Sicherheit

KRITIS-Dachgesetz: Was Unternehmen jetzt wissen und tun müssen

Das „Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen“ (KRITIS‑Dachgesetz) setzt die EU‑Richtlinie 2022/2557 in deutsches Recht um und stärkt den Schutz systemrelevanter Einrichtungen. Es legt fest, wer als Betreiber kritischer Anlagen gilt, welche Pflichten bestehen und welche Behörden zuständig sind.

Worum geht es?

Ziel ist, Ausfälle kritischer Dienstleistungen zu verhindern, sich vor Vorfällen zu schützen, angemessen zu reagieren und die Leistung zügig wiederherzustellen. Betreiber müssen hierfür verhältnismäßige technische, organisatorische und sicherheitsbezogene Maßnahmen nach dem Stand der Technik treffen und dies in einem Resilienzplan dokumentieren (§ 13 Abs. 1–4). Sektorenübergreifende und sektorspezifische Mindestanforderungen sowie branchenspezifische Standards können per Verordnung bzw. Feststellung konkretisiert werden (§ 14). Vorfälle mit erheblichen Auswirkungen sind unverzüglich, spätestens binnen 24 Stunden, zu melden; spätestens nach einem Monat ist ein ausführlicher Bericht zu übermitteln (§ 18 Abs. 1–2).

Welche Unternehmen sind betroffen?

Das Gesetz gilt für Betreiber kritischer Anlagen in den Sektoren
  • Energie,
  • Transport und Verkehr,
  • Finanzwesen,
  • Sozialversicherung/Grundsicherung,
  • Gesundheitswesen,
  • Wasser,
  • Ernährung,
  • Informationstechnik und Telekommunikation,
  • Weltraum und
  • Siedlungsabfallentsorgung (§ 4 Abs. 1).
Ob eine Anlage „kritisch“ ist, wird künftig per Rechtsverordnung zu kritischen Dienstleistungen (§ 4 Abs. 3) und zu Schwellenwerten des Versorgungsgrads festgelegt; als Regelwert gilt die Versorgung von grundsätzlich 500.000 Einwohnern (§ 5 Abs. 1–2). Abweichende Einzelfeststellungen sind möglich (§ 5 Abs. 3–6). Ausnahmen gelten u. a. für vom DORA‑Regime erfasste Finanzunternehmen sowie für bestimmte Bereiche der IT/TK, Entsorgung und Sozialversicherung (§ 4 Abs. 2).

Was ist konkret zu tun?

  • Registrierung:
    Spätestens drei Monate, nachdem eine Anlage als kritisch gilt – frühestens jedoch bis einschließlich 17.07.2026 – Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) über die gemeinsame Registrierungsmöglichkeit nach dem BSI‑Gesetz; mit den gesetzlich geforderten Angaben und laufenden Aktualisierungspflichten (§ 8 Abs. 1, 6). Der Beginn weiterer Pflichten knüpft an die Registrierung an (§ 8 Abs. 7).
  • Risikoanalyse:
    Mindestens alle vier Jahre eine eigene Risikoanalyse und ‑bewertung erstellen und fortschreiben; das BMI kann methodische Vorgaben, Vorlagen und Muster festlegen (§ 12 Abs. 1, 3).
  • Resilienzmaßnahmen und ‑plan:
    Angemessene Maßnahmen treffen, die Zweck‑Mittel‑Abwägung dokumentieren und im Resilienzplan aktuell halten; das BBK wird Vorlagen/Muster bereitstellen (§ 13 Abs. 2–5).
  • Meldepflicht:
    Vorfälle mit erheblichen Auswirkungen unverzüglich, spätestens binnen 24 Stunden melden; Folgeberichte und Informationsaustausch beachten (§ 18).
  • Nachweise/Aufsicht:
    Auf Verlangen Nachweise (z. B. Resilienzplan, Auditergebnisse) vorlegen; Behörden können Überprüfungen anordnen, Mängelbeseitigungspläne verlangen und unabhängige Dritte einsetzen (§ 16 Abs. 2–5, 8).
  • Geschäftsleitungspflichten:
    Geschäftsleitungen müssen die Umsetzung der Resilienzmaßnahmen organisieren und überwachen; bei Pflichtverletzung gilt die Haftung nach den einschlägigen gesellschaftsrechtlichen Regeln (§ 20).

Fristen und Übergang

Die Pflichten zur Risikoanalyse greifen erstmals neun Monate, die Pflichten zu Resilienzmaßnahmen, Meldewesen und Geschäftsleitung erstmals zehn Monate nach der Registrierung (§ 8 Abs. 7). Bestimmte Anwendungsbestimmungen sind an das Inkrafttreten der Rechtsverordnungen zu Sektoren/Dienstleistungen und Schwellenwerten gekoppelt (§ 26).

Sanktionen

Verstöße gegen Registrierungs‑, Nachweis‑ und Mitwirkungspflichten können als Ordnungswidrigkeit geahndet werden: bis zu 1 Mio. Euro (z. B. bei Nichtbefolgung bestimmter Anordnungen), bis zu 500.000 Euro (u. a. für Nichtübermittlung von Auditergebnissen), ansonsten bis zu 200.000 bzw. 100.000 Euro (§ 25 Abs. 2 i. V. m. § 25 Abs. 1).

Zuständigkeiten und Aufsicht

Zentrale Anlaufstelle ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Je nach Sektor sind weitere Bundesbehörden zuständig, u. a. die Bundesnetzagentur (Strom, Gas, Wasserstoff, TK), die BaFin (bestimmte Finanzunternehmen) sowie die jeweils zuständigen Landesbehörden; die Länder benennen zudem zentrale Ansprechpartner (§ 3 Abs. 2, 5–7).

Weitere Informationen

  • Das BBK wird Vorlagen, Muster und Leitlinien zur Umsetzung der Pflichten sowie Details zum Melde‑ und Registrierungsverfahren auf seiner Website veröffentlichen (§ 18 Abs. 3; § 19 Abs. 1; § 8 Abs. 8). Allgemeine Informationen zum Risikomanagement finden Sie dort bereits.
  • Unternehmen sollten die Rechtsverordnungen zu kritischen Dienstleistungen und Schwellenwerten im Blick behalten und frühzeitig Prozesse für Registrierung, Risikoanalyse, Resilienzplan, Meldewesen und Nachweise aufsetzen (§ 4 Abs. 3; § 5 Abs. 1–2; § 26).