Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen – Neue Pflichten für Betreiber kritischer Anlagen

Von durchtrennten Unterseekabeln in der Ostsee über Brandanschläge auf Umspannwerke an Produktionsstätten von Automobilherstellern bis hin zu gestohlenen Stromkabeln der Deutschen Bahn. Immer wieder kommt es in Deutschland und Europa zu Anschlägen auf kritischen Einrichtungen mit teils erheblichen Schäden und Folgen für Tausende Menschen. Zuletzt demonstrierte der Brandanschlag auf das Berliner Stromnetz die Abhängigkeit moderner Gesellschaften von kritischer Infrastruktur. Dieser führte Anfang Januar bei eisigen Temperaturen zu einem tagelangen Strom- und Heizungsausfall im Berliner Südwesten, von dem rund 45.000 Haushalte betroffen waren.

Mit dem Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITISDachG) hat der Bundestag am 29. Januar 2026 ein Gesetz verabschiedet, das den Schutz kritischer Infrastruktur in Deutschland deutlich ausbauen soll (Gesetzesentwurf Bunderegierung und vom Innenausschuss geänderte Fassung des Gesetzesentwurfs). Das Gesetz bedarf noch der Zustimmung des Bundesrates. Es geht auf einen Entwurf der Bundesregierung zurück, der die EU-Richtlinie 2022/2557 umsetzt und erstmals einheitliche Mindeststandards für den Schutz kritischer Infrastruktur in Deutschland definiert. Das KRITISDachG hat Relevanz auch für bereits bestehende branchenspezifische Regelungen, etwa im Energierecht, der Investitionskontrolle und zur IT-Sicherheit.

Anwendungsbereich: Für welche Anlagen gilt das Gesetz?

Das Gesetz verpflichtet Betreiber kritischer Anlagen, die in den Sektoren Energie, Transport und Verkehr, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung, im Finanz- und Gesundheitswesen sowie im Bereich von Leistungen der Sozial- und Grundsicherung tätig sind (§ 4 Abs. 1 KRITISDachG). Damit orientiert sich das KRITISDachG an den Sektoren, in denen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) in Verbindung mit der Verordnung zur Bestimmung kritischer Anlagen (BSI-KritisV) bereits aktuell Betreiber kritischer Anlagen zu besonderen Sicherheitsvorkehrungen in Bezug auf IT-Systeme verpflichtet.

Kritische Anlagen sind solche, die kritische Dienstleistungen erbringen, deren Ausfall oder Beeinträchtigung in den benannten Sektoren zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde (§ 2 Nr. 2-4 KRITISDachG). Welche kritischen Dienstleistungen konkret erfasst sind, legt grundsätzlich das Bundesministerium des Innern (BMI) durch Rechtsverordnung branchenspezifisch fest (§ 4 Abs. 3, § 5 Abs. 1 KRITISDachG). Diese zu erlassende Rechtsverordnung soll die bislang geltende BSI-KritisV ersetzen. Auch die Länder dürfen in ihrem Zuständigkeitsbereich Anlagen als kritisch klassifizieren. Das BMI berücksichtigt bei der Klassifizierung quantitative und qualitative Faktoren. Quantitativ soll eine Anlage grundsätzlich ab der Versorgung von 500.000 Personen als kritisch eingestuft werden. Qualitative Faktoren, die zu einer Klassifizierung als kritische Anlage führen können, sind etwa sektor- und branchenübergreifende Abhängigkeiten, der Marktanteil, die geografische Reichweite sowie die Dauer und das Ausmaß der bei einem Ausfall drohenden Folgen. Darüber hinaus legt das BMI Kriterien durch Rechtsverordnung fest, anhand derer die Länder ihre Klassifizierungen vornehmen.

Als Betreiber einer kritischen Anlage werden grundsätzlich natürliche oder juristische Personen angesehen, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausüben.

Zentrale Pflichten für Betreiber kritischer Anlagen

Betreiber müssen ihre kritischen Anlagen innerhalb von drei Monaten nach Einstufung der jeweiligen Anlagenart beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.

Sie müssen alle vier Jahre - bei Bedarf auch häufiger - Risikoanalysen und -bewertungen über die ihren kritischen Anlagen drohenden Gefahren durchführen, die sämtliche relevanten Gefahren („All-Gefahren-Ansatz“) berücksichtigen, etwa

• Naturkatastrophen,
• menschliches Versagen,
• Sabotage oder
• Terroranschläge.

Neben eigenen Erkenntnissen sind auch nationale Risikoanalysen von Bundes- und Landesbehörden zugrunde zu legen.

Auf Basis der Risikoanalysen müssen Betreiber kritischer Infrastruktur verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zum Schutz ihrer Anlagen treffen (sog. Resilienzpflichten, § 13 Abs. 1 KRITISDachG). So etabliert das KRITISDachG erstmals eine Verpflichtung, jenseits der Sicherheit informationstechnischer Systeme physische Maßnahmen zum Schutz kritischer Anlagen zu ergreifen. Dabei ist eine Zweck-Mittel-Relation vorzunehmen, bei der insbesondere der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls unter Berücksichtigung der Leistungsfähigkeit des Betreibers gegen das Risiko eines Vorfalls abzuwägen ist. Die ergriffenen Maßnahmen sowie die ihnen zugrunde liegenden Erwägungen sind in einem Resilienzplan zu dokumentieren. Diese Pflichten können ebenfalls durch Rechtsverordnungen oder auch durch branchenspezifische Standards auf Vorschlag der Betreiber oder ihrer Branchenverbände konkretisiert werden. Der Umfang der notwendigen Schutzmaßnahmen wird also branchenspezifisch unterschiedlich sein und steht zum derzeitigen Zeitpunkt noch nicht fest.

Die Geschäftsleitung der Betreiber ist verpflichtet, die Resilienzmaßnahmen umzusetzen und ihre Umsetzung durch geeignete Organisationsmaßnahmen sicherzustellen (§ 20 Abs. 1 KRITISDachG). Die zuständigen Behörden können Nachweise anfordern, Audits durchführen und vor Ort prüfen, ob die notwendigen Schutzmaßnahmen wirksam umgesetzt sind.

Vorfälle, die die Erbringung der von der Anlage ausgeführten kritischen Dienstleistung erheblich beeinträchtigen oder beeinträchtigen könnten, sind dem BBK unverzüglich zu melden.

Mit Inkrafttreten der Gesetzesreform werden alle anderen spezialgesetzlichen Regelungen im Energierecht und im Bereich der Investitionskontrolle, die bislang auf BSIG und BSI-KritisV zur Definition kritischer Anlagen verwiesen haben, auf die Definition des KRITISDachG verweisen. Dies gilt auch für das BSIG selbst.

Auswirkungen auf Unternehmen und deren Geschäftsführung

Die Verabschiedung des KRITIS-DachG markiert eine deutliche Wende im deutschen Sicherheitsrecht. War die Absicherung kritischer Infrastrukturen bisher stark auf die Cyber-Resilienz (via BSIG/NIS2) fokussiert, rückt nun der physische Schutz in das Zentrum von Sicherheitsanforderungen.

In welchem Umfang einzelnen Unternehmen aus dem KRITISDachG künftig neue Resilienzpflichten entstehen, wird sich zwar erst nach dem Inkrafttreten des Gesetzes durch branchenspezifische Standards und Rechtsverordnungen zeigen. Zudem ist es Wirtschaftsteilnehmern möglich, schon jetzt aktiv an der Entstehung branchenspezifischer Standards mitzuwirken und so dafür zu sorgen, dass Rechtsverordnungen mit weniger vorhersehbarem Inhalt zur Konkretisierung der Resilienzpflichten nicht notwendig werden.

Dabei sollten die potentiell betroffenen Unternehmen die Entwicklungen aber aufmerksam verfolgen. Denn der Gesetzgeber hat den durchaus komplexen „All-Gefahren-Ansatz“ durch strenge Regelungen „scharf“ gestellt. So verpflichtet er unmittelbar die Geschäftsleitungen von Betreibern kritischer Anlagen, die von den Betreibern kritischer Anlagen zu ergreifenden Resilienzmaßnahmen umzusetzen und ihre Umsetzung durch geeignete Organisationsmaßnahmen sicherzustellen. Diese persönliche Verantwortung der Geschäftsleitung wird flankiert von einer empfindlichen Bußgeldandrohung. § 24 KRITISDachG sieht Bußgelder in Höhe von bis zu einer Million Euro vor, falls Anlagen nicht richtig registriert werden oder Betreiber bei der Überprüfung der Umsetzung ihrer Resilienzpflichten nicht hinreichend mit den zuständigen Behörden kooperieren.