschaftsgesetz (EnWG), Wassersicherheitsgesetz etc. – bleiben teilweise bestehen, werden aber harmonisiert

Während frühere Regelungen stark auf IT-Sicherheit fokussiert waren, schafft das KRITIS-Dachgesetz erstmals einen ganzheitlichen Ansatz, der physische und digitale Sicherheit integriert betrachtet.

Aufsicht und Sanktionen

Die Aufsicht über die Einhaltung des KRITIS-Dachgesetzes liegt beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie bei sektorspezifischen Aufsichtsbehörden. Bei Verstößen drohen:

  • Bußgelder bis zu mehreren Millionen Euro
  • Anordnungen zur Nachbesserung von Schutzmaßnahmen
  • Im Extremfall: Betriebsuntersagungen

Praktische Umsetzung

Die Umsetzung des KRITIS-Dachgesetzes erfordert von betroffenen Unternehmen einen systematischen Ansatz:

  1. Statusfeststellung: Prüfung, ob und in welchem Umfang das Unternehmen betroffen ist
  2. Risikoanalyse: Identifikation physischer und digitaler Bedrohungen
  3. Maßnahmenplanung: Entwicklung eines Resilienzkonzepts
  4. Technische und organisatorische Umsetzung: Installation von Sicherheitstechnik, Beauftragung von Sicherheitsdiensten, Schulung von Personal
  5. Dokumentation und Reporting: Nachweisführung gegenüber Aufsichtsbehörden

Viele Unternehmen setzen dabei auf externe Expertise durch spezialisierte Sicherheitsdienstleister, die sowohl technische als auch personelle Sicherheitslösungen anbieten.

Bedeutung für die Sicherheitsbranche

Das KRITIS-Dachgesetz stellt erheblich erweiterte Anforderungen an professionelle Sicherheitsdienstleistungen. Gefordert sind nicht mehr nur klassische Wach- und Schließdienste, sondern integrierte Sicherheitskonzepte, die physischen Schutz, technische Systeme und Notfallmanagement verbinden.

Sicherheitsdienstleister, die KRITIS-Betreiber betreuen, müssen in der Regel über erweiterte Qualifikationen verfügen, beispielsweise:

  • DIN 77200-Zertifizierung (insbesondere Teil 2 für besondere Einsatzbereiche)
  • Zuverlässigkeitsüberprüfungen des eingesetzten Personals
  • Spezialisierte Schulungen für KRITIS-spezifische Bedrohungsszenarien
  • Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 – häufig gefordert für die Dokumentation und Auditierung von Schutzmaßnahmen
  • Integration in Notfall- und Krisenmanagementsysteme der Auftraggeber

Weiterführende Themen und Leistungen

Das KRITIS-Dachgesetz erfordert umfassende Sicherheitskonzepte. Mehr Informationen zu spezifischen Leistungsbereichen finden Sie hier:

Wie hilfreich war diese Seite?

Klicke auf die Sterne um zu bewerten

Durchschnittliche Bewertung / 5. Anzahl Bewertungen:

Bislang keine Bewertungen! Seien Sie der Erste, der diese Seite bewertet.

Es tut uns leid, dass dieser Beitrag für Sie nicht nützlich war!

Lasse uns diesen Beitrag verbessern!

Wie können wir diesen Beitrag verbessern?