Der Bundestag hat mit Beschluss vom 29. Januar 2026 das KRITIS-Dachgesetz verabschiedet. Für Betreiber stellt sich damit die Frage, inwieweit das Gesetz neben zusätzlicher Dokumentation bestehende Sicherheits- und Governance-Strukturen substanziell berührt.
Mit dem „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ gewinnt nun auch die physische und organisatorische Widerstandsfähigkeit einzelner Anlagen an Bedeutung.
(Bild: Dall-E / KI-generiert)
In der regulatorischen Entwicklung dominierte in jüngerer Zeit vor allem die Umsetzung der NIS2-Richtlinie, die eine große Bandbreite von Unternehmen mit Blick auf eine erhöhte Cybersicherheit betrifft. Vom KRITIS-Dachgesetz betroffen sind hingegen vor allem Betreiber in Sektoren wie Energie, Gesundheit, IT und Telekommunikation, Transport oder Wasser. Ob eine Anlage als kritisch gilt, bestimmt sich nach sektorspezifischen Schwellenwerten, die an ihre konkrete Versorgungsrelevanz anknüpfen. Maßgeblich ist nicht allein die Größe des Unternehmens, sondern die Bedeutung der jeweiligen Anlage für die Aufrechterhaltung zentraler gesellschaftlicher Funktionen. Ein Unternehmen kann daher nur hinsichtlich einzelner Standorte oder Anlagen in den Anwendungsbereich des Gesetzes fallen, während andere Unternehmensbereiche unberührt bleiben.
Einordnung im Verhältnis zu NIS2
Das KRITIS-Dachgesetz, dem der Bundesrat noch zustimmen muss, und das bereits am 6. Dezember 2025 in Kraft getretene NIS2-Umsetzungsgesetz ergänzen sich. Sie verfolgen jedoch unterschiedliche Ziele. NIS2 adressiert die Organisation regulierter Einrichtungen als Ganzes und fokussiert auf Cybersicherheit. Das KRITIS-Dachgesetz setzt demgegenüber bei einzelnen Anlagen an. Ziel von NIS2 ist eine belastbare Cyberresilienz der gesamten regulierten Einrichtung. Dazu verpflichtet NIS2 Unternehmen zu einem strukturierten Risikomanagement, klaren Verantwortlichkeiten auf Leitungsebene, definierten Meldeprozessen und Sicherheitsmaßnahmen entlang der Lieferkette.
KRITIS-Dachgesetz
NIS2
Registrierung voraussichtlich bis 17.07.2026
Registrierung bis 06.03.2026
Registrierung beim BBK
Registrierung beim BSI
Aufrechterhaltung des Anlagenbetriebs unter realen Störbedingungen
belastbare Cyberresilienz der gesamten regulierten Einrichtung
Das KRITIS-Dachgesetz zielt auf die Aufrechterhaltung des Anlagenbetriebs unter realen Störbedingungen ab. Neben digitalen Angriffen sind insbesondere physische Risiken einzubeziehen, etwa länger andauernde Stromausfälle, der Ausfall externer Versorger, unbefugter Zutritt zu Anlagen oder Naturereignisse. Maßgeblich ist die tatsächliche Betriebsfähigkeit der einzelnen Anlage, nicht allein die IT-Sicherheitslage des Unternehmens.
Auch die Aufsichtsstrukturen unterscheiden sich: Während NIS2 primär durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beaufsichtigt wird, liegt die Zuständigkeit für das KRITIS-Dachgesetz beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Betreiber, die von beiden Regelwerken erfasst sind, müssen ihre Melde- und Kommunikationsprozesse entsprechend differenziert ausgestalten.
KRITIS-Dachgesetz: Was ist zu tun?
Konkrete Pflichten und Fristen
Registrierung beim BBK bis zum 17. Juli 2026
Benennung einer jederzeit erreichbaren Kontaktstelle
anlagenspezifische Risikoanalysen
Erstellung von Resilienzplänen
Bewertung und Dokumentation von Energieversorgung, baulicher Sicherung, Zugangskontrolle, Redundanzstrukturen und Wiederanlaufprozessen
Prozesse und Verantwortlichkeiten von Meldeprozessen etablieren
Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Anlagen zur Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Sie müssen zudem eine jederzeit erreichbare Kontaktstelle benennen. Der Gesetzestext sieht die Registrierung bis zum 17. Juli 2026 vor. Eine der Kernanforderungen des KRITIS-Dachgesetzes sind anlagenspezifische Risikoanalysen, die die Unternehmen durchführen und anschließend regelmäßig aktualisieren müssen. Auf Grundlage dieser Analysen müssen die Anlagenbetreiber Resilienzpläne erstellen, die nach dem Stand der Technik geeignete und verhältnismäßige Maßnahmen vorsehen. Der Prüfungsmaßstab ist dabei anlagen-, nicht unternehmensbezogen.
Die im KRITIS-Dachgesetz vorgesehenen Risiko- und Notfallkonzepte beschränken sich nicht auf IT-Ausfälle. Erfasst werden vielmehr auch Energieversorgung, bauliche Sicherung, Zugangskontrolle, Redundanzstrukturen und Wiederanlaufprozesse. Regulierte Betreiber müssen diese Aspekte für die von ihnen betriebene Anlage bewerten und nachvollziehbar dokumentieren.
Bei erheblichen Störungen der Funktionsfähigkeit sieht das KRITIS-Dachgesetz abgestufte Meldepflichten vor. Anlagenbetreiber müssen dazu entsprechende Prozesse in ihrer Organisation verankern und geeignete Verantwortlichkeiten zuordnen. Spätestens zum Ablauf der vorgesehenen Registrierungsfrist müssen Betreiber Klarheit darüber haben, welche ihrer Anlagen von der Regulierung erfasst sind, wie bestehende Risikoanalysen gegebenenfalls angepasst werden müssen und ob vorhandene Business-Continuity-Strukturen den neuen gesetzlichen Anforderungen entsprechen. Die Umsetzung der neuen Vorgaben setzt insoweit auch eine enge Zusammenarbeit zwischen IT-Sicherheit, Betrieb, Gebäudemanagement und Krisenmanagement voraus.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wo die Praxis nachjustieren muss
In der Praxis zeigt sich der Unterschied zu NIS2 in der bestehenden Organisation des betroffenen Unternehmens. Viele vom KRITIS-Dachgesetz regulierte Betreiber verfügen bereits über ein Informationssicherheitsmanagementsystem. Dieses bildet Cyberrisiken im Idealfall strukturiert ab, erfasst dabei jedoch häufig nicht auch die physische Resilienz einzelner Anlagen.
Das KRITIS-Dachgesetz zwingt nun dazu, die Perspektive zu erweitern. Denn die erforderlichen Risikoanalysen müssen jetzt anlagenspezifisch erfolgen. Es rücken also Fragen in den Fokus, die derzeit häufig außerhalb der IT-Sicherheitsorganisation des Unternehmens verortet sind. Für betroffene Betreiber kann dies auch bedeuten, dass sie die internen Zuständigkeiten nachjustieren müssen. Die Resilienz einer Anlage lässt sich weder allein technisch noch isoliert organisatorisch abbilden, sondern setzt eine abgestimmte und verzahnte Betrachtung von IT-Sicherheit, Betrieb und physischer Infrastruktur voraus.
Das KRITIS-Dachgesetz ergänzt die NIS2-Umsetzung um eine anlagenbezogene Resilienzperspektive. Für Betreiber kritischer Infrastrukturen erweitert sich der bestehende Sicherheits- und Governance-Rahmen. Eine ganzheitliche Umsetzung erfordert eine strukturierte Verzahnung beider Regelwerke unter Berücksichtigung ihrer unterschiedlichen Ansatzpunkte.
Über den Autor
(Bildquelle: SKW Schwarz)
Der Autor, Dr. Daniel Meßmer, ist Rechtsanwalt und Fachanwalt für IT-Recht. Er leitet den Fachbereich IT & Digital Business bei der unabhängigen Rechtsanwaltskanzlei SKW Schwarz.
:quality(80)/p7i.vogel.de/wcms/af/7e/af7e2841e3378f8b6a9a98510b9aad14/0129262578v6.jpeg "Wenn auf der Karriereleiter die unteren Sprossen fehlen, wird der Berufseinstieg schwierig. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/5e/705ef0ee2290e56459b7d76ef0c6e77f/0129571019v1.jpeg "Gihan Munasinghe (l.) ist neuer Chief Technology Officer bei One Identity, Michael Henricks wird Chief Financial und Operating Officer. (Bild: One Identity)")
:quality(80)/p7i.vogel.de/wcms/ba/6c/ba6cc34b649bea9ee24728b565e978b0/0129579018v2.jpeg "Marc Groetelaars ist neuer Senior Vice President of Sales and Marketing bei Pax8 in Europa. (Bild: Pax8)")
:quality(80)/p7i.vogel.de/wcms/a4/5c/a45c1dee854f435b70b7c1fa12aee477/0129457375v1.jpeg "Dirk Decker, Regional Director für Zentraleuropa bei Forescout (Bild: Forescout)")
:quality(80)/p7i.vogel.de/wcms/f3/06/f3069f2157a24823469be9fdf6643805/0129456688v2.jpeg "Dr. Marc Wilczek ist ab März 2026 als CEO bei Plusserver tätig. (Bild: Plusserver)")
:quality(80)/p7i.vogel.de/wcms/32/d5/32d503e3d44b50ca879562ea9cb11cf9/0129509158v2.jpeg "Mit dem „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ gewinnt nun auch die physische und organisatorische Widerstandsfähigkeit einzelner Anlagen an Bedeutung. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a6/ac/a6ac0534b51b92d858683192180f9373/0129122877v1.jpeg "Laut Lenovo entscheide sich der Wettlauf um Enterprise-KI nicht an der Modellgröße, sondern an der Fähigkeit zur Umsetzung. Erfolgreich sind jene Unternehmen, die Technologie, Organisation und Kontrolle gemeinsam denken. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/0b/68/0b68aececc17352bef9360ea8379fba6/0129118596v1.jpeg "Trotz wachsender Rechenzentrumskapazitäten ist Europa digital abhängig: Der Großteil sensibler Daten liegt in außereuropäischen Clouds – ein Risiko für Souveränität und Resilienz. (Bild: © Damian Sobczyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/d6/c5d6ef77093c94b1f81a8f1cbb03bd9a/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/bb/b7bb7be5a3e2c4f086756d015a69eff4/0129358669v2.jpeg "Kleinere Systemhäuser sollen künftig schneller die Partnerleiter bei ServiceNow hinaufklettern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/54/d9/54d9456345dc88b6000a3aa7a5647cbf/0129564377v1.jpeg "Katastrophenszenarien zu KI gibt es zuhauf. Die Frage ist, wie realistisch sind diese? (Bild: © Artist - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/f3/fdf3608ec0069d9d0c94a208e2de44db/0129429761v1.jpeg "OpenClaw ging Ende 2025 an den Start und hat schon mehrere Tausend Nutzer. Doch Malware-verseuchte Skills und Sicherheitslücken riskieren die Sicherheit der User. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5c/29/5c29086abbb24786c5d5c0dc5ba79332/0129302404v2.jpeg "Unternehmen müssen nicht nur die Zugänge der eigenen Mitarbeiter verwalten. Auch die gesamte Lieferkette und alle Kunden müssen sichere Zugänge erhalten und überwacht werden. (Bild: © TyliJura - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/6e/56/6e56fd2bf45c7fa715783451517ef0c5/0129407763v2.jpeg "Warum KI-gestützte Telefonie den Unterschied macht, ein Interview von Oliver Schonschek, News-Analyst, mit Jennifer Rapp von Starface (Bild: Vogel IT-Medien / Starface / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/15/d5/15d5c2c53edda0d2f05cd1401b8900f9/0127846014v2.jpeg "Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen, digitale und physische Schutzmaßnahmen zu verzahnen, um mehr Resilienz und Stabilität zu erreichen. (Bild: © danheighton - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fb/c6/fbc66db9d7f25dca8098c71c51d9e15d/0129168715v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/88/43881382e370753b1702199f83f8002d/0128155533v2.jpeg "NIS2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")