Zum Hauptinhalt springen
Perspective:
Perspective
26 März 2026
4 Minuten Lesezeit

Das KRITIS-Dachgesetz (KRITIS-DachG)

Resilienzplanung im Bereich Kritischer Infrastrukturen (KRITIS)

Die derzeitigen gesellschaftlichen und wirtschaftlichen Entwicklungen zeigen, dass Maßnahmen zur Absicherung Kritischer Infrastrukturen dringender denn je sind. So zählen hybride Bedrohungen auch 2026 zu den weltweit größten Risiken und verdeutlichen die Anfälligkeit Kritischer Infrastrukturen (Alli-anz Risk Barometer, 2026). Gleichzeitig führen reale Betriebsunterbrechungen vor Augen, wie verwund-bar zentrale Versorgungssysteme im Alltag sind. Dies kann sich etwa in großflächigen Stromausfällen, IT-Systemstörungen oder Unterbrechungen in der Lieferkette äußern.

Vor diesem Hintergrund wird ersichtlich, dass Deutschland mit dem KRITIS‑Dachgesetz (KRITIS-DachG) nicht nur eine europäische Vorgabe erfüllt, sondern auch einem akuten sicherheitspolitischen Bedarf begegnet. Zusammen mit dem Digital Operational Resilience Act (DORA) und den NIS-2-Umsetzungsgesetz (NIS-2) schafft das KRITIS-Dachgesetz somit Rahmenbedingungen auf politischer Ebene, die auf die Resilienz von Unternehmen und Organisationen abzielen.

René Scheffler
Michael Müller
Oliver S. Migge
Download: KRITIS-Dachgesetz Checkliste
Download: KRITIS-Dachgesetz Checklist

Regulatorische Anforderungen

Die „Critical Entities Resilience“ – Directive (EU 2022/2557) wurde 2022 in der EU verabschiedet und ist in Deutschland am 17. März 2026 in Kraft getreten. Hierbei stellt das KRITIS-Dachgesetz diverse Anforderungen an die physische Sicherheit sowie die Resilienz und Ausfallsicherheit von Unternehmen. So soll der physische Schutz die bestehenden IT-Sicherheitsmaßnahmen ergänzen.

Das Gesetz schafft erstmals bundesweit einheitliche Mindeststandards für den physischen Schutz kritischer Anlagen und verpflichtet die Betreiber u. a. zur Durchführung von Risikoanalysen sowie zur Erstellung von Resilienzplänen. Diese Maßnahmen müssen regelmäßig aktualisiert (im Bedarfsfall oder mindestens alle 4 Jahre) und gegenüber zuständigen Behörden nachgewiesen werden. Zudem bestehen Meldepflichten bei Sicherheitsvorfällen sowie die Pflicht zur Implementierung organisatorischer Maßnahmen und Verfahren zur Aufrechterhaltung des Betriebs, wie z. B. Business Continuity Management (BCM) und Krisenmanagement.

Broschüre zum KRITIS DachG

Detaillierte Ausführungen zum Download

Download PDF

Als „Dachgesetz“ werden sektorübergreifende Ziele festgelegt:

An welche Sektoren wendet sich das KRITIS DachG?

Das KRITIS-Dachgesetz richtet sich an Betreiber kritischer Infrastrukturen, also an Unternehmen und Einrichtungen, die

  1. essenziell für die Gesamtversorgung sind und
  2. mehr als 500.000 Personen versorgen.

Diese zählen somit laut KRITIS-Dachgesetz als kritische Anlage.
Ziel ist es, die Resilienz der kritischen Anlagen gegenüber allen denkbaren Gefahren – von Naturkatastrophen über Cyberangriffe bis hin zu menschlichem Versagen – zu stärken („All-Gefahren-Ansatz“).

  • Energie
  • Verkehr und Transport
  • Finanzwesen
  • Gesundheit
  • Wasser
  • Ernährung
  • Informationstechnik und Telekommunikation
  • Weltraum
  • Siedlungsabfallentsorgung
  • Staat und Verwaltung*

*Im Gesetz wird der Sektor wörtlich als „Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende“ betitelt.

Download: Umsetzung eines modularen Resilienzmanagements gemäß KRITIS Dachgesetz

Betreiber kritischer Anlagen sind verpflichtet, sich spätestens drei Monate, nachdem eine Anlage als kritische Anlage gilt, frühestens jedoch bis einschließlich zum 17. Juli 2026, beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) über eine gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtete Möglichkeit, zu registrieren.

Der Betreiber kritischer Anlagen ist verpflichtet, dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) Vorfälle unverzüglich, spätestens 24 Stunden nach Kenntnisnahme, über die gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtete Meldestelle zu melden.

Der Betreiber kritischer Anlagen führt auf Grundlage der nationalen Risikoanalysen und Risikobewertungen, die vom BBK zur Verfügung gestellt werden, sowie anderer vertrauenswürdiger Informationsquellen im Bedarfsfall, mindestens jedoch alle vier Jahre, eine Risikoanalyse und Risikobewertung durch.

Der Betreiber kritischer Anlagen ist verpflichtet, Maßnahmen zur Gewährleistung seiner Resilienz zu treffen, um einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten. Zu den Maßnahmen zählen u. a. Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente, Instrumente und Verfahren für die Überwachung der Umgebung, der Einsatz von Detektionsgeräten und Zugangskontrollen.

Der Betreiber kritischer Anlagen ist verpflichtet, Maßnahmen zur Gewährleistung seiner Resilienz zu treffen, um auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten. Zu den Maßnahmen zählen u. a. Risiko- und Krisenmanagementverfahren (z. B: Krisenmanagement) und -protokolle, vorgegebene Abläufe im Alarmfall, Maßnahmen zur Aufrechterhaltung des Betriebs (z. B. BCM), darunter die Notstromversorgung und die Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen.

Der Betreiber kritischer Anlagen muss die Maßnahmen in einem Resilienzplan darstellen und diesen anwenden. Aus dem Resilienzplan müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen. Auf die Risikoanalyse und Risikobewertung des Betreibers ist Bezug zu nehmen. Der Resilienzplan ist bei Bedarf sowie nach Durchführung einer Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen zu aktualisieren.

Um die Einhaltung der Verpflichtungen zu überprüfen, kann die zuständige Behörde über das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) das Bundesamt für Sicherheit in der Informationstechnik (BSI) um die Übersendung derjenigen Bestandteile der nach § 39 des BSI-Gesetzes vorgelegten Nachweise ersuchen, die für die Überprüfung der Einhaltung der Maßnahmen erforderlich sind.

Der Betreiber kritischer Anlagen führt auf Grundlage der nationalen Risikoanalysen und Risikobewertungen, die vom BBK zur Verfügung gestellt werden, sowie anderer vertrauenswürdiger Informationsquellen im Bedarfsfall, mindestens jedoch alle vier Jahre, eine Risikoanalyse und Risikobewertung durch.

Download: KRITIS-Dachgesetz Checklist

Download: KRITIS-Dachgesetz Checklist

Broschüre zum KRITIS DachG

Detaillierte Ausführungen zum Download

Download PDF

NIS-2-Umsetzungsgesetz

Das NIS-2-Umsetzungsgesetz, das auf der NIS-2-Richtlinie (EU) 2022/2555 basiert, ist im Dezember 2025 in Kraft getreten. Ziel der Richtlinie ist es, ein einheitliches und hohes Cybersicherheitsniveau in der EU zu schaffen. Die Mitgliedstaaten sind verpflichtet, eine nationale Cybersicherheitsstrategie zu entwickeln, die sowohl Ziele als auch organisatorische Strukturen auf nationaler Ebene umfasst.

Kontaktieren Sie uns

René Scheffler

René Scheffler

Partner | Assurance
+49 221 97324817
Michael Müller

Michael Müller

Partner | Crisis & Resilience
+49 30 254685225
Oliver S. Migge

Oliver S. Migge

​​Director | IT & Specialized Assurance​
+49 40 320804724

Fanden Sie dies hilfreich?

Ja

Vielen Dank für Ihr Feedback

Ihr Feedback ist uns wichtig

Um uns Ihre Meinung mitzuteilen, aktualisieren Sie bitte Ihre Einstellungen, um Analyse- und Performance-Cookies zu akzeptieren.

Benötigen Sie Hilfe beim Aktualisieren der Cookies?

Weitere Inhalte

Risk Assurance Services

Fortschrittliche Risikomanagementsysteme liefern heutzutage einen Nutzen, der weit über die Erfüllung regulatorischer Anforderungen hinausgeht. Mit Risk Assurance schaffen wir Vertrauen für Ihre Stakeholder und liefern nachhaltige Mehrwerte für die Unternehmenssteuerung.
Service

KRITIS-Dachgesetz: Die wichtigsten Anforderungen

Laden Sie hier das PDF zu "KRITIS-Dachgesetz: Die wichtigsten Anforderungen" herunter. Sie erhalten eine kompakte Übersicht über die wichtigsten Kriterien, die Ihr Unternehmen erfüllen muss.
kritis checkliste, kriterien kritis

Benchmarkstudie Business Continuity Management 2025

Die Benchmarkstudie Business Continuity Management 2024 bietet Einblicke in die Leistungsfähigkeit und Schwerpunkte von BCM-Systemen deutscher Unternehmen.
Research
5 Minuten Lesezeit

Risikotragfähigkeit

Unternehmerische Entscheidungen gehen immer mit Risiken einher. René Scheffler und Tobias Flath, Experten für Business Assurance bei Deloitte, sprechen im Interview über das Konzept der Risikotragfähigkeit und wieso es immer wichtiger wird Risikomanagement und Unternehmenssteuerung zu verknüpfen.
Research
3 Minuten Lesezeit
Erfahren Sie mehr