Logo von PREVISEC, einer Software für Incident Management und Krisenmanagement

Mit dem geplanten KRITIS-Dachgesetz möchte der Gesetzgeber einen einheitlichen Rechtsrahmen für den Schutz und die Resilienz kritischer Infrastrukturen und Anlagen schaffen. Die Zielsetzung ist klar: Die zunehmende Komplexität und Dynamik der Bedrohungslage erfordert verbindliche Mindestanforderungen und klare Zuständigkeiten.

Vorstände, Geschäftsführungen sowie Fachverantwortliche aus den Bereichen Corporate Security, Business Continuity Management (BCM), IT-Notfallmanagement und Krisenmanagement sind mehr denn je gefordert, ihre Organisationen systematisch auf diese neuen gesetzlichen Anforderungen vorzubereiten. Denn das KRITIS-Dachgesetz wird nicht nur technische Schutzmaßnahmen fordern, sondern stellt auch organisatorische Prozesse in den Fokus.

Als Anbieter einer spezialisierten Plattform für digitales Incident- und Krisenmanagement unterstützt PREVISEC Unternehmen dabei, sich rechtzeitig auf die Anforderungen des KRITIS-DachG einzustellen. Mit unserer Lösung stärken Sie Ihre Resilienz spürbar und erfüllen einige der künftige Verpflichtungen effizient und praxisnah.

Gesetzlicher Kontext (CER-Richtlinie), Stand des Verfahrens

Kontext

Um die Resilienz kritischer Infrastrukturen zu stärken, hat die Europäische Union im Dezember 2022 die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen verabschiedet. Diese ist auch bekannt als CER-Richtlinie (Critical Entities Resilience Directive). Sie verpflichtet die Mitgliedstaaten dazu, kritische Einrichtungen systematisch zu identifizieren. Außerdem sollen diese Einrichtungen ihre physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturkatastrophen, Terroranschlägen oder Sabotage deutlich erhöhen.

In Deutschland dient das KRITIS-Dachgesetz (KRITIS-DachG) der Umsetzung dieser europäischen Vorgaben in nationales Recht. Am 6. November 2024 verabschiedete das Bundeskabinett den Entwurf des KRITIS-Dachgesetzes. Dieser legt bundesweit einheitliche Mindeststandards für den Schutz kritischer Infrastrukturen fest. Den vollständigen Entwurf können Sie hier abrufen: Link zum BMI.

Das Gesetz definiert erstmals einheitlich auf Bundesebene, welche Unternehmen und Einrichtungen als Teil der kritischen Infrastruktur gelten. Darüber hinaus enthält es Mindeststandards für den physischen Schutz dieser Einrichtungen. Zusätzlich führt es eine Meldepflicht für sicherheitsrelevante Vorfälle ein. Auch ein systematischer Resilienzansatz ist darin enthalten.

Durch die Umsetzung des KRITIS-DachG sollen Betreiber kritischer Infrastrukturen verpflichtet werden, ein betriebliches Risiko- und Krisenmanagement einzuführen. Außerdem müssen sie regelmäßige Risikobewertungen durchführen und geeignete Resilienzpläne erstellen. Ziel ist es, die Widerstandsfähigkeit dieser Einrichtungen gegenüber vielfältigen Bedrohungen deutlich zu erhöhen. So soll die Sicherheit und Stabilität der Gesellschaft langfristig gewährleistet werden. Dabei wird grundlegend ein sogenannter Allgefahren-Ansatz verfolgt.

Das Gesetz adressiert sowohl die physische als auch die digitale Sicherheit kritischer Infrastrukturen. Während die CER-Richtlinie einen europaweit gültigen Rahmen für die Resilienz schafft, setzt das KRITIS-Dachgesetz diese Vorgaben konkret für Deutschland um. Dabei werden nationale Besonderheiten gezielt berücksichtigt.

Aktueller Stand

Auch wenn bereits ein offizieller Referentenentwurf verabschiedet wurde, steht das Inkrafttreten des Gesetzes aktuell noch aus. Grund dafür ist das vorzeitige Ende der letzten Bundesregierung. Aufgrund des sogenannten Diskontinuitätsprinzips muss ein neuer Entwurf in der kommenden Legislaturperiode erneut eingebracht werden. Nach Einschätzung vieler Expertinnen und Experten wird dieser jedoch inhaltlich sehr ähnlich zum bisherigen Stand sein. Eine endgültige Klarheit besteht allerdings erst nach dem neuen Kabinettsbeschluss. Dass ein entsprechendes Gesetz kommen wird, gilt jedoch als sicher. Denn die Verpflichtung zur Umsetzung ergibt sich direkt aus der europäischen CER-Richtlinie.

Zeitstrahl für die Umsetzung der CER Richtlinie in Deutschland

Ziele des KRITIS-Dachgesetzes und betroffene Unternehmen

Ziele

Mit dem KRITIS-Dachgesetz verfolgt die Bundesregierung das Ziel, einen einheitlichen und sektorübergreifenden Ordnungsrahmen für den Schutz kritischer Infrastrukturen (KRITIS) zu schaffen. Während bisher überwiegend sektorspezifische Regelungen galten – etwa im Bereich Energie, Wasser, Gesundheit oder IT – soll das neue KRITIS-Gesetz nun eine zentrale Grundlage für alle relevanten Betreiber schaffen. Dabei wird ein umfassender Risikoansatz verfolgt, der sowohl natürliche Gefahren wie Extremwetter, technisches Versagen als auch vorsätzliche Handlungen wie Sabotage, Terrorismus oder Cyberangriffe berücksichtigt.

Im Zentrum des KRITIS-DachG stehen vier zentrale Zielsetzungen, die zusammen den Kern des Gesetzes bilden:

  1. Bundesweite Identifizierung kritischer Anlagen:
    Alle betroffenen Betreiber kritischer Einrichtungen sollen zentral erfasst, systematisch klassifiziert und in ein einheitliches Register aufgenommen werden. Dadurch entsteht Transparenz, und gleichzeitig wird die Koordination von Schutzmaßnahmen deutlich erleichtert.
  2. Einrichtung eines Störungsmonitorings:
    Betreiber kritischer Infrastrukturen werden verpflichtet, sicherheitsrelevante Vorfälle zu melden. Diese Daten fließen in ein zentrales Lagebild ein und ermöglichen gezielte Auswertungen sowie wirksame Präventionsmaßnahmen.
  3. Regelmäßige Risikoanalysen:
    Sowohl die Unternehmen selbst als auch die zuständigen Behörden sollen fortlaufend Risiken bewerten, Szenarien durchspielen und ihre Schutzstrategien daran ausrichten. So kann auf Veränderungen rechtzeitig reagiert werden.
  4. Einheitliche Mindestvorgaben für Resilienzmaßnahmen:
    Das Gesetz definiert verbindliche Anforderungen an physische und digitale Schutzmaßnahmen. Ziel ist es, ein robustes Sicherheitsniveau über alle KRITIS-Sektoren hinweg sicherzustellen und gleichzeitig Synergien zu schaffen.

Betroffene Einrichtungen

Vom KRITIS-Dachgesetz betroffen sind alle Unternehmen und Einrichtungen, deren Dienstleistungen als wesentlich für das Gemeinwesen gelten. Die Einstufung erfolgt anhand klar definierter Kriterien, die eine einheitliche Bewertung ermöglichen. Dazu zählen unter anderem:

  • Versorgungsrelevanz – beispielsweise in den Bereichen Energie, Wasser, Ernährung, Transport, Gesundheit oder IT/TK
  • Größe und Reichweite der Einrichtung – etwa die Anzahl versorgter Personen oder der geografische Wirkungskreis
  • Ausfallkonsequenzen – insbesondere gesellschaftliche, wirtschaftliche oder staatliche Auswirkungen im Störungsfall

Besonders betroffen sind unter anderem Versorgungsbetriebe, Netzbetreiber, Logistik- und Transportunternehmen, medizinische Einrichtungen, Rechenzentren sowie Betreiber kritischer IT-Systeme. Aber auch private Unternehmen können unter das Gesetz fallen, sofern sie als systemrelevant eingestuft werden.

Pflichten für Unternehmen unter dem KRITIS-Dachgesetz

Mit dem Inkrafttreten des KRITIS-Dachgesetzes steigen die Anforderungen an Betreiber kritischer Infrastrukturen deutlich. Ziel ist es dabei, nicht nur die technische Sicherheit zu erhöhen, sondern auch die organisatorische Resilienz systematisch zu stärken. Daraus ergeben sich zahlreiche neue Pflichten, die sowohl strukturelle als auch prozessuale Anpassungen erforderlich machen.

  1. Erhöhte Sicherheits- und Resilienzanforderungen

    • Kontinuierliche Überwachung und Anomalieerkennung: Moderne Sensoren und intelligente Monitoring-Systeme sollen Unregelmäßigkeiten frühzeitig erkennen. So lassen sich potenzielle Bedrohungen schneller identifizieren und gezielt eindämmen.
    • Physischer Schutz: Betreiber müssen einheitliche Mindeststandards beim Zugangsschutz einhalten. Dazu zählen unter anderem Alarmanlagen, Videoüberwachung, Zugangskontrollsysteme oder auch bauliche Maßnahmen.
    • Erweiterte Cybersecurity-Maßnahmen: Neben Firewalls und Intrusion-Detection-Systemen sind ebenfalls Notfallkonzepte verpflichtend. Diese sollen den Betrieb im Ernstfall schnell wiederherstellen und so Folgeschäden minimieren.

  2. Pflicht zur lückenlosen Dokumentation und Meldung

    • Betreiber müssen sich selbstständig bei der zentralen bundesweiten Stelle registrieren. Dadurch wird eine einheitliche Erfassung und Überwachung ermöglicht.
    • Dokumentation: Alle Schutzmaßnahmen und Sicherheitsprüfungen müssen nachvollziehbar festgehalten werden. Das schafft Transparenz – sowohl gegenüber Behörden als auch für interne Auswertungen.
    • Meldepflicht: Sicherheitsrelevante Vorfälle – wie etwa Hochwasser, technische Ausfälle oder Sabotage – sind unverzüglich an die jeweils zuständigen Stellen zu melden.

  3. Verankerung des All-Gefahrenansatzes („All Hazards Approach“)

    • Alle relevanten Gefahren müssen umfassend berücksichtigt werden. Dazu gehören Naturereignisse, Cyberangriffe, Terrorakte, menschliche Fehler sowie technische Störungen.

  4. Strengere behördliche Kontrolle

    • Behörden wie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) oder andere zuständige Aufsichtsstellen überwachen die Einhaltung der Vorgaben. Verstöße können dabei nicht nur zu Bußgeldern führen, sondern im Einzelfall auch zur persönlichen Haftung von Entscheidungsträgern.

  5. Auswirkungen auf Personal und Organisation

    • Schulungen: Mitarbeitende müssen regelmäßig geschult werden. Nur so können sie im Ernstfall richtig reagieren und potenzielle Gefahren frühzeitig erkennen.
    • Die Geschäftsleitung ist verpflichtet, geeignete organisatorische Maßnahmen zur Umsetzung der gesetzlichen Vorgaben zu treffen. Ebenso muss sie deren Wirksamkeit regelmäßig prüfen und sicherstellen.
    • Ressourcen: Die Umsetzung der neuen Anforderungen erfordert häufig zusätzliche Investitionen. Auch der Personalbedarf – insbesondere in den Bereichen IT, Sicherheit oder Facility Management – steigt vielerorts spürbar an.

Diese Anforderungen betreffen nicht nur große Versorgungsunternehmen. Auch kleinere Einrichtungen können – abhängig von ihrer Relevanz für das Gemeinwesen – unter das KRITIS-Dachgesetz fallen. Daher sollten alle betroffenen Organisationen frühzeitig Maßnahmen planen, klare Verantwortlichkeiten definieren und bestehende Prozesse gezielt überprüfen.

Mit PREVISEC das KRITIS-Dachgesetz erfolgreich umsetzen

Das KRITIS-Dachgesetz schafft erstmals einen einheitlichen Ordnungsrahmen für alle Betreiber kritischer Infrastrukturen – und damit auch einen klaren Auftrag: Resilienz muss systematisch, nachweisbar und ganzheitlich organisiert werden. In einer Zeit wachsender Risiken – angefangen bei Cyberangriffen, über technische Störungen bis hin zu Extremwetterereignissen – wird digitales Krisen- und Incident Management zunehmend zur Schlüsselkompetenz. Unternehmen sollten diese Anforderungen daher nicht nur als regulatorische Pflicht verstehen, sondern vielmehr als echte Chance begreifen, ihre Strukturen nachhaltig robuster und langfristig zukunftsfähiger zu gestalten.

Genau hier setzt PREVISEC an – als spezialisierte Plattform für digitales Krisen- und Incident-Management, die technologische Effizienz mit praxisnaher Umsetzbarkeit verbindet:

  • Zentrale Datenerfassung und -verwaltung: Bündeln Sie sicherheitsrelevante Informationen an einem Ort – klar strukturiert, jederzeit aktuell und zugänglich für alle relevanten Beteiligten.
  • Automatisierte Workflows und Alarmierung: Reagieren Sie in Echtzeit auf Vorfälle. PREVISEC informiert dabei automatisch alle relevanten Stakeholder – sowohl intern als auch extern.
  • Dokumentation und Reporting: Halten Sie sämtliche Maßnahmen, Entscheidungen und Entwicklungen vollständig und lückenlos fest – rechtskonform, auditfähig und jederzeit abrufbar.
  • Praxisnahe Vorlagen und Standards: Nutzen Sie etablierte Checklisten und bewährte Module, die auf praxiserprobten Vorgehensweisen aus dem Bereich Krisenmanagement basieren und sich nahtlos in bestehende Prozesse integrieren lassen.

Unternehmen, die sich frühzeitig mit dem KRITIS-Gesetz auseinandersetzen und zugleich moderne Tools wie PREVISEC aktiv integrieren, verschaffen sich gleich mehrere Vorteile: mehr Sicherheit, höhere Reaktionsgeschwindigkeit, geringere Ausfallzeiten – und darüber hinaus eine deutlich gestärkte Position im Umgang mit Behörden, Auditoren und Kunden.

Jetzt vorbereiten

Bereiten Sie Ihr Unternehmen gezielt auf die kommenden Anforderungen des KRITIS-Dachgesetzes vor – praxisnah, strukturiert und digital unterstützt durch PREVISEC.

👉 Jetzt unverbindlichen Beratungstermin mit PREVISEC buchen

Digitale Dokumentation im Krisenmanagement

Bild das für "tüftlerisch" steht
Mehr

Der digitale Krisenraum in PREVISEC

mehr