Von der Alarmierung von Rettungskräften über den Zahlungsverkehr bis hin zur Stromversorgung – Kritische Infrastrukturen (KRITIS) sind für unsere Gesellschaft unverzichtbar. Wir alle sind im Alltag und vor allem in Extremsituationen darauf angewiesen. Die Verfügbarkeit kritischer Infrastrukturen sichert nicht nur die Handlungsfähigkeit staatlicher Institutionen, sondern ist auch die Voraussetzung für gesellschaftliches und wirtschaftliches Handeln.

Der Umfang Kritischer Infrastrukturen ist groß und die Gefahren vielfältig – von Naturkatastrophen und Epidemien über hybride Bedrohungen, menschliches Versagen, Terroranschläge und Sabotageaktivitäten bis hin zur unzureichenden Versorgung mit wesentlichen Betriebsressourcen, etwa durch Kollaps von Lieferketten. Die COVID-19-Pandemie sowie der Ukrainekrieg haben die Bedeutung und die Verwundbarkeit Kritischer Infrastrukturen eindrücklich aufgezeigt. Sabotageakte an Pipelines, Bahnstrecken und Datenleitungen zeigen seither: Die physische Sicherheit ist genauso relevant wie die digitale.

Das KRITIS-Dachgesetz, das nach einem langen Gesetzgebungsweg am 17. März 2026 in Kraft getreten ist, setzt genau hier an.


Von der Idee zum Gesetz – ein langer Weg

Die Entstehungsgeschichte des KRITIS-Dachgesetzes ist eng mit der EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie, EU 2022/2557) verknüpft, die am 16. Januar 2023 in Kraft trat. Die EU-Mitgliedstaaten waren verpflichtet, diese Richtlinie bis 17. Oktober 2024 in nationales Recht umzusetzen.

Deutschland verfehlte diese Frist – mit Konsequenzen: Ein Vertragsverletzungsverfahren der EU-Kommission gegen die Bundesrepublik war die Folge. Ursache war vor allem die vorzeitige Beendigung der Legislaturperiode im Jahr 2024: Der bis dahin erarbeitete Gesetzesentwurf verfiel durch das Diskontinuitätsprinzip.

Die neue Bundesregierung brachte das Gesetz in nahezu unveränderter Form neu auf den Weg:

  • 10. September 2025: Kabinettsbeschluss
  • 6. November 2025: Erste Lesung im Bundestag
  • 1. Dezember 2025: Anhörung im Innenausschuss
  • 29. Januar 2026: Beschluss durch den Bundestag
  • 17. März 2026: Inkrafttreten

Bundesinnenminister Alexander Dobrindt (CSU) brachte das Ziel bei der ersten Lesung auf den Punkt: Es gehe darum, „aus der kritischen Infrastruktur eine krisensichere Infrastruktur" zu machen.


Was regelt das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz schafft erstmals bundeseinheitliche und sektorübergreifende Mindeststandards für den physischen Schutz Kritischer Infrastrukturen. Damit ergänzt es das bestehende System der Cybersicherheit, das über das BSI-Gesetz (BSIG) und das NIS-2-Umsetzungsgesetz (in Kraft seit 6. Dezember 2025) abgedeckt wird.

Ein wichtiger Einschnitt: Die bisherige BSI-KritisV zur Bestimmung kritischer Anlagen wird durch das KRITIS-Dachgesetz und eine zugehörige Rechtsverordnung abgelöst.

Die erfassten Sektoren

Das Gesetz gilt für Betreiber kritischer Anlagen in zehn Sektoren:

  1. Energie
  2. Transport und Verkehr
  3. Finanz- und Versicherungswesen
  4. Gesundheit
  5. Trinkwasser
  6. Abwasser
  7. Siedlungsabfallentsorgung
  8. Informationstechnik und Telekommunikation
  9. Ernährung
  10. Weltraum und Öffentliche Verwaltung
Wer gilt als „kritische Anlage"?

Zwei Kriterien müssen erfüllt sein. Eine Einrichtung zählt zu den kritischen Anlagen, wenn sie:

  1. essenziell für die Gesamtversorgung in Deutschland ist und
  2. mehr als 500.000 Personen versorgt.

Daneben fließen qualitative Kriterien ein – etwa Interdependenzen mit anderen Sektoren, Marktanteil und geografische Reichweite. Welche Anlagen konkret erfasst sind, wird durch eine noch zu erlassende Rechtsverordnung des Bundesministeriums des Innern (BMI) präzisiert.


Institutioneller Rahmen: Das BBK als zentrale Behörde

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) im Geschäftsbereich des Bundesministeriums des Innern (BMI) wird zur übergreifenden zuständigen Behörde für den physischen Schutz Kritischer Infrastrukturen ausgebaut. Das schafft erstmals eine klare Anlaufstelle und eindeutige Verantwortlichkeiten.

Die Zusammenarbeit zwischen Bund, Ländern und Betreibern wird durch das Gesetz strukturierter geregelt. Allerdings bleibt die föderale Aufgabenteilung im Bereich Katastrophenschutz eine Herausforderung – ein Kritikpunkt, der schon beim ersten Entwurf 2023 bestand und auch im verabschiedeten Gesetz nicht vollständig aufgelöst wurde.

Eine Evaluierung des Gesetzes ist bereits nach zwei Jahren vorgesehen – deutlich früher als ursprünglich mit fünf Jahren geplant.


Was bedeutet das für KRITIS-Betreiber in der Praxis?

Für Betreiber in betroffenen Sektoren – darunter Krankenhäuser, Energieversorger, Wasserwerke, Behörden und Transportunternehmen – ergibt sich jetzt konkreter Handlungsbedarf:

  • Prüfen, ob die eigene Anlage unter das Gesetz fällt (quantitative und qualitative Kriterien)
  • Registrierung vorbereiten (Plattform BBK/BSI, Frist 17. Juli 2026)
  • Risikoanalyse nach All-Gefahren-Ansatz aufsetzen oder bestehende Prozesse anpassen
  • Resilienzplan erstellen und dokumentieren
  • Meldeprozesse für erhebliche Störungen etablieren
  • Verzahnung mit NIS2/BSIG-Anforderungen sicherstellen

Die genaue Definition, welche Anlagen konkret betroffen sind, wird durch eine noch ausstehende Rechtsverordnung des BMI festgelegt. Betreiber sollten diese Entwicklung eng beobachten.


Fazit

Das KRITIS-Dachgesetz markiert einen echten Paradigmenwechsel in der deutschen Infrastrukturpolitik. Erstmals gibt es einen bundeseinheitlichen, sektorübergreifenden Rechtsrahmen für den physischen Schutz Kritischer Infrastrukturen – mit klaren Pflichten, Fristen und Sanktionen.

Der lange Weg zum Gesetz – von den ersten Entwürfen 2022 über das gescheiterte Verfahren in der 20. Legislaturperiode bis zum Inkrafttreten im März 2026 – zeigt, wie komplex das Thema politisch und rechtlich ist. Umso wichtiger ist es jetzt, die verbleibende Zeit bis zu den Umsetzungsfristen zu nutzen.

Für KRITIS-Betreiber gilt: Wer jetzt handelt, ist besser vorbereitet – und vermeidet Bußgelder ab Juli 2026.

Quellen: