Das neue Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen
Einen Tag nach seiner Verkündung im Bundesgesetzblatt ist das Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen („KRITISDachG“) am 17. März 2026 in Kraft getreten. Damit hat Deutschland mit knapp anderthalbjähriger Verspätung die Critical Entities Resilience („CER“) Richtlinie (EU) 2022/2557 umgesetzt. Eine frühere Umsetzung scheiterte auch am Bruch der Ampel-Koalition und den damit verbundenen Neuwahlen, die den Gesetzentwurf der Diskontinuität zum Opfer fallen ließen.
Das KRITISDachG ergänzt die Vorschriften zur Cybersicherheit im NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz („NIS2UmsuCG“) um Bestimmungen zum physischen Schutz kritischer Anlagen und schafft damit erstmals bundeseinheitliche Mindestanforderungen. Infolge des Anschlags auf die Strominfrastruktur in Berlin war der Gesetzentwurf auch politisch brisant. Es erfolgten aber keine wesentlichen Änderungen mehr im Vergleich zum Ampel-Entwurf. Das Bundesministeriums des Innern („BMI“) schätzt, dass ca. 1700 kritische Anlagen alle Resilienzverpflichtungen erfüllen müssen.
1. Anwendungsbereich
Das KRITISDachG gilt für Betreiber kritischer Anlagen in einer enumerierten Anzahl von Sektoren, u.a. Energie, Transport und Verkehr, Gesundheitswesen, Ernährung sowie Informationstechnik und Telekommunikation (§ 3 Abs. 1 KRITISDachG). Eine kritische Anlage ist eine solche Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich ist (§ 2 Nr. 3 KRITISDachG), d.h. deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit in obigen Sektoren führt (§ 2 Nr. 4 KRITISDachG).
Das BMI bestimmt durch eine Rechtverordnung, welche kritischen Dienstleistungen zu den Sektoren gehören (§ 4 Abs. 3 KRITISDachG) und welche Anlagen nach welchen Schwellenwerten und Stichtagen erheblich sind (§ 5 Abs. 1 KRITISDachG). Der Regelschwellenwert beträgt 500.000 von einer Anlage zu versorgende Einwohner (§ 5 Abs. 2 S. 2 KRITISDachG). Die Bundesländer hatten im Gesetzgebungsverfahren versucht, diesen Wert auf 150.000 Einwohner herabzusenken.
2. Pflichten für Unternehmen
Das KRITISDachG nennt diverse Pflichten für die betroffenen Unternehmen, ohne diese jedoch im Einzelnen auszugestalten. Vielmehr enthält das KRITISDachG eine Vielzahl von Verordnungsermächtigungen, mithilfe derer die Pflichten ausdifferenziert und konkretisiert werden sollen. Diese Rechtsverordnungen liegen noch nicht vor.
2.1. Registrierungspflicht, § 8
Gem. § 8 KRITISDachG ist der Betreiber einer kritischen Anlage verpflichtet, diese über eine vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe („BBK“) und vom Bundesamt für Sicherheit in der Informationstechnik („BSI“) gemeinsam eingerichtete Plattform zu registrieren. Gemäß des Once-Only Prinzips soll dazu das BSI-Melde-Portal verwendet werden, das auch für die NIS2-Richtlinie benutzt wird. Es müssen vor allem Adress- und Kontaktdaten hinterlegt werden. Die Frist zur Registrierung ist der 17. Juli 2026.
2.2. Risikoanalyse und Bewertung, § 12
Im Bedarfsfall, jedenfalls aber alle vier Jahre muss der Anlagenbetreiber eine Risikoanalyse durchführen. Er hat dabei die nationale Risikoanalyse und -bewertung der Bundesregierung sowie Extremereignisse, hybride Bedrohungen und Abhängigkeiten von anderen kritischen Dienstleistungen zu berücksichtigen (§ 12 Abs. 1 KRITISDachG). Das BMI kann inhaltliche und methodische Vorschriften zu Erstellung der Analyse erlassen (§ 12 Abs. 3 KRITISDachG). Die erste Risikoanalyse muss spätestens neun Monate nach der Registrierung erfolgen (§ 8 Abs. 7 KRITISDachG).
2.3. Resilienzpflichten, § 13
Auf Grundlage der Risikoanalysen sind vom Anlagenbetreiber innerhalb von zehn Monaten nach der Registrierung alle verhältnismäßigen technischen, sicherheitsbezogene und organisatorische Maßnahmen zu treffen, um das Auftreten von Vorfällen zu verhindern und einen angemessenen physischen Schutz der Liegenschaft/ Anlage zu gewährleisten (§ 13 Abs. 1 und 2 KRITISDachG). Der Betreiber muss diese Maßnahmen in einem Resilienzplan darstellen und diesen anwenden (§ 13 Abs. 4 S. 1 KRITISDachG). Eine Mustervorlage ist vom BBK zu veröffentlichen (§ 13 Abs. 5 KRITISDachG). Dies ist bislang (Stand: 23. März 2026) nicht geschehen.
Die Bundesregierung ist ermächtigt sektorenübergreifende und sektorenspezifische Mindestanforderungen durch Rechtsverordnung zu definieren und damit die Resilienzpflichten zu konkretisieren (§ 14 Abs. 1 und 3 KRITISDachG). Auf Antrag stellt das BSI die Geeignetheit branchenspezifischer Resilienzstandards zur Konkretisierung der Resilienzpflicht fest und veröffentlicht diese (§ 14 Abs. 2 KRITISDachG).
2.4. Meldepflichten, § 18
Vorfälle sind vom Betreiber innerhalb von 24 Stunden über die gemeinsame Meldestelle von BBK und BSI zu melden. Es müssen die zum Meldungszeitpunkt verfügbaren Informationen gemeldet werden, die erforderlich sind, um Art, Ursache und mögliche Auswirkungen des Vorfalls ermitteln zu können. Das BBK legt die Einzelheiten des Meldeverfahrens fest. Die Meldepflicht greift zehn Monate nach der Registrierung.
2.5. Umsetzungs- und Überwachungspflicht für Geschäftsleitungen, § 20
Im Gleichlauf mit den Regelungen aus dem NIS2UmsuCG liegt die Verantwortung für die Umsetzung der Resilienzmaßnahmen bzw. die Sicherstellung ihrer Durchführung bei der Geschäftsleitung. Die Geschäftsleitung haftet dafür gegenüber der Gesellschaft. Anders als das NIS2 UmsuCG sieht das KRITISDachG nicht explizit die Pflicht der Geschäftsleitung zur regelmäßigen Teilnahme an Schulungen vor.
3. Bußgelder
§ 24 KRITISDachG dient der Umsetzung von Artikel 22 der Richtlinie (EU) 2022/2557. Im Falle von Verstößen drohen je nach Ordnungswidrigkeit Bußgelder zwischen 50 000 Euro und 1 Mio. Euro.
4. Fazit
Als „Dachgesetz“ setzt das KRITISDachG lediglich einen allgemeinen Rahmen für die Compliance-Pflichten von Anlagenbetreibern, die noch durch Rechtsverordnungen konkretisiert werden. Unternehmen sollten dennoch bereits jetzt prüfen, ob sie betroffen sind. Ist dies der Fall, sollte die Umsetzung der Sorgfaltspflichten vorbereitet werden, etwa die Registrierungsdaten, Prozesse für die Risikoanalyse sowie der Resilienzplan.