Der Brandanschlag auf die Berliner Stromversorgung macht es deutlich: KRITIS-Unternehmen rücken in den Fokus von Kriminellen. Daher gilt es, nicht nur die IT-, sondern auch die physische Sicherheit zu stärken. Das KRITIS-Dachgesetz macht einen entscheidenden Schritt.
Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz.
(Bild: Dall-E / KI-generiert)
Update: Bei der 56. Sitzung des Bundestags musste die Regierung viel Kritik für den Gesetzentwurf einstecken. Übereinstimmung gab es bei mehreren Parteien in dem Punkt, dass das Gesetz nicht konkret ausgearbeitet sei und die betroffenen KRITIS-Unternehmen bei der Umsetzung und der Finanzierung im Unklaren ließe – dafür bringe es aber mehr Bürokratie. „Neben den gesetzlichen Vorgaben ist die Politik auch gefordert, die Unternehmen bei der Umsetzung konkret zu unterstützen, etwa mit Förderprogrammen“, erklärt Bitkom-Präsident Dr. Ralf Wintergerst.
Trotz aller Kritik wurde das KRITIS-Dachgesetz angenommen.
Das Wichtigste in Kürze
Das KRITIS-Dachgesetz betrifft Betreiber essenzieller Infrastrukturen in Deutschland, deren Ausfall dramatische Folgen für die Bevölkerung hätte.
Es beinhaltet Mindestanforderungen zur Stärkung der Resilienz kritischer Anlagen.
Konsequenzen bei Nichteinhaltung: Bußgelder, Entzug der Betriebsgenehmigung
Das KRITIS-Dachgesetz soll die EU-CER-Richtlinie national umsetzen und bisherige Regelungen zur physischen Resilienz zusammenführen. Am 29. Januar 2026 steht der Gesetzentwurf zur abschließenden Beratung auf der Tagesordnung des Bundestagsplenums. Das Gesetz wurde im September 2025 vom Bundeskabinett beschlossen. Am 28. Januar 2026 verabschiedete der Innenausschuss des Deutschen Bundestages die Vorlage in modifizierter Fassung. So sollen die Länder unter anderem die Möglichkeit haben, „weitere kritische Anlagen für kritische Dienstleistungen, die alleine in ihrer Zuständigkeit liegen, zu identifizieren“, ist auf der Website des Bundestags zu lesen. Zudem wird in der Gesetzesvorlage gefordert, „eine einheitliche Meldestelle für die Betreiber kritischer Anlagen zu schaffen sowie das nationale IT-Sicherheitsrecht zu systematisieren und einheitliche IT-Sicherheitsstandards für Bund und Länder festzulegen“.
Wen betrifft das KRITIS-Dachgesetz?
Von KRITIS betroffene Sektoren
Energie (Strom, Gas, Mineralöl, Fernwärme)
Wasser (Trinkwasser, Abwasser)
Ernährung (Lebensmittelproduktion und -versorgung)
Zu den Sektoren, die das Gesetz betrifft, zählen unter anderem Energie, Wasser, Gesundheit sowie der Staat und die öffentliche Verwaltung. Im aktuellen Entwurf stehen KRITIS-Betreiber in der Pflicht, die 500.000 Einwohner versorgen. Der Bundesrat fordert hier eine Anpassung auf einen Schwellenwert von 150.000 zu versorgenden Personen.
Was ist das Ziel des KRITIS-Dachgesetzes?
Mit dem „Gesetz zur Umsetzung der EU-CER-Richtlinie (EU 2022/2557) und zur Stärkung der Resilienz kritischer Anlagen“ – kurz: KRITIS-Dachgesetz – will die Bundesregierung erstmals einheitliche und sektorenübergreifende Mindestvorgaben für den physischen Schutz kritischer Anlagen festlegen. Unterstützungs- und Aufsichtsmaßnahmen sollen die Umsetzung und somit die Versorgungssicherheit der Bevölkerung garantieren.
Zu betonen ist hier die Abgrenzung zur NIS-2-Richtlinie, die bereits in Kraft ist. Während NIS-2 für mehr Cybersicherheit sorgen soll, soll das KRITIS-Dachgesetz die physische Resilienz stärken und vor Naturgefahren oder menschlich oder technisch verursachten Störungen schützen.
Dennoch dürfen beide Gesetze nicht isoliert gesehen werden, denn viele Einrichtungen fallen in beide Regime. Für diese empfiehlt sich eine ganzheitliche Planung, um Kosten, doppelte Arbeit und Sanktionen zu reduzieren sowie die Resilienz umfassend zu erhöhen.
Was müssen betroffene KRITIS-Betreiber tun?
Pflichten der Betreiber
Registrierung beim MIP
Risikoanalyse mindestens alle 4 Jahre
Resilienzmaßnahmen
Resilienzplan zur Dokumentation
Meldepflicht von Vorfällen
Betroffene Anlagenbetreiber müssen sich zunächst über das gemeinsame Melde- und Informationsportal (MIP) des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Mindestens alle vier Jahre muss eine Risikoanalyse und Bewertung durchgeführt werden.
Weiterhin fordert das Gesetz einen angemessenen physischen Schutz der Anlagen, um Vorfälle zu verhindern. Außerdem müssen Maßnahmen ergriffen werden, die eine zügige Wiederherstellung gewährleisten. Das Risikomanagement sollte einen Plan enthalten, wie Vorfälle abgewehrt und darauf reagiert wird. Alle Maßnahmen müssen in einem Resilienzplan dokumentiert werden.
Vorfälle müssen unverzüglich, d. h. innerhalb von 24 Stunden, an das BBK gemeldet werden. Innerhalb eines Monats muss außerdem ein ausführlicher Bericht an das Amt übermittelt werden.
„Entscheidend wird sein, wie praxistauglich die Umsetzung gelingt und wie kohärent sich die neuen Anforderungen in den bestehenden Regulierungsrahmen einfügen“, kommentiert Ulrich Plate, Leiter der Kompetenzgruppe KRITIS beim Eco-Verband, den Stand der Dinge. Er fordert: „Insbesondere müssen Doppelregulierungen und parallele Pflichten im Zusammenspiel mit bestehenden IT- und Cybersicherheitsanforderungen, etwa im Kontext von NIS2 vermieden werden.“
Konsequenzen bei Nichteinhaltung
Verstöße beispielsweise gegen fehlende Risikobewertungen, unterlassene Meldungen von Sicherheitsvorfällen, verweigerten Zutritt oder die Nichtbeachtung von Anordnungen der Aufsichtsbehörden (BBK) können unter anderem zu Bußgeldern von bis zu einer Million Euro nach sich ziehen. In schweren Fällen ist der Entzug der Betriebsgenehmigung möglich. Wie auch bei der IT-Security sind finanzielle Schäden nur ein Teil der Konsequenzen. Jeder Vorfall zieht auch Imageschäden nach sich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Allerdings soll vor der Verhängung von Bußgeldern eine Frist zur Nachbesserung gesetzt werden.
:quality(80)/p7i.vogel.de/wcms/43/b3/43b33e50faf1938562316b4f4bebf829/0129178528v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/28/1f2891478d7d50c2f8b65e9e9bb6f27f/0129164635v1.jpeg "Im Open-Code-Repository der deutschen Verwaltung gehört GA-Lotse zu den Top-20-Projekten. (Bild: © Gesundheitsamt FFM)")
:quality(80)/p7i.vogel.de/wcms/eb/02/eb02d55fe7a871827bdaff0371dc08bd/0129090301v3.jpeg "Dr. Daniela Dylakiewicz, Amtschefin der Sächsischen Staatskanzlei und Beauftragte für Informationstechnologie des Freistaates Sachsen. (Bild: Pawel Sosnowski)")
:quality(80)/p7i.vogel.de/wcms/be/a9/bea990c1fd84d42ab3b65d50432e04c2/0129126870v1.jpeg "Bundessozialministerin Bärbel Bas mit den Mitgliedern der Sozialstaatskommission bei der Übergabe des Abschlussberichts am 27. Januar 2026 im Berliner Amtssitz (Bild: © BMAS)")
:quality(80)/p7i.vogel.de/wcms/30/5d/305d4b954505630521c0c617eea3ebe9/0129121214v2.jpeg "Wenn Register-Informationen digital abrufbar, aktuell und konsistent vorliegen, können Prüf- und Freigabeentscheidungen schneller getroffen werden, weil Nachforderungen, Nachreichungen und erneute Prüfschleifen deutlich seltener werden. (Bild: © Andrew505 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/97/de97e038bbb2b7498038409889d3c8dd/0129120074v2.jpeg "Die staatliche EUDI-Wallet soll persönliche Dokumente und Identitätsdaten sicher in einer digitalen Brieftasche vereinen. (Bild: © nurnobi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a2/42/a242ec9f0a7d76191c8160a98b9219be/0129046694v2.jpeg "Das neue Planungs- und Beschaffungsbeschleunigungsgesetz (BwPBBG) soll dafür sorgen die Einsatzbereitschaft der Streitkräfte zu erhöhen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/89/63/89639aadfc00f384f4bd9873529c907b/0129106836v1.jpeg "In einer speziellen Testumgebung von EWERK können Kommunen ihre KI-Projekte datenschutzkonform testen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/08/f7086bdbf995dd01a59ee4c05c98c18e/0128147516v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/d6/3fd65ee8c363863ad83fb6f06d6c4673/0128557921v2.jpeg "Die jährlich stattfindende Didacta ist die größte Bildungsmesse in Europa und die wichtigste Weiterbildungsveranstaltung für Lehrkräfte. (Bild: © Koelnmesse GmbH / didacta / Alita Holzhauer)")
:quality(80)/p7i.vogel.de/wcms/7c/f1/7cf1421ed7c704eddc6167553c39d438/0129022115v1.jpeg "Die sovero GmbH ist Softwareanbieter für ECM- und Workflowlösungen und durchführender Partner für Aktendigitalisierungsprojekte in Kommunalverwaltungen. (Bild: sovero)")
:quality(80)/p7i.vogel.de/wcms/7e/01/7e01f9af699f512a4ee3bbb345c9ddb9/0128945446v2.jpeg "Mit dem Deutschland-Stack soll eine souveräne, europäisch anschlussfähige und interoperable digitale Infrastruktur für Bund, Länder und Kommunen geschaffen werden. (CanvaKI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/0d/920d464a10fdaabbed2a225131b40428/0128865118v2.jpeg "Ein Deep Dive in digitiale Bildung – und das vom heimischen Rechner aus: Das ist die LEARNTEC xChange. (Bild: Messe Karlsruhe / Jannik Hammes)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/55/49/5549944daffc8a848b82db8f3abcee30/0127845342v1.jpeg "Der Autor, Matthias J. Szymansky, ist Leiter Competence Center Analytics & AI, Materna. (Bild: Materna )")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/08/f8/08f87dd392485cb96818c2917c289578/0128403426v1.jpeg "Quantencomputer gefährden klassische Verschlüsselung daher verlangt NIS 2 ein belastbares Kryptokonzept und die frühzeitige Vorbereitung auf quantenresistente Verfahren wie PQC und hybride Ansätze. (Bild: Fraunhofer IOF)")
:quality(80)/p7i.vogel.de/wcms/f4/2a/f42a77e1b0950dc1211f986af3b3d617/0127375001v1.jpeg "In Anbetracht geopolitischer Spannungen und steigender Cyberbedrohungen sehen die Sachverständigen einen enormen Zeitdruck hinter der Umsetzung von NIS-2 in nationales Recht. (Bild: Midjourney / KI-generiert)")