KRITIS-Dachgesetz 2025 – Verzögerung, Ausblick und Handlungsbedarf

Ein Gesetz von großer Bedeutung – mit großem Verzug

Das KRITIS-Dachgesetz ist als übergreifender Rechtsrahmen für alle Betreiber kritischer Infrastrukturen in Deutschland konzipiert. Es soll Mindeststandards festlegen, die über die branchenspezifischen Regelungen hinausgehen, und somit für einheitliche Sicherheitsvorgaben sorgen. Ursprünglich war geplant, das Gesetz im Jahr 2024 zu verabschieden, um es zeitnah in Kraft treten zu lassen. Doch der politische Prozess verlief deutlich langsamer als erwartet.

Im Januar 2025 scheiterte der damalige Entwurf im Bundestag – nicht an den Inhalten, sondern an parteipolitischen Differenzen innerhalb der damaligen Regierungskoalition. Mit der Regierungsneubildung im Sommer 2025 wurde das Projekt in überarbeiteter Form erneut aufgegriffen.

Zeitplan: Inkrafttreten wohl erst Ende 2025

Nach aktuellen Informationen soll das KRITIS-Dachgesetz frühestens Ende 2025 in Kraft treten. Die neue Bundesregierung hat angekündigt, den Entwurf anzupassen und gemeinsam mit anderen Sicherheitsthemen – darunter auch die Umsetzung der EU-Richtlinie NIS2 – in den Bundestag und Bundesrat einzubringen.

Das bedeutet für Betreiber: Auch wenn aktuell noch kein verbindlicher Gesetzestext vorliegt, ist der Inhalt weitgehend absehbar. Kernpunkte wie Risikoanalysen, Resilienzstrategien und Meldepflichten werden mit hoher Wahrscheinlichkeit Teil der finalen Version sein.

NIS2 und KRITIS-Dachgesetz: Parallel, aber nicht identisch

Während das KRITIS-Dachgesetz auf nationaler Ebene für Einheitlichkeit sorgen soll, ist die EU-Richtlinie NIS2 bereits beschlossene Sache. Deutschland arbeitet derzeit an einem Umsetzungsgesetz, das bis zu 30.000 Unternehmen betreffen könnte – weit mehr, als bisher unter das KRITIS-Regime fielen.

Die Überschneidungen zwischen beiden Regelwerken sind vor allem im Bereich Informationssicherheitsmanagement, Meldepflichten und Risikoanalysen groß. Allerdings wird das KRITIS-Dachgesetz voraussichtlich zusätzliche Anforderungen speziell für besonders kritische Sektoren wie Energie, Wasser, Gesundheit und Finanzen definieren.

Warum Sie jetzt schon handeln sollten

Viele Betreiber warten ab, bis die finalen Gesetzestexte veröffentlicht werden. Das ist jedoch riskant. Erfahrungsgemäß wird der Zeitraum zwischen Verabschiedung und Inkrafttreten kurz sein, sodass sich Vorbereitungen dann kaum noch in der gebotenen Tiefe umsetzen lassen.

Sinnvolle Schritte, die Sie schon jetzt angehen können, sind unter anderem:

• Überprüfung und Dokumentation bestehender Sicherheitsmaßnahmen
• Einführung oder Optimierung eines Informationssicherheitsmanagementsystems (ISMS).
• Durchführung von Risikoanalysen und Bedrohungsbewertungen.
• Etablierung klarer Prozesse für die Meldung von Sicherheitsvorfällen.
• Schulung relevanter Mitarbeiter in Sicherheits- und Resilienzthemen.

Fazit: Die Uhr tickt

Auch wenn das KRITIS-Dachgesetz noch nicht gilt, ist der Trend eindeutig: Die Anforderungen an Betreiber kritischer Infrastrukturen werden strenger, verbindlicher und umfassender. Wer sich frühzeitig vorbereitet, minimiert nicht nur das Risiko von Sanktionen, sondern stärkt auch nachhaltig die Sicherheit seiner Organisation.

Weiterführende Informationen zum KRITIS-Dachgesetz

• Bundesministerium des Innern – KRITIS-Dachgesetz (offizielle Seite)
• BSI – Anforderungen für kritische Infrastrukturen
• Bundesrat – Gesetzgebungsverfahren KRITIS-Dachgesetz
• EU-Kommission – NIS-2-Richtlinie als Grundlage

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.