Aktuelles
01. Dezember 2025
HFK Update: Physischer Schutz kritischer Infrastrukturen - Erste Lesung des Bundestages zum Entwurf des KRITIS-Dachgesetzes
Der Bundestag hat am 06.11.2025 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz - KRITISDachG) in erster Lesung beraten.
Zuvor hatte das Bundeskabinett den Gesetzesentwurf am 11.09.2025 beschlossen. Das KRITISDachG soll im Hinblick auf physische Maßnahmen zur Stärkung der Resilienz kritischer Anlagen erstmals einheitliche bundesgesetzliche sektorenübergreifende Mindestanforderungen normieren.
Der Schutz der IT-Sicherheit Kritischer Infrastrukturen ist bereits im BSI-Gesetz (BSIG) niedergelegt. Durch die Umsetzung der Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) mit dem NIS-2-Umsetzungsgesetz und durch die Verordnung (EU) 2022/2554 (DORA-Verordnung) werden die Regelungen zur Informationssicherheit für kritische Infrastrukturen weiterentwickelt. Das KRITISDachG wird neben diese Regelungen treten, soll aber gleichzeitig eine größtmögliche Kohärenz mit den künftigen Regelungen im Bereich der IT-Sicherheit von kritischen Anlagen und weiteren Einrichtungen vorsehen, indem die Schnittstellen zwischen den Bereichen berücksichtigt, angeglichen und – soweit möglich und sinnvoll – übereinstimmend ausgestaltet werden.
Während mit der Umsetzung der NIS-2-Richtlinie das bereits bestehende Regelungswerk zur Informationssicherheit erweitert wird, werden im Hinblick auf physische Resilienzmaßnahmen mit der Umsetzung der Richtlinie (EU) 2022/2557 (CER-Richtlinie) erstmals entsprechende Regelungen getroffen.
Das KRITISDachG hat die folgenden Schwerpunkte:
Identifizierung kritischer Anlagen: Das Gesetz soll verbindliche Regelungen zur Bestimmung kritischer Anlagen und entsprechender Dienstleistungen schaffen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Das Gesetz soll beispielsweise für Betreiber kritischer Anlagen in den Sektoren Energie, Transport und Verkehr, Wasser, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung gelten.
Mindestanforderungen an den Schutz kritischer Infrastrukturen: Im KRITISDachG werden sektorenübergreifende Mindeststandards für die physische Sicherheit vorgeschrieben. Sie sind ergänzend zu den Regelungen der Informationssicherheit gemäß der NIS-2-Umsetzung zu verstehen.
- Registrierung kritischer Anlagen: Ein Betreiber kritischer Anlagen ist verpflichtet, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) über eine gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem BBK eingerichtete Registrierungsmöglichkeit bestimmte Angaben zu übermitteln.
- Risikoanalyse und -bewertung: Betreiber kritischer Anlagen müssen regelmäßig eine Risikoanalyse und Risikobewertung durchführen, die bestimmte Inhalte und Risiken berücksichtigt – insbesondere Risiken, die geeignet sein können, die Verfügbarkeit der kritischen Dienstleistungen zu beeinträchtigen.
- Resilienzpflichten: Betreiber kritischer Anlagen sollen verpflichtet werden, Maßnahmen zur Gewährleistung ihrer Resilienz zu treffen, um beispielsweise einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten und nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten.
- Etablierung eines Meldewesens: Eine Erstmeldung hat bei Vorfällen innerhalb von 24 Stunden zu erfolgen; bei einem andauernden Vorfall ist die Erstmeldung zu aktualisieren. Ein Abschlussbericht ist spätestens nach einem Monat zu übermitteln.
- Geschäftsleitung:
- Umsetzungs- und Überwachungspflicht: Geschäftsleitungen sind verpflichtet, die Resilienzmaßnahmen umzusetzen und ihre Umsetzung durch geeignete Organisationsmaßnahmen sicherzustellen.
- Haftung: Die Geschäftsleitung haftet bei Verletzung von Pflichten nach dem KRITISDachG grundsätzlich gemäß der allgemeinen Grundsätze (z. B. AktG, GmbHG); bei Rechtsformen, für die keine solche Haftung besteht, sieht die Vorschrift aber einen Auffangtatbestand vor.
- Bußgeldsystem: Geldbußen bis zu 500.000 EUR, wenn Betreiber ihren Pflichten aus dem KRITISDachG nicht nachkommen.
Nach der Debatte im Bundestag überwiesen die Abgeordneten den Entwurf dem federführenden Innenausschuss zur weiteren Beratung. Dort findet am 01.12.2025 die öffentliche Anhörung zur Stärkung der Resilienz kritischer Anlagen statt.
Für weitere Informationen zu den Auswirkungen des KRITIS-Dachgesetzes auf Ihr Unternehmen steht Ihnen RA Patrick Thomas, Fachanwalt für Vergaberecht, HFK Frankfurt a.M. (thomas@hfk.de) gerne zur Verfügung.