Der regulatorische „Rundum-Schutz“ kommt
Am 29. Januar wurde das KRITIS-Dachgesetz (KRITIS-DachG) vom Bundestag verabschiedet. Der Gesetzgebungsprozess befindet sich damit auf der Zielgeraden. Betroffene Unternehmen müssen sich nun darauf einstellen, weitreichende gesetzliche Mindestvorgaben einzuhalten, um die von ihnen betriebenen Anlagen gegen physische und organisatorische Bedrohungen zu schützen. Das Gesetz zielt auf einen physischen „All-Gefahren-Ansatz“ (Naturkatastrophen, Sabotage, Terror) ab und füllt damit die Lücke zur bereits mit dem BSIG regulierten Cybersicherheit. Unternehmen, die unter das KRITIS-DachG fallen, fallen auch unter das BSIG und müssen damit auch die Vorgaben der NIS2-Richtlinie umsetzen.
Betroffene Unternehmen
Betroffen sind Betreiber kritischer Anlagen, die essenzielle Dienste für die Bevölkerung erbringen. Festgemacht wird die “Kritikalität” der Anlage am erbrachten Versorgungsgrad. Anlagen in den nachfolgenden Sektoren fallen nur bei Erreichen bestimmter Versorgungs-Schwellenwerte unter das KRITIS-DachG:
- Energie
- Transport & Verkehr
- Finanz- und Sozialversicherungswesen
- IT & Telekommunikation
- Weltraumbodeninfrastruktur
- Öffentliche Verwaltung
Die vorgenannten Sektoren fallen in die Zuständigkeit des Bundes. Dieser hat festgelegt, dass Unternehmen grds. ab einer Schwelle von 500.000 zu versorgenden Einwohnern unter das KRITIS-DachG fallen sollen.
- Gesundheitswesen
- Trinkwasser & Abwasser
- Ernährung
- Siedlungsabfallentsorgung
Diese Sektoren fallen in die Zuständigkeit der Länder. Das Bundesinnenministerium legt per Verordnung Regeln fest, nach denen die Länder entscheiden können, ob bestimmte Anlagen dieser Sektoren als kritisch gelten und dem KRITIS-DachG unterfallen, auch wenn sie die "normalen" Schwellenwerte (über 500.000 Versorgte) nicht erfüllen.
Kernpflichten aus dem KRITIS-DachG
- Registrierung & Kontakt: Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) unter Benennung eines jederzeit erreichbaren Ansprechpartners über ein gemeinsames Portal von BBK und BSI. Dabei müssen auch zum Einsatz kommende kritische Komponenten gemeldet werden.
- Meldepflichten: Erhebliche Vorfälle müssen innerhalb von 24 Stunden an das BBK gemeldet werden. Neu: Das Amt muss dem Betreiber nun unverzüglich „sachdienliche Folgeinformationen“ (z. B. Handlungsempfehlungen, Warnungen) übermitteln, um ihn bei der Bewältigung zu unterstützen.
- Prävention: Umsetzung von TOMs (Zutrittskontrollen, Notstrom, Krisenstäbe) nach dem „All-Gefahren-Ansatz“.
- Prüfung und Nachweise: Die Behörden prüfen risikobasiert (keine starren Regel-Intervalle). Um Doppelarbeit zu sparen, werden IT-Sicherheits-Audits vom BSI anerkannt und abgerufen.
- Ausnahmen: Die Sektoren Finanzwesen sowie IT und Telekommunikation sind von speziellen Regelungen wie DORA bzw. NIS-2/BSIG betroffen. Daher müssen sie nur der Registrierungspflicht nachkommen und sind von den Melde-, Präventions- und Nachweispflichten befreit. Für die Bereiche Siedlungsabfallentsorgung und Sozialversicherung gilt eine besondere Rückausnahme: Betreiber dieser Sektoren sind von den meisten operativen Vorgaben ausgenommen, müssen jedoch verpflichtend alle vier Jahre eine Risikoanalyse gemäß § 12 durchführen
Management-Haftung und Sanktionen
Wie auch das BSIG normiert das KRITIS-DachG eine persönliche Verantwortung der Geschäftsleitung (§ 20). Die Haftung folgt primär dem Gesellschaftsrecht (§ 43 GmbHG / § 93 AktG). Bei Verstößen gegen das KRITIS-DachG drohen Bußgelder von bis zu 1 Million Euro.
Ausblick
Das Gesetzgebungsverfahren wird voraussichtlich im März 2026 beendet. Danach bleiben betroffenen Unternehmen mindestens 12-13 Monate Zeit, um die neuen Pflichten umzusetzen.
