KRITIS-Dachgesetz 2025: Einheitliche Mindeststandards für mehr Sicherheit

KRITIS-Dachgesetz 2025: Einheitliche Mindeststandards für mehr Sicherheit

Das Thema Resilienz kritischer Infrastrukturen gewinnt in Deutschland seit Jahren an Bedeutung. Die Energiekrise, Naturkatastrophen und nicht zuletzt gezielte Cyberangriffe haben verdeutlicht, wie verletzlich unsere Versorgungssysteme sind. Mit dem neuen KRITIS-Dachgesetz will die Bundesregierung nun einen entscheidenden Schritt gehen und erstmals bundesweit einheitliche Mindeststandards für den physischen und organisatorischen Schutz kritischer Infrastrukturen festlegen. Das Gesetz soll künftig alle wesentlichen KRITIS-Sektoren zusammenfassen und für klare Verhältnisse sorgen. Doch was bedeutet das konkret für Betreiber und wie können sie sich vorbereiten?

Hintergrund: Warum ein Dachgesetz notwendig ist

Bislang war der Schutz kritischer Infrastrukturen in Deutschland stark zersplittert. Verschiedene Sektoren wie Energie, Gesundheit, Wasser oder Transport wurden durch unterschiedliche Gesetze, Verordnungen oder freiwillige Standards geregelt. Dadurch entstand ein Flickenteppich an Anforderungen, der vor allem bei Betreibern mit übergreifenden Tätigkeiten für Unklarheit sorgte.

Das neue KRITIS-Dachgesetz soll hier ansetzen und erstmals einen einheitlichen Rahmen schaffen. Der Gesetzgeber will damit sicherstellen, dass alle Betreiber nach denselben Grundprinzipien arbeiten, Bedrohungen systematisch bewerten und ihre Schutzmaßnahmen an vergleichbaren Standards ausrichten. Die großen Angriffe der letzten Jahre, auch auf Kommunen und Stadtwerke, haben gezeigt, dass unkoordinierte Sicherheitskonzepte im Ernstfall erhebliche Lücken offenbaren können.

Was regelt das KRITIS-Dachgesetz?

Der aktuelle Entwurf sieht vor, dass das Dachgesetz bundesweit verbindliche Mindeststandards für den physischen und organisatorischen Schutz definiert. Dazu zählen etwa Zutrittskontrollen, bauliche Schutzmaßnahmen, organisatorische Abläufe für den Krisenfall und die Absicherung von Lieferketten.

Ein zentraler Punkt ist außerdem, dass Betreiber verpflichtet werden, Risikoanalysen durchzuführen und darauf basierende Resilienzpläne zu erstellen. So soll gewährleistet werden, dass nicht nur IT-Systeme, sondern auch physische Anlagen und Prozesse widerstandsfähiger werden.

Zusätzlich sollen Meldepflichten vereinheitlicht werden, damit Vorfälle schneller und transparenter an Behörden übermittelt werden. Die Aufsicht soll dabei künftig in enger Zusammenarbeit zwischen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen.

Wer ist betroffen?

Das KRITIS-Dachgesetz betrifft alle Betreiber kritischer Infrastrukturen in Deutschland – unabhängig von ihrer Größe. Dazu gehören beispielsweise Energieversorger, Wasserwerke, Unternehmen der Abfallwirtschaft, Verkehrsbetriebe, Gesundheitseinrichtungen, Lebensmittelunternehmen und sogar der öffentliche Sektor.

Erstmals werden auch bislang weniger stark regulierte Bereiche wie die Abfallwirtschaft oder die Bildungsinfrastruktur in den Anwendungsbereich aufgenommen. Betreiber sollten deshalb zeitnah prüfen, ob ihre Einrichtungen künftig unter die Regelungen des Dachgesetzes fallen und welche Maßnahmen sie gegebenenfalls nachrüsten müssen.

Zeitplan und Fristen

Der aktuelle Zeitplan sieht vor, dass das Gesetz noch 2025 beschlossen wird und anschließend mit einer Übergangsfrist in Kraft tritt. Viele Detailregelungen, beispielsweise die genaue Ausgestaltung der Meldepflichten oder Zertifizierungsanforderungen, sollen in untergesetzlichen Verordnungen festgelegt werden.

Betreiber müssen daher damit rechnen, dass bereits Anfang 2026 verbindliche Anforderungen greifen werden. Wer sich erst zu spät vorbereitet, könnte in organisatorische oder finanzielle Schwierigkeiten geraten, wenn kurzfristig Schutzkonzepte umgesetzt werden müssen.

Was Betreiber jetzt tun sollten

Auch wenn das Gesetz noch nicht endgültig verabschiedet wurde, sollten Betreiber bereits aktiv werden. Es empfiehlt sich, die vorhandenen Sicherheitsmaßnahmen mit Blick auf das KRITIS-Dachgesetz zu prüfen und eine erste Risikoanalyse durchzuführen. So können mögliche Schwachstellen rechtzeitig identifiziert werden.

Zudem ist es sinnvoll, die Notfall- und Krisenpläne zu überprüfen und bei Bedarf zu aktualisieren. Die Mitarbeiter sollten über die neuen Anforderungen informiert und für Melde- und Reaktionsprozesse sensibilisiert werden. Gerade im Bereich der physischen Sicherheit, beispielsweise beim Zutrittsschutz oder bei Brandschutzkonzepten, werden oft größere Investitionen erforderlich sein. Eine langfristige Planung erleichtert die Umsetzung.

Herausforderungen und offene Fragen

Wie bei allen großen Gesetzesvorhaben bleiben noch viele Details unklar. So wird beispielsweise diskutiert, wie die Aufsicht zwischen Bund und Ländern genau verteilt werden soll und welche Ressourcen für die Prüfung der Betreiber bereitgestellt werden. Auch die Definition dessen, was tatsächlich als „kritisch“ gilt, muss in den kommenden Monaten weiter konkretisiert werden.

Für Betreiber bedeutet das, dass sie in engem Austausch mit Behörden und Branchenverbänden bleiben sollten. Nur so können Unsicherheiten frühzeitig geklärt und spätere Überraschungen vermieden werden.

Fazit: Das KRITIS-Dachgesetz als Chance verstehen

Das KRITIS-Dachgesetz ist ohne Frage eine Herausforderung für viele Betreiber, da es mehr Bürokratie und neue Pflichten bedeutet. Gleichzeitig bietet es die Chance, die Sicherheit der eigenen Anlagen und Prozesse auf ein zukunftsfähiges Niveau zu heben.

Wer frühzeitig handelt, kann Investitionen sinnvoll steuern, die Mitarbeitenden einbinden und den Übergang zur neuen Rechtslage stressfrei gestalten. So wird das Dachgesetz nicht nur zur Pflichtaufgabe, sondern zum Sprungbrett für eine resilientere und besser geschützte Infrastruktur.

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.