Der Deutsche Bundestag hat das KRITIS-Dachgesetz beschlossen. Damit entsteht erstmals ein sektorübergreifender, bundesweit einheitlicher Rechtsrahmen, der die Resilienz und den physischen Schutz kritischer Infrastruktur systematisch stärkt.
Der politische Hintergrund ist eindeutig: Die Bedrohungslage reicht längst über klassische IT-Risiken hinaus. Sabotage, Extremismus, Terror, Naturereignisse und die wachsende Abhängigkeit von wenigen, hochvernetzten Knotenpunkten machen Versorgungssicherheit zur Sicherheitsfrage. Das Gesetz setzt dabei die EU-CER-Richtlinie (EU 2022/2557) zur Resilienz kritischer Einrichtungen in deutsches Recht um.
Mit dem KRITIS-Dachgesetz wird festgelegt, welche Unternehmen und Einrichtungen als kritische Infrastruktur gelten und welche Mindestanforderungen sie erfüllen müssen. Die Bundesregierung nennt dabei ausdrücklich die zusammengefassten Sektoren, darunter Energie, Transport/Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung sowie öffentliche Verwaltung.
Im Zentrum stehen drei Säulen:
1) Risikoanalysen und Risikobewertungen als Grundlage für physische Schutzmaßnahmen
2) Verbindliche Resilienz- und Schutzmaßnahmen für Betreiber, etwa Perimeterschutz, Zufahrts- und Zutrittskontrolle sowie weitere Maßnahmen.
3) Meldepflichten von sicherheitsrelevanten Vorfällen. Vorfälle sollen an eine gemeinsame Meldestelle von BBK und BSI gehen – spätestens binnen 24 Stunden. Ziel ist ein besseres Lagebild über Angriffe und Störungen, um Warnungen, Koordination und Aufsicht zu verbessern.
Deutlich verschärfte Bußgelder – bis zu 1 Million Euro
Ein entscheidender Hebel ist der Sanktionsrahmen: Die Bußgelder wurden deutlich angehoben. So betragen diese in schweren Fällen bis zu 1.000.000 Euro.
Öffnungsklausel: „Kritisch“ ist nicht nur, was groß ist – sondern auch, was unverzichtbar ist
Ein bundesweiter Schwellenwert (mehr als 500.000 betreffende Personen) kann in der Praxis zu hoch sein. Denn was in einem Ballungsraum austauschbar wirkt, kann im ländlichen Raum lebenswichtig sein. Genau hier setzt die Öffnungsklausel an: Sie ermöglicht, dass Länder auch kleinere Anlagen in den Anwendungsbereich ziehen können, wenn sie regional von besonderer Bedeutung sind.
Länder stärker eingebunden
Mit der Öffnungsklausel ist die Rolle der Länder mitgedacht: Sie erhalten mehr Einfluss auf die Frage, welche Einrichtungen regional als kritisch gelten und damit welche Betreiber Pflichten erfüllen müssen.
Für Betreiber kritischer Infrastrukturen bedeutet das KRITIS-Dachgesetz vor allem: Resilienz und physische Sicherheit werden verbindlich und müssen nachweisbar werden. Die wichtigsten Handlungsfelder lassen sich so zusammenfassen:
Für Betreiber ist klar: Die Anforderungen sollten jetzt umgesetzt werden – nicht nur, um Bußgelder und aufsichtsrechtliche Konsequenzen zu vermeiden, sondern vor allem, um physische Risiken und Angriffe wirksam zu verhindern. Wer Zugänge und Zufahrten konsequent kontrolliert, Schwachstellen an der Liegenschaft reduziert, klare Notfall- und Meldeprozesse etabliert und Maßnahmen regelmäßig überprüft, erhöht die Sicherheit im Alltag und bleibt im Ernstfall handlungs- und lieferfähig.