Warum das KRITIS-Dachgesetz ins Stocken geraten ist – und was das für Betreiber bedeutet

Aktueller Stand des KRITIS-Dachgesetzes 2026: Verzögerung im Gesetzgebungsprozess

Das KRITIS-Dachgesetz 2026, auch als KRITIS-Dachgesetz 2026 bezeichnet, soll die Widerstandsfähigkeit kritischer Infrastrukturen in Deutschland erhöhen und die europäische CER-Richtlinie (EU) 2022/2557 in nationales Recht umsetzen. Es ergänzt bestehende Vorschriften wie das IT-Sicherheitsgesetz 2.0 sowie die NIS2-Richtlinie und soll insbesondere den physischen Schutz kritischer Einrichtungen gesetzlich verankern.

Nach der ersten Lesung im Bundestag im Dezember 2024 war ursprünglich vorgesehen, das Gesetz zügig in Kraft zu setzen. Doch im Januar 2025 wurde klar: Der Gesetzesentwurf in seiner vorliegenden Form wird nicht verabschiedet. Die parlamentarische Zustimmung blieb unter anderem wegen zahlreicher Einwände aus Bundesländern, Branchenverbänden und kommunalen Spitzenverbänden aus. Eine überarbeitete Fassung wird im Laufe des Jahres 2025 erwartet. Das Ziel ist ein Inkrafttreten im Jahr 2026, um die Umsetzungsfrist der EU-Richtlinie einhalten zu können.

Gründe für das Scheitern der ersten Fassung

Der ursprünglich vorgelegte Entwurf wurde aus mehreren Gründen stark kritisiert. Eine zentrale Schwäche war die fehlende Praxistauglichkeit. Viele Betreiber kritischer Infrastrukturen, insbesondere im Mittelstand, sahen sich mit Anforderungen konfrontiert, die sie kaum erfüllen konnten, da ihnen die Zuständigkeiten, Meldewege und Ausnahmen nicht klar waren.

Auch die gewählte Definition kritischer Einrichtungen führte zu Kritik. Anstatt sich an funktionalen Risiken zu orientieren, wurden fixe Schwellenwerte vorgeschlagen, beispielsweise die Versorgung von mehr als 500.000 Personen. Solche Grenzwerte benachteiligen Betreiber mit dezentralen Versorgungsstrukturen und lassen besondere regionale Risiken unberücksichtigt.

Zudem war der Gesetzestext nur unzureichend mit bestehenden Regelwerken abgestimmt. Die Abgrenzung zu NIS2, zum BSI-Gesetz sowie zu branchenspezifischen Sicherheitsstandards (wie etwa B3S) blieb vage. Dadurch entstand der Eindruck, dass das KRITIS-Dachgesetz neue Bürokratie schafft, ohne Synergien zu nutzen oder Doppelungen zu vermeiden.

Welche Bedeutung hat das für Betreiber kritischer Infrastrukturen?

Auch wenn das KRITIS-Dachgesetz 2026 noch nicht verabschiedet wurde, bleibt der Handlungsbedarf für Betreiber solcher Anlagen bestehen. Die Umsetzung der europäischen CER-Richtlinie ist verpflichtend. Bis spätestens Oktober 2026 müssen alle Mitgliedstaaten entsprechende nationale Vorschriften erlassen – Deutschland steht also weiterhin in der Pflicht.

Betreiber dürfen sich daher nicht auf den Verzögerungen ausruhen. Im Gegenteil: Viele der geplanten Anforderungen lassen sich schon heute umsetzen – und sollten es auch. Dazu gehören umfassende Risikoanalysen, physische Schutzmaßnahmen, die Entwicklung von Notfall- und Wiederanlaufplänen sowie die klare Definition von Zuständigkeiten für Krisenkommunikation und Sicherheitsvorkehrungen.

Es ist ratsam, die eigenen Prozesse bereits jetzt mit bestehenden Standards wie ISO 22301, ISO/IEC 27001 oder den branchenspezifischen B3S-Modellen abzugleichen. So schaffen Sie eine belastbare Basis für den reibungslosen Übergang in das neue Regime, sobald das Gesetz in Kraft tritt.

Wie geht es mit dem KRITIS-Dachgesetz weiter?

Das Bundesministerium des Innern und für Heimat (BMI) arbeitet derzeit an einer Neufassung des Gesetzes. Dabei sollen die Aspekte Umsetzbarkeit, Praxisnähe und klare Abgrenzung zu bestehenden Regelungen stärker in den Fokus gerückt werden. Auch die Schwellenwerte zur Einstufung als Betreiber kritischer Einrichtungen werden voraussichtlich überarbeitet. Erste Signale deuten darauf hin, dass die neue Fassung eine differenziertere Risikobetrachtung sowie sektorenspezifische Anpassungen enthalten wird.

Branchenverbände und Landesregierungen bringen sich aktiv in den Prozess ein, um praxisgerechte Lösungen zu erarbeiten. Die neue Gesetzesversion soll noch 2025 in das parlamentarische Verfahren eingebracht werden. Die Zeit drängt: Die europarechtliche Frist zur Umsetzung der CER-Richtlinie endet im Oktober 2026 – bis dahin muss das Gesetz verabschiedet sein und die betroffenen Betreiber müssen es umgesetzt haben.

Was Sie jetzt tun können

Auch ohne aktuelle Gesetzesgrundlage ist es sinnvoll, bereits jetzt mit der Umsetzung relevanter Maßnahmen zu beginnen. Viele der Anforderungen des künftigen KRITIS-Dachgesetzes sind bereits in anderen Regelwerken verankert oder lassen sich aus der europäischen CER-Richtlinie ableiten. Sie betreffen insbesondere die organisatorische und bauliche Resilienz, Meldepflichten, das Notfallmanagement und Risikoanalysen.

Wer frühzeitig aktiv wird, verschafft sich einen deutlichen Vorsprung – nicht nur bei der Umsetzung, sondern auch im Hinblick auf Audits, Zertifizierungen und interne Sicherheitsprozesse. Darüber hinaus zeigt ein proaktives Sicherheitsmanagement auch nach außen gegenüber Kunden, Partnern und Behörden.

Fazit: Auch ohne Gesetz besteht dringender Handlungsbedarf

Die aktuelle Verzögerung beim KRITIS-Dachgesetz bedeutet keinesfalls, dass sich Betreiber zurücklehnen können. Die Sicherheitslage hat sich in den letzten Jahren durch Naturkatastrophen, gezielte Angriffe und technologische Abhängigkeiten deutlich verschärft. Gleichzeitig wächst der regulatorische Druck auf nationaler und europäischer Ebene.

Das KRITIS-Dachgesetz wird kommen – nur in verbesserter Form. Nutzen Sie daher die verbleibende Zeit, um Ihre Organisation auf die neuen Anforderungen vorzubereiten. Denn eines ist sicher: Wer erst reagiert, wenn das Gesetz veröffentlicht ist, riskiert unnötigen Aufwand und Kosten – und im Ernstfall auch Reputationsschäden.

Mehr zur europäischen Grundlage des KRITIS-Dachgesetzes finden Sie direkt im Originaltext der CER-Richtlinie (EU) 2022/2557: Zur EU-Richtlinie auf eur-lex.europa.eu

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.