Profitieren Sie von den Vorteilen der Mitgliedschaft!
Bundestag beschließt Kritis-Dachgesetz zum Schutz kritischer Infrastrukturen
Kommentar von Prof. Dr. Norbert Gebbeken, Präsident der Bayerischen Ingenieurekammer-Bau
29.01.2026 - Berlin
Der Bundestag hat am 29. Januar 2026 das Kritis-Dachgesetz beschlossen. Das Gesetz setzt die EU Richtlinie 2022/2557 um und soll die Resilienz kritischer Infrastrukturen und Anlagen in Deutschland stärken. Dazu werden bundeseinheitliche und sektorübergreifende Mindeststandards für den physischen Schutz der kritischen Infrastrukturen festgelegt. Prof. Dr. Norbert Gebbeken, der Präsident der Bayerischen Ingenieurekammer-Bau, begrüßt das Gesetz, mahnt jedoch konkrete Schritte zur praktischen Umsetzung an. Dazu müssten die Grundlagen für den physischen Schutz schnellstens erarbeitet werden.
Mit dem Kritis-Dachgesetz werden bundeseinheitliche und sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen festgelegt. Damit will die Bundesregierung die Resilienz der Wirtschaft und dadurch auch die Versorgungssicherheit der Bevölkerung durch bundeseinheitliche Regelungen für den physischen Schutz kritischer Infrastrukturen stärken.
Prof. Dr. Norbert Gebbeken, der Präsident der Bayerischen Ingenieurekammer-Bau, kommentiert: „Das KRITIS-Dachgesetz wurde am 29. Januar 2026 beschlossen. Es soll dazu dienen, die Resilienz physischer kritischer Infrastrukturen mit physischen Maßnahmen zu erhöhen. Das beschlossene KRITIS-Dachgesetz ist eine reine Verfahrensordnung. Sie ist keine Grundlage zum physischen Schutz. Weder wissen wir, wovor wir uns schützen sollen, noch werden Schutzziele angesprochen. Es ist nun dringend erforderlich, die Grundlagen für den physischen Schutz schnellstens zu erarbeiten. Der Stromausfall in Berlin hat gezeigt, dass wir keine Zeit verstreichen lassen dürfen.“
Stärkerer Schutz kritischer Infrastrukturen
Das KRITIS-Dachgesetz hat am 29. Januar 2026 den Deutschen Bundestag passiert. Damit werden bundeseinheitliche und sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen festlegt.
Das KRITIS-Dachgesetz legt bundesweit fest, welche Unternehmen und Einrichtungen Teil der kritischen Infrastruktur sind. Damit werden erstmalig folgende Sektoren zusammengefasst: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung.
Identifizierung kritischer Anlagen
Mit dem Gesetzentwurf werden die bestehenden Regelungen im Bereich der IT-Sicherheit kritischer Infrastrukturen ergänzt. Zudem wird bundesweit festgelegt, welche Unternehmen und Einrichtungen Teil der kritischen Infrastruktur sind. Die Einrichtung muss hierzu essenziell für die Gesamtversorgung in Deutschland sein und mehr als 500.000 Personen versorgen.
Mindestanforderungen für den Schutz kritischer Infrastrukturen
Darüber hinaus legt der Gesetzentwurf bundeseinheitliche und sektorübergreifende Mindeststandards für den physischen Schutz der kritischen Infrastrukturen durch die Betreiber fest. Das können zum Beispiel Notfallteams, ein stärkerer Objektschutz und Maßnahmen zur Ausfallsicherheit sein. Eine Grundlage hierfür sind Risikoanalysen und Risikobewertungen, die von den zuständigen staatlichen Stellen erarbeitet und den Betreibern zur Verfügung gestellt werden. Zudem ist eine Meldepflicht für Vorfälle vorgesehen.
Änderungen im parlamentarischen Verfahren
Im parlamentarischen Verfahren wurden Änderungen am Regierungsentwurf vorgenommen. So wird insbesondere den Ländern die Möglichkeit gegeben, weitere kritische Anlagen für kritische Dienstleistungen, die allein in ihrer Zuständigkeit liegen, zu identifizieren. Das Bundesinnenministerium erhält die Ermächtigung, die entsprechenden Kriterien und Verfahren per Rechtsverordnung festzulegen, die der Zustimmung des Bundesrates bedarf.
In der KRITIS-Resilienzstrategie sollen Erwägungen zu Transparenzpflichten für kritische Infrastrukturen berücksichtigt werden. Zudem soll es eine Evaluierung des KRITIS-Dachgesetztes bereits in 2 Jahren und nicht erst in 5 Jahren erfolgen.
Quellen: Bundesregierung, Bayerische Ingenieurekammer-Bau, Fotos: Tobias Hase / BayIka-Bau (1,2) Jochen Tack / imago (3)
Bundestag beschließt Gesetz zur Stärkung kritischer Anlagen
Bericht des Deutschen Bundestages vom 29.01.2026
Der Bundestag hat am 29. Januar 2026 den Gesetzentwurf der Bundesregierung „zur Umsetzung der Richtlinie (EU) 2022 / 2557 und zur Stärkung der Resilienz kritischer Anlagen“ (Kritis-Dachgesetz, 21/2510, 21/3855) in der vom Innenausschuss geänderten Fassung (21/3906) angenommen. Dafür stimmten CDU/CSU, AfD und SPD, dagegen Bündnis 90/Die Grünen und Die Linke. Zum Gesetz beschloss der Bundestag darüber hinaus eine Entschließung, der die Unionsfraktion, die AfD- und die SPD-Fraktion zustimmten. Die Linke votierte dagegen, die Grünen enthielten sich.
Mit den Stimmen von Union, AfD und SPD gegen die Stimmen der Grünen und der Linken lehnte der Bundestag einen Antrag von Bündnis 90/Die Grünen mit dem Titel „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“ (21/2725) ab. Dazu lag eine Beschlussempfehlung des Innenausschusses vor (21/3761).
Union: Ein Meilenstein für die Sicherheit des Landes
In der Debatte sprach Sebastian Schmidt (CDU/CSU) von dem Gesetz als einem „echten Meilenstein“ für die Sicherheit des Landes. Es sei auch Ausdruck der innenpolitischen Zeitenwende der schwarz-roten Koalition. Mit dem Gesetz würden mehr Sicherheit, Klarheit und auch mehr Handlungsfähigkeit geschaffen. Schmidt lobte die im parlamentarischen Verfahren erzielten Verbesserungen. So konzentriere man sich etwa auf die wichtigsten Anlagen und ziehe die Evaluierung „deutlich vor“, um schnelles Handeln und auch ein Nachsteuern zu ermöglichen.
Schmidt bezeichnete die Verdopplung der Bußgelder als klares Signal und betonte, dass die Regelungen weiterhin verhältnismäßig seien. Der Gesetzentwurf allein löse die Probleme jedoch nicht, sagte Schmidt mit Blick auf Konflikte mit Transparenzvorgaben und verwies auf einen Entschließungsantrag der Koalitionsfraktionen. In diesem werde die Bundesregierung aufgefordert, alles Transparenzpflichten zu überprüfen, sie gegebenenfalls neu zu bewerten und Daten zu löschen. „Wir dürfen unsere kritische Infrastruktur nicht weiter auf dem Silbertablett präsentieren“, sagte er und appellierte auch an die Länder, das Gesetz zügig auf den Weg zu bringen.
Regierung: Das Thema hat Priorität
Innenminister Alexander Dobrindt (CSU) wies in seiner Rede auf die Priorität des Themas für die Bundesregierung und diesbezügliche Entscheidungen des gestrigen Koalitionsausschusses hin und lobte die im parlamentarischen Verfahren erzielten Verbesserungen.
Dass eine Öffnungsklausel mit den Ländern für eigene Entscheidungen gefunden wurde, sei „klug und gut gewählt“, sagte Dobrindt.
AfD fordert einen großen Wurf
Arne Raue (AfD) sagte, angesichts der tiefen Eingriffe in Wirtschaft, Verwaltung und unternehmerische Freiheit müsse der Entwurf „der große Wurf“ sein. Die jüngsten Anschläge durch Linksextreme seien „Weckrufe“, betonte Raue. Er kritisierte, dass entscheidende Fragen im Gesetz in Ministerien, Ämter und nachgeordnete Behörden ausgelagert würden. Wer so vorgehe, habe kein Interesse an einer parlamentarischen Debatte. Zudem ziehe der Bund Kompetenzen an sich, die bisher praxisnah und regional verankert gewesen seien, kritisierte er. Dadurch würden Akteure vor Ort so zu Ausführungsorganen degradiert.
Er monierte, dass ausgerechnet Staat und Verwaltung im Entwurf praktisch keine Rolle spielen. Zudem könne der Erfüllungsaufwand nicht klar beziffert werden, sodass von einem „wirtschaftlichen Blindflug-Gesetz“ gesprochen werden könne: Gerade kommunale Unternehmen gingen ins Risiko, ohne zu wissen, was „morgen per Verordnung verlangt wird“, kritisierte Raue. Seine Fraktion werde dem Entwurf dennoch zustimmen, um Verantwortung zu übernehmen, betonte er. Seine Fraktion erwarte eine umgehende und angemessene Ausgestaltung der Rechtsverordnung.
SPD: Die Risiken sind vielfältiger geworden
Rasha Nasr (SPD) sagte, der Gesetzentwurf sei „kein spektakuläres Gesetz, aber ein fundamental wichtiges.“ Es sorge dafür, dass das, was wir im Alltag für selbstverständlich halten, zuverlässig funktioniere. Die Risiken seien in den vergangenen Jahren vielfältiger geworden: Die Frage sei nicht mehr, ob Störungen auftreten, sondern wann und wie gut wir auf sie vorbereitet seien, betonte Nasr. Die Koalition stelle im Entwurf sicher, dass sich die Pflichten auf diejenigen konzentrierten, bei denen es um systemische Relevanz gehe. Die Öffnungsklausel ermögliche es den Ländern, unter dem bundeseinheitlichen Schwellenwert weitere Anlagen als kritisch zu identifizieren, wenn diese für die regionale Versorgung von besonderer Bedeutung seien.
In punkto Transparenzpflichten sagte Nasr, Transparenz habe dort ihre Grenzen, wo sie unsere Sicherheit gefährde. Die Bundesregierung und die Länder müssten bestehende Transparenz- und Veröffentlichungspflichten überprüfen und anpassen, wo sie Risiken erzeugten, plädierte sie.
Grüne: Strategie gegen hybride Bedrohungen fehlt
Dr. Konstantin von Notz (Bündnis 90/Die Grünen) betonte, dass die Bundesrepublik täglich angegriffen werde. Dabei nehme die Dreistigkeit, mit der autoritäre Kräfte vorgehen, massiv zu. Die Folge seien Schäden in der Wirtschaft, bei der Versorgungssicherheit und nicht zuletzt beim Vertrauen der Menschen in die Wirkmächtigkeit des Staates, so von Notz. Viel zu lange seien diese Themen nicht adressiert worden. Das, was nun vorliege, sei jedoch „zu wenig und zu spät“.
Er monierte, dass weiter eine Gesamtstrategie gegen hybride Bedrohungen fehle. Nötig seien weiter die Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI), eine Grundgesetzänderung zur besseren Abwehr von Cyberangriffen wie auch Maßnahmen gegen das Treiben der russischen Schattenflotte oder klare Verantwortlichkeiten bei der Drohnenabwehr, zählte von Notz auf. Mit Blick auf das Kritis-Dachgesetz sei es zwar gut, dass auf die Kritik aus der Anhörung reagiert wurde, allerdings monierte auch von Notz eine Auslagerung von Details in Rechtsverordnungen. Das koste Zeit, „die wir nicht haben.“
Linke moniert neue Verordnungen und neue Bürokratie
Jan Köstering Die (Linke) kritisierte, dass ausgerechnet den Bundestag und Ministerien wie das Verteidigungsministerium oder das Auswärtige Amt vom Gesetzentwurf ausgenommen würden. „Offenbar gilt: Kritische Infrastruktur ist alles, außer dort, wo politische Verantwortung sitzt“, sagte Köstering. Der Antrag der Grünen zeige aus seiner Sicht, dass verstanden wurde, dass physische und digitale Sicherheit zusammengedacht werden müsse. Das fehle dem Kritis-Dachgesetz der Bundesregierung. Anstelle echter Sicherheit kämen „neue Meldepflichten, neue Verordnungen und neue Bürokratie“, sagte er.
Dabei entstehe Sicherheit nicht durch Formulare, sondern durch robuste Systeme, sagte der Linken-Politiker und verwies auf Sicherheitslücken, Hintertüren in Software sowie Schwachstellen, die „bewusst offengelassen werden“, so Köstering. Mit Blick auf den jüngsten Anschlag auf das Stromnetz in Berlin sagte er, dieser habe gezeigt, wie schnell der Katastrophenschutz an seine Grenzen gebracht werde. Für echten Schutz kritischer Infrastrukturen brauche es mehr als Zäune, Warnschilder und Meldepflichten. Neben einer „schonungslosen Gefährdungsanalyse für alle Ballungsgebiete“ brauche es beispielsweise Redundanzen. An zu vielen Orten fehlten doppelte Leitungen oder getrennte Leitungswege.
Gesetzentwurf der Bundesregierung
Mit dem Gesetz wird die EU-Richtlinie 2022 / 2557 über die Resilienz kritischer Einrichtungen, die sogenannte CER-Richtlinie, in deutsches Recht umgesetzt. Durch bundeseinheitliche Regelungen für den physischen Schutz kritischer Infrastrukturen will die Bundesregierung die Resilienz der Wirtschaft und dadurch auch die Versorgungssicherheit der Bevölkerung stärken.
Das Kritis-Dachgesetz macht Vorgaben zur Identifizierung von Betreibern kritischer Anlagen und kritischen Einrichtungen mit besonderer Bedeutung für Europa sowie Vorgaben zur Registrierung von Betreibern kritischer Anlagen. Es zielt zudem auf die Etablierung von nationalen Risikoanalysen und Risikobewertungen für kritische Dienstleistungen und die gesetzliche Verankerung wesentlicher nationaler Anforderungen für Resilienzmaßnahmen von Betreibern kritischer Anlagen ab. Außerdem wird ein Meldewesen für Vorfälle eingeführt.
Änderungen im Innenausschuss und Entschließung
Der Innenausschuss hatte am 28. Januar Änderungen am Regierungsentwurf vorgenommen. Den Ländern wird die Möglichkeit gegeben, weitere kritische Anlagen für kritische Dienstleistungen, die alleine in ihrer Zuständigkeit liegen, zu identifizieren. Für die Festlegung der zugrunde zu legenden Kriterien und Verfahren wird das Bundesinnenministerium ermächtigt, eine Rechtsverordnung zu erlassen, der der Bundesrat zustimmen muss.
In der vom Bundestag beschlossenen Entschließung wird die Bundesregierung aufgefordert, Informations-, Transparenz- und Veröffentlichungspflichten für Kritis-Betreiber zu überprüfen und anzupassen. Auch soll die Bundesregierung anderem auf die „konsequente Anwendung bereits bestehender Ausnahmen“ von diesen Pflichten hinwirken und bereits veröffentlichte, öffentlich zugängliche Infrastrukturinformationen „überprüfen und, wo möglich, konsequent aus den öffentlich zugänglichen Bereichen“ entfernen.
Stellungnahme des Bundesrates
Zu dem Regierungsentwurf hatte der Bundesrat eine Stellungnahme abgegeben (21/3855) abgegeben. Darin begrüßt die Länderkammer, dass die Bundesregierung mit dem Gesetzentwurf den Handlungsbedarf zur Steigerung der Resilienz der Kritischen Infrastruktur aufgreift. In der Sache werde der Gesetzentwurf seiner Zielsetzung allerdings nicht gerecht, kritisiert der Bundesrat und unterbreitet eine Reihe von Änderungsvorschlägen und Prüfbitten.
So spricht er sich unter anderem für eine Absenkung des im Gesetzentwurf vorgesehenen Regelschwellenwerts von 500.000 versorgten Einwohnern aus, den eine Kritis-Anlage überschreiten müsse, bevor der entsprechende Betreiber den Anforderungen des Gesetzes unterliege. Die Mehrheit der Bevölkerung in Deutschland werde indes von Kritis-Betreibern versorgt, die unterhalb des Schwellenwerts liegen, argumentiert der Bundesrat und plädiert für einen Schwellenwert von 150.000 zu versorgenden Personen.
Dazu schreibt die Bundesregierung in ihrer Gegenäußerung, dass sich der Regelschwellenwert von 500.000 zu versorgenden Einwohnern je Anlage im Gesetzentwurf „an den Prinzipien der Versorgungssicherheit und der Wirtschaftlichkeit“ orientiere. Sie könne sich jedoch „an dieser Stelle Regelungen zur Eröffnung von Spielräumen der Länder für die Identifizierung von Kritis auch jenseits des Regelschwellenwertes vorstellen“.
Antrag der Grünen
Die Bundesregierung wird im abgelehnten Antrag der Grünen (21/2725) aufgefordert, den Entwurf für ein Kritis-Dachgesetz vorzulegen, das „einen effektiven und einheitlichen Kritis-Schutz schafft, der die EU-Vorgaben für die physische und digitale Sicherheit vereinheitlicht, Betreiber kritischer Anlagen künftig nur noch durch das Dachgesetz und die dazugehörige Rechtsverordnung bestimmt und Deutschland insbesondere durch das Schaffen von einheitlichen Mindeststandards, Risikoanalysen und ein Störungsmonitoring insgesamt widerstandsfähiger gegen Krisen und Angriffe macht“.
Einheitliche Meldestelle für Betreiber kritischer Anlagen
Dabei sollte die Bundesregierung dem Antrag zufolge sicherstellen, dass in dieser Gesetzesvorlage eine einheitliche Meldestelle für die Betreiber kritischer Anlagen geschaffen sowie das nationale IT-Sicherheitsrecht systematisiert wird und einheitliche IT-Sicherheitsstandards für Bund und Länder gelten. Auch sollten mit dem Entwurf nach dem Willen der Fraktion die öffentliche Verwaltung in den Schutzbereich aufgenommen und Bereichsausnahmen für die Bundesverwaltung gestrichen werden.
Des Weiteren plädierte die Fraktion dafür, mit dem Gesetzentwurf unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Unabhängigkeit zu stärken und den Bundestag „in den Definitionsrahmen einer Kritischen Infrastruktur“ aufzunehmen. Ferner drang die Fraktion darauf, dass „die zahlreichen kleinen und mittleren Unternehmen, die durch die Absenkung von Schwellenwerten neu unter den Kritis-Schutz fallen und die gesetzgeberischen Vorgaben umzusetzen haben, bestmöglich beraten werden“. Die Bundesregierung sollte zugleich aufgefordert werden, ein „One-Stop-Shop“-Verfahren zu implementieren, bei dem sich der Betreiber nur an eine Aufsichtsbehörde wenden muss.
Quelle: Deutscher Bundestag / lbr/sto/hau/29.01.2026
Überblick: Das Kritis-Dachgesetz vom 29. Januar 2026
Mit der Verabschiedung des Gesetzes zur Stärkung der Resilienz kritischer Anlagen – allgemein bekannt als Kritis-Dachgesetz – am 29. Januar 2026 hat der Deutsche Bundestag eine bedeutende Transformation der bundesdeutschen Sicherheitsarchitektur eingeleitet.1 Dieses Gesetzeswerk markiert den Übergang von einer fragmentierten, primär auf Freiwilligkeit und sektorspezifischen Insellösungen basierenden Gefahrenabwehr hin zu einem kohärenten, gesetzlich fixierten System der nationalen Resilienz.4
In einem geopolitischen Umfeld, das zunehmend durch hybride Bedrohungsszenarien, gezielte Sabotageakte und die Auswirkungen des Klimawandels geprägt ist, schafft das Kritis-Dachgesetz die notwendige rechtliche Grundlage, um die physische Integrität der für das Gemeinwesen überlebenswichtigen Infrastrukturen zu gewährleisten.1
Die Entscheidung des Parlaments am 29. Januar 2026 war das Resultat intensiver politischer Auseinandersetzungen und einer langjährigen legislativen Vorarbeit, die bereits in der vorangegangenen Wahlperiode ihren Anfang nahm, jedoch erst durch die amtierende Koalition aus Union und SPD unter Bundeskanzler Friedrich Merz zum Abschluss gebracht wurde.2 Das Gesetz setzt die europäische CER-Richtlinie (Critical Entities Resilience, Richtlinie EU 2022/2557) in nationales Recht um und harmonisiert die Anforderungen an Betreiber kritischer Anlagen über elf Sektoren hinweg.3
Der parlamentarische Weg und die politische Willensbildung
Der legislative Prozess des Kritis-Dachgesetzes spiegelt die veränderte Sicherheitswahrnehmung in der Bundesrepublik wider. Während der Entwurf in der 20. Wahlperiode aufgrund von Differenzen innerhalb der damaligen Ampel-Koalition sowie zwischen Bund und Ländern stagnierte, forcierte die Nachfolgeregierung den Prozess als Reaktion auf eine Serie von Infrastrukturstörungen.2 Insbesondere der Brandanschlag in Berlin, der weite Teile der Stadt zeitweise ohne Strom ließ, fungierte als politischer Katalysator.7
In der entscheidenden Sitzung des Bundestages am 29. Januar 2026 wurde der Gesetzentwurf (Drucksache 21/2510) in der durch den Innenausschuss modifizierten Fassung (Drucksache 21/3906) beraten und verabschiedet.1 Die Fraktionen von CDU/CSU, SPD und AfD stimmten für das Gesetz, während Bündnis 90/Die Grünen und Die Linke dagegen votierten.1 Die befürwortenden Fraktionen betonten, dass der Schutz der Bevölkerung und die Aufrechterhaltung der staatlichen Funktionen in Krisenzeiten keine parteipolitische Frage, sondern eine Existenzbedingung des Staates seien.1
Parlamentarische Phase | Datum / Status | Kernaspekte |
Kabinettsbeschluss | 10. September 2025 | Verabschiedung des Regierungsentwurfs 7 |
Erste Lesung im Bundestag | 6. November 2025 | Debatte über hybride Kriegsführung und "Zeitenwende" 1 |
Anhörung im Innenausschuss | 1. Dezember 2025 | Kritik von Experten an der Fragmentierung 1 |
Beschlussempfehlung | 28. Januar 2026 | Finale Änderungen am Regierungsentwurf 10 |
Verabschiedung (Plenum) | 29. Januar 2026 | Annahme mit Stimmen von Union, SPD und AfD 1 |
Die
Opposition, angeführt von Bündnis 90/Die Grünen, kritisierte insbesondere, dass
das Gesetz in seiner finalen Form hinter den Notwendigkeiten eines
ganzheitlichen Schutzes zurückbleibe.1 Sie forderten eine stärkere
Unabhängigkeit des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
und bemängelten die Aussparung weiter Teile der Kommunalverwaltung und
nachgeordneter Behörden aus dem unmittelbaren Anwendungsbereich.1 Die Linke wiederum sah in
den Bußgeldern von bis zu einer Million Euro ein unzureichendes
Abschreckungspotenzial gegenüber global agierenden Konzernen und forderte eine
stärkere soziale Absicherung im Katastrophenfall.1
Das Herzstück des Gesetzes: Der All-Gefahren-Ansatz
Ein Paradigmenwechsel in der deutschen Sicherheitsgesetzgebung wird durch die Etablierung des sogenannten "All-Gefahren-Ansatzes" (All-Hazards Approach) vollzogen.7 Bisherige Regelungen konzentrierten sich oft auf spezifische Bedrohungsszenarien wie Naturkatastrophen oder technische Defekte. Das Kritis-Dachgesetz hingegen verpflichtet Betreiber dazu, jede denkbare Gefährdung in ihre Risikoanalysen einzubeziehen.7
Diese methodische Neuausrichtung umfasst unter anderem:
- Naturereignisse und klimatische Extrembedingungen.
- Terroristische Anschläge und physische Sabotage durch staatliche oder nicht-staatliche Akteure.
- Hybride Bedrohungen, einschließlich Spionage und Desinformationskampagnen, die physische Auswirkungen haben können.
- Menschliches Versagen und organisatorische Defizite innerhalb der Betreiberstrukturen.
- Abhängigkeiten von globalen Lieferketten und Drittstaaten
Sektorale Abdeckung und Identifikationskriterien
Das Kritis-Dachgesetz definiert elf kritische Sektoren, deren Funktionsfähigkeit für die Stabilität des Staates und der Gesellschaft unerlässlich ist.3 Im Gegensatz zu früheren Verordnungen schafft das Dachgesetz nun eine einheitliche gesetzliche Basis für diese Sektoren, wobei spezifische Schwellenwerte die Relevanz der einzelnen Anlagen bestimmen.3
Sektor | Kritische Dienstleistungen (Beispiele) | Zuständige Aufsichtsbehörde (Bund) |
Energie | Strom-, Gas- und Wärmeversorgung 3 | BNetzA 4 |
Transport & Verkehr | Luft-, Schienen- und Seeverkehr 3 | EBA, BSH, FBA 4 |
Finanzwesen | Zahlungsverkehr, Wertpapierhandel 4 | BaFin 4 |
Gesundheitswesen | Stationäre Versorgung, Arzneimittel 3 | Landesbehörden 4 |
Wasserversorgung | Trinkwasserbereitstellung 3 | Landesbehörden 4 |
Abwasser | Abwasserreinigung und -entsorgung 3 | Landesbehörden 4 |
IT & Telekommunikation | Datennetze, Cloud-Strukturen 4 | BSI / BNetzA 4 |
Ernährung | Lebensmittelproduktion und -handel 3 | Landesbehörden 4 |
Weltraum | Bodeninfrastruktur für Weltraumdienste 3 | BAFA 4 |
Öffentliche Verwaltung | Zentrale Verwaltungsleistungen 3 | BMI 4 |
Siedlungsabfall | Abfallentsorgung und -verwertung 3 | Landesbehörden 4 |
Eine
Anlage gilt in der Regel als "kritisch", wenn sie mindestens 500.000
Personen mit einer essenziellen Dienstleistung versorgt.3 Das Gesetz sieht jedoch
eine Öffnungsklausel vor, die es den Bundesländern ermöglicht, zusätzliche
Anlagen unterhalb dieser Schwelle zu definieren, wenn deren Ausfall regionale
oder sektorale Kettenreaktionen auslösen könnte.8 Dies wurde im
parlamentarischen Prozess kontrovers diskutiert, da Kritiker wie Christian
Schuchardt, Hauptgeschäftsführer des Deutschen Städtetages, einen
"Flickenteppich" an Regelungen befürchteten und eine rein
bundeseinheitliche Lösung präferierten.8
Pflichtenkatalog für Betreiber: Von der Registrierung bis zur Resilienzplanung
Für Unternehmen, die unter den Anwendungsbereich des Gesetzes fallen, ergeben sich weitreichende neue Verpflichtungen, die über den bisherigen IT-fokussierten Schutz hinausgehen.4 Die Geschäftsleitung wird hierbei unmittelbar in die Verantwortung genommen: Die Missachtung der Sorgfaltspflichten kann zu einer persönlichen Haftung der Führungsebene führen.10
Die vier Säulen der Betreiberpflichten
1. Identifikation und Registrierung (§ 8): Betreiber müssen selbstständig prüfen, ob ihre Anlagen die gesetzlichen Schwellenwerte erreichen.4 Innerhalb von drei Monaten nach der Identifikation muss eine Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erfolgen.4 Dabei müssen detaillierte Angaben zum Versorgungsgrad, zu den Standorten und zu den Kontaktstellen gemacht werden.5
2. Regelmäßige Risikoanalysen (§ 12): Spätestens neun Monate nach der Registrierung und danach in einem Turnus von mindestens vier Jahren müssen die Betreiber eine umfassende Analyse ihrer physischen Risiken durchführen.4 Diese Analysen müssen auf den nationalen Risikoberichten des BBK aufbauen und Wechselwirkungen mit anderen Sektoren (Interdependenzen) explizit berücksichtigen.4
3. Implementierung von Resilienzmaßnahmen (§ 13): Basierend auf den Risikoanalysen sind angemessene und verhältnismäßige Maßnahmen zu treffen.4 Das Gesetz benennt hierbei konkrete Handlungsfelder:
- Physischer Schutz: Errichtung von Barrieren, Videoüberwachungssystemen und Detektionstechnologien zur Abwehr unbefugten Zutritts.2
- Business Continuity Management (BCM): Sicherstellung der Betriebsfähigkeit durch Redundanzen, Notstromaggregate und alternative Lieferketten.4
- Personalsicherheit: Einführung von Überprüfungsprozessen für Mitarbeiter in sicherheitskritischen Bereichen und Durchführung regelmäßiger Sensibilisierungsschulungen.4
- Krisenmanagement: Erstellung und regelmäßige Erprobung von Krisenreaktionsplänen.4
4. Meldewesen und Dokumentation (§ 18): Sicherheitsrelevante Vorfälle müssen unverzüglich, spätestens jedoch binnen 24 Stunden, an das BBK gemeldet werden.4 Nach einem Monat ist ein detaillierter Abschlussbericht vorzulegen, der auch die ergriffenen Abhilfemaßnahmen dokumentiert.4
Sanktionsmechanismen und Aufsicht
Das BBK erhält als zentrale Aufsichtsbehörde weitreichende Befugnisse.4 Es kann bei begründeten Zweifeln an der Resilienz eines Betreibers Nachweise anfordern, Vor-Ort-Kontrollen durchführen und bei Mängeln verbindliche Anordnungen zur Beseitigung treffen.4
Verstöße gegen die Registrierungs-, Risikoanalyse- oder Meldepflichten stellen Ordnungswidrigkeiten dar.5 Das Gesetz sieht ein abgestuftes Bußgeldmodell vor:
- Versäumnisse bei der Registrierung können mit bis zu 500.000 EUR geahndet werden.14
- Schwerwiegende Verstöße gegen die Pflicht zur Implementierung von Resilienzmaßnahmen oder die Verweigerung der Zusammenarbeit mit der Aufsicht können Bußgelder von bis zu 1.000.000 EUR nach sich ziehen.4
Das Spannungsfeld zwischen Transparenz und Sicherheit
Ein zentrales politisches Motiv der Koalition unter Bundeskanzler Merz war die Erkenntnis, dass Transparenz in der Infrastrukturplanung gleichzeitig eine Angriffsfläche bietet.8 Mit dem Kritis-Dachgesetz wurde daher beschlossen, die öffentliche Verfügbarkeit von Daten über kritische Infrastrukturen drastisch einzuschränken.8
In einem Beschlusspapier des Koalitionsausschusses wurde klargestellt, dass die Resilienz Vorrang vor dem allgemeinen Informationsanspruch der Öffentlichkeit hat.8 Bundesbehörden und Länder sind nun gesetzlich verpflichtet, bestehende Verzeichnisse und Kartenwerke zu prüfen und Informationen, die Sabotageakte erleichtern könnten, aus dem öffentlichen Zugriff zu entfernen.8 Diese Maßnahme wurde von Verbänden wie dem BDI teilweise kritisch kommentiert, da sie die Planungssicherheit für Unternehmen erschweren könnte, während Sicherheitsexperten sie als notwendigen Schutz gegen das "Ausspähen durch fremde Mächte" verteidigten.2
Institutionelle Synergien: Die Zusammenarbeit von BBK und BSI
Das Kritis-Dachgesetz vervollständigt das deutsche Sicherheitsgefüge, indem es die physische Resilienz (BBK) an die bereits etablierte Cybersicherheit (BSI) anbindet.5 Um einen bürokratischen "Doppelaufwand" zu vermeiden, wurde ein gemeinsames Online-Portal für Meldungen geschaffen.15
Dennoch bleibt die Abgrenzung komplex: Während das BSI im Rahmen der NIS-2-Umsetzung für die digitale Integrität zuständig ist, fokussiert das BBK auf die physische Widerstandsfähigkeit.5 Für die Betreiber bedeutet dies, dass sie ihre Risikoanalysen so gestalten müssen, dass sowohl cyber-physische Angriffe (z. B. Hack einer Schleusensteuerung) als auch rein physische Einwirkungen (z. B. Sprengung eines Glasfaserknotens) abgedeckt sind.4
Die Rolle der Nationalen Resilienzstrategie
Die Strategie zur Verbesserung der Resilienz kritischer Infrastrukturen bildet den politischen Rahmen für das Dachgesetz und definiert nationale Prioritäten.9 Sie soll insbesondere die grenzüberschreitende Zusammenarbeit innerhalb der EU stärken, da viele kritische Anlagen Teil europäischer Verbundnetze sind.4
Anlagen von "besonderer europäischer Bedeutung" – solche, die Dienstleistungen in mindestens sechs EU-Mitgliedstaaten erbringen – unterliegen einer zusätzlichen Aufsichtsebene durch europäische Beratungsmissionen.4 Das BBK fungiert hierbei als zentrale Schnittstelle zur Europäischen Kommission und koordiniert den Informationsaustausch über grenzüberschreitende Vorfälle.4
Kritische Würdigung und ökonomische Implikationen
Die deutsche Industrie, vertreten durch den BDI und die DIHK, hat das Gesetz grundsätzlich als notwendigen Schritt zur Sicherung des Wirtschaftsstandorts begrüßt, jedoch vor den hohen Implementierungskosten gewarnt.8 Schätzungen gehen davon aus, dass die Umsetzung der physischen Schutzmaßnahmen und die Durchführung der Risikoanalysen jährliche Mehraufwendungen in Millionenhöhe für die Wirtschaft bedeuten.16
Positive Effekte werden jedoch in der Erhöhung der Versorgungssicherheit und der Reduzierung von Ausfallrisiken gesehen.1 Eine stabile Infrastruktur ist ein wesentlicher Standortfaktor im globalen Wettbewerb. Das Gesetz schafft zudem Marktchancen für Anbieter von Sicherheitstechnologien und Beratungsdienstleistungen im Bereich Risikomanagement.6
Experten wie Professor Dennis-Kenji Kipker wiesen jedoch darauf hin, dass das Gesetz in Teilen eine "Fragmentierung der Sicherheitsarchitektur" verfestige.1 Da nachgeordnete Behörden und die kommunale Ebene nicht vollumfänglich einbezogen sind, bleiben "Sicherheitslücken in der Fläche" bestehen.1 Auch die Ausnahme des Auswärtigen Amtes und des Verteidigungsministeriums von bestimmten Meldepflichten wurde als potenzielles Risiko für eine kohärente nationale Lagebilddarstellung diskutiert.4
Fazit und Ausblick
Das Kritis-Dachgesetz vom 29. Januar 2026 ist weit mehr als eine formale Umsetzung europäischer Vorgaben. Es ist das Fundament einer neuen Sicherheitskultur in Deutschland, die anerkennt, dass der Schutz physischer Infrastrukturen im 21. Jahrhundert eine Daueraufgabe von höchster staatspolitischer Relevanz ist.1
Die kommenden zwei Jahre werden als Implementierungsphase entscheidend sein. Die Betreiber müssen ihre Schutzkonzepte grundlegend überarbeiten, während das BBK seine Kapazitäten als nationale Aufsichtsbehörde massiv ausbauen muss.4 Die im Gesetz verankerte Revisionsklausel, die eine erste Evaluierung bereits nach zwei Jahren vorsieht, zeigt, dass der Gesetzgeber die Dynamik der Bedrohungslage erkannt hat und bereit ist, das Regelwerk zeitnah an neue Realitäten anzupassen.3
Für die Bürgerinnen und Bürger bedeutet das Gesetz ein höheres Maß an Versorgungssicherheit in einer instabilen Welt. Für die Unternehmen bedeutet es eine Herausforderung, die jedoch gleichzeitig die Chance bietet, Resilienz als Qualitätsmerkmal "Made in Germany" zu etablieren.5 Mit der Verabschiedung des Kritis-Dachgesetzes hat der Bundestag den Weg geebnet, Deutschland physisch und organisatorisch gegen die Krisen der Zukunft zu wappnen.1
Quellen und Referenzen
- Bundestag beschließt Gesetz zur Stärkung kritischer Anlagen,
Zugriff am Januar 30, 2026,
https://www.bundestag.de/dokumente/textarchiv/2026/kw05-de-kritische-infrastruktur-1137002 - Bundestag verabschiedet Gesetz zum Schutz wichtiger Anlagen,
Zugriff am Januar 30, 2026,
https://www.boersennews.de/nachrichten/artikel/dpa-afx/bundestag-verabschiedet-gesetz-zum-schutz-wichtiger-anlagen/5024274/ - Schutz kritischer Infrastruktur gestärkt - Bundesregierung,
Zugriff am Januar 30, 2026,
https://www.bundesregierung.de/breg-de/aktuelles/kabinett-kritis-dachgesetz-2383682 - KRITIS-Dachgesetz: Resilienz Kritischer Infrastrukturen -
OpenKRITIS, Zugriff am Januar 30, 2026,
https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html - KRITIS-Dachgesetz: wann gilt es und wer ist betroffen? - idgard,
Zugriff am Januar 30, 2026,
https://www.idgard.com/de/glossar/kritis-dachgesetz/ - KRITIS-Dachgesetz (KRITIS-DachG) | Bosch Energy and Building
Solutions Deutschland, Zugriff am Januar 30, 2026,
https://www.boschbuildingsolutions.com/de/de/portfolio/gebaeudesicherheit/kritische-infrastrukturen/kritis-dachgesetz/ - KRITIS Dachgesetz: Bundeskabinett beschließt Gesetzentwurf - CPM Security Network, Zugriff am Januar 30, 2026, https://security-network.com/bundeskabinett-entwurf-kritis-dachgesetz/
- Bundestag stimmt über Kritis-Dachgesetz ab – Informationen über
kritische Infrastruktur sollen eingeschränkt werden, Zugriff am Januar 30,
2026,
https://www.deutschlandfunk.de/bundestag-stimmt-ueber-kritis-dachgesetz-ab-informationen-ueber-kritische-infrastruktur-sollen-einge-100.html - Entwurf eines Gesetzes zur Umsetzung der CER-Richtlinie und zur
Stärkung der Resilienz kritischer Anlagen - Bundesministerium des Innern,
Zugriff am Januar 30, 2026,
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/KM4/KRITIS-DachG-1.pdf?__blob=publicationFile&v=5 - KRITIS-Dachgesetz beschlossen - Neue Betreiberpflichten,
Meldewesen und Bußgelder im Überblick - Ilja Schlak InfoSec Blog, Zugriff am
Januar 30, 2026,
https://ilja-schlak.de/kritis-dachgesetz-beschlossen/ - Presse - Bundeskabinett beschließt Gesetzentwurf zum
KRITIS-Dachgesetz - BMI, Zugriff am Januar 30, 2026,
https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2025/09/kritis-dg-kabinett.html - Deutscher Bundestag Drucksache 21/3761 Beschlussempfehlung und
Bericht des Innenausschusses (4. Ausschuss) zu dem Antrag der Abg, Zugriff am
Januar 30, 2026,
https://dserver.bundestag.de/btd/21/037/2103761.pdf - Ausschuss gibt grünes Licht für Kritis-Dachgesetz - Deutscher
Bundestag, Zugriff am Januar 30, 2026,
https://www.bundestag.de/presse/hib/kurzmeldungen-1139978 - KRITIS-DachG: Das müssen Unternehmen jetzt wissen. - Baker
Tilly, Zugriff am Januar 30, 2026,
https://www.bakertilly.de/beitrag/staerkung-der-resilienz-kritischer-infrastrukturen-was-unternehmen-jetzt-ueber-das-kritis-dachgesetz-wissen-muessen - BMI - Schutz kritischer Infrastrukturen - Bundesministerium des
Innern, Zugriff am Januar 30, 2026,
https://www.bmi.bund.de/DE/themen/bevoelkerungsschutz/schutz-kritischer-infrastrukturen/schutz-kritischer-infrastrukturen-node.html - Deutscher Bundestag Drucksache 21/2410 Gesetzentwurf der
Bundesregierung Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU,
Zugriff am Januar 30, 2026,
https://dserver.bundestag.de/btd/21/025/2102510.pdf - KRITIS-Dachgesetz: Was Betreiber kritischer Infrastrukturen
jetzt wissen müssen - PHYSEC, Zugriff am Januar 30, 2026,
https://www.physec.de/blog/artikel/kritis-dachgesetz/ - DIHK bewertet KRITIS-Dachgesetz: Sicherheit und Resilienz
kritischer Infrastrukturen stärken, Zugriff am Januar 30, 2026,
https://www.dihk.de/de/newsroom/dihk-bewertet-kritis-dachgesetz-sicherheit-und-resilienz-kritischer-infrastrukturen-staerken-157462
Redaktion / Text: Jan Struck, Recherche KI-unterstützt durch Google Gemini / Deep Research
Beitrag weiterempfehlen
Die Social Media Buttons oben sind datenschutzkonform und übermitteln beim Aufruf der Seite noch keine Daten an den jeweiligen Plattform-Betreiber. Dies geschieht erst beim Klick auf einen Social Media Button (Datenschutz).
Die Kammer auf Social Media
Jetzt Newsletter abonnieren!
Frage des Monats
Sustainable Bavaria
Nachhaltig Planen und Bauen
Netzwerk junge Ingenieur:innen
Frauennetzwerk ingenieurinnen@bayika
Werde Ingenieur/in!
www.zukunft-ingenieur.de
Veranstaltungstipps
Beratung und Service
Planer- und Ingenieursuche
Für Schüler und Studierende
Einheitlicher Ansprechpartner
Berufsanerkennung
Professional recognition
Digitaltouren - Digitalforen
Anschrift
Bayerische Ingenieurekammer-Bau
Körperschaft des öffentlichen Rechts
Schloßschmidstraße 3
80639 München