Sicherheit
KRITIS-Dachgesetz: Mehr Schutz – aber nicht ohne offene Fragen
Mit der Verabschiedung des KRITIS-Dachgesetzes (KRITISDachG) hat der Bundestag einen wichtigen und überfälligen Schritt zum Schutz kritischer Infrastrukturen in Deutschland getan. Das Gesetz setzt die EU-CER-Richtlinie um und reagiert auf reale Bedrohungen: Sabotage, Extremismus und Naturgefahren – und konkrete Ereignisse wie großflächige Stromausfälle zeigen, wie verwundbar unsere Versorgungssysteme sind.
Das KRITIS-DachG verpflichtet Betreiber kritischer Infrastrukturen zu umfassenden Resilienz- und Schutzmaßnahmen. Dazu zählen regelmäßige Risikoanalysen (mindestens alle vier Jahre), physische Sicherheitsvorkehrungen wie Zugangskontrollen, Zäune oder Notstromversorgung sowie etabliertes Risiko- und Krisenmanagement. Sicherheitsrelevante Vorfälle müssen unverzüglich, spätestens innerhalb von 24 Stunden, an eine gemeinsame Meldestelle von BBK und BSI gemeldet werden. Die Verantwortung liegt ausdrücklich bei der Geschäftsleitung; bei Verstößen drohen Bußgelder zwischen 100.000 und einer Million Euro.
Betroffen sind unter anderem die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Wasser, Abwasser, Ernährung, Abfallentsorgung, IT, Telekommunikation, Weltraum und öffentliche Verwaltung. Grundsätzlich gilt das Gesetz für Unternehmen, die mehr als 500.000 Menschen versorgen – wobei die Länder niedrigere Schwellenwerte festlegen können.
Aktueller Handlungsbedarf für Unternehmen:
Unternehmen in den betroffenen Sektoren sollten jetzt aktiv werden. Dazu gehören:
Unternehmen in den betroffenen Sektoren sollten jetzt aktiv werden. Dazu gehören:
- Status-Check: Einschätzung, ob das eigene Unternehmen unter das KRITIS-DachG fällt – besonders bei regionalen oder grenznahen Versorgungsschwellen.
- Risikomanagement: Aufbau oder Aktualisierung eines ganzheitlichen Risikomanagements inklusive physischer und digitaler Schutzmaßnahmen.
- Prozesse zur Meldung: Etablierung klarer interner Abläufe zur Erkennung, Bewertung und fristgerechten Meldung von Sicherheitsvorfällen.
- Ressourcenplanung: Schulung von Mitarbeitenden und Investitionen in Sicherheitstechnologien sowie Notfall- und Krisenpläne.
- Regulatorische Verzahnung: Abgleich vorhandener Compliance-Programme (z. B. NIS2-Anforderungen) mit den neuen KRITIS-Pflichten, um Doppelarbeit und Lücken zu vermeiden.
Genau hier beginnen jedoch die Unsicherheiten. Viele kleinere Versorger fallen zunächst nicht unter das Gesetz – was zwar Erleichterungen bringt, aber auch Orientierungslosigkeit. Zudem besteht die Gefahr einer uneinheitlichen Anwendung, da die Länder zusätzliche Anlagen definieren können. Ähnliche Unternehmen könnten künftig je nach Bundesland unterschiedlich reguliert werden.
Offen ist auch, wie sich das KRITIS-DachG in der Praxis mit bestehenden Vorgaben verzahnt. Überschneidungen und Mehrfachpflichten sind nicht ausgeschlossen. Ein weiterer kritischer Punkt sind Offenlegungspflichten, etwa in Genehmigungsverfahren, die sensible Informationen potenziell auch für Angriffe nutzbar machen.
Das KRITIS-Dachgesetz stärkt die Resilienz unserer kritischen Infrastruktur deutlich. Doch trotz dieses wichtigen Schrittes bleibt bei Umsetzung, Einheitlichkeit und dem Schutz sensibler Daten noch erheblicher Klärungsbedarf.
Weitere Informationen finden Sie hier auf der Seite der Bundesregierung:
Schutz kritischer Infrastruktur gestärkt | Bundesregierung
Schutz kritischer Infrastruktur gestärkt | Bundesregierung