News

Fünf nach zwölf: Das KRITIS-Dachgesetz kommt

03.09.2025

Die Umsetzung der CER-Richtlinie (RL (EU) 2022/2557) in deutsches Recht lässt weiter auf sich warten. Eigentlich hätte die Bundesregierung bis Oktober 2024 liefern müssen – doch die Frist ist längst verstrichen, das Vertragsverletzungsverfahren der EU-Kommission läuft bereits. Nun liegt ein neuer Referentenentwurf für das KRITIS-Dachgesetz vor, zu dem derzeit die Verbände Stellung nehmen können. Auffällig ist dabei die sehr kurze Frist – die Anhörung endet bereits am 4. September 2025. Das verdeutlicht den erheblichen Zeitdruck, unter dem die Bundesregierung steht, um das Gesetz endlich auf den Weg zu bringen.

Der zweite Anlauf

Bereits die alte Bundesregierung hatte die Umsetzung der CER-Richtlinie nicht fristgerecht geschafft. Ein nahezu fertig abgestimmter Gesetzentwurf vom November 2024 wurde durch den Regierungswechsel jedoch nicht mehr verabschiedet.

Die neue Bundesregierung musste deshalb quasi bei null ansetzen – und das Verfahren mit einem Referentenentwurf erneut eröffnen. Inhaltlich unterscheidet sich dieser kaum vom bereits 2024 abgestimmten Entwurf, die Änderungen sind überwiegend redaktioneller Natur. Neu ist jedoch, dass die Höhe der Bußgelder nun ausdrücklich festgelegt wurde. Insgesamt handelt es sich weiterhin um eine nahezu 1:1-Umsetzung der EU-Vorgaben. Größere inhaltliche Neuerungen oder zusätzliche Belastungen für Unternehmen sind daher auch in der aktuellen Fassung nicht zu erwarten.

Was das KRITIS-Dachgesetz regelt

Das KRITIS-Dachgesetz soll die physische Resilienz kritischer Anlagen stärken – also den Schutz vor analogen Gefahren wie Naturkatastrophen, technischen Ausfällen oder Sabotage. Es ergänzt damit das nationale IT-Sicherheitsrecht, das bislang primär auf den digitalen Schutz abzielt.

Betroffen sind zehn Sektoren, darunter Energie, Transport und Verkehr, Gesundheitswesen, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation sowie öffentliche Verwaltung. Betreiber kritischer Anlagen müssen künftig organisatorische, technische und sicherheitsbezogene Maßnahmen ergreifen, die durch Behörden wie das Bundesamt für Sicherheit in der Informationstechnik, die Bundesnetzagentur und die Bundesanstalt für Finanzdienstleistungsaufsicht überwacht werden.

Bei Verstößen drohen empfindliche Sanktionen: Von Bußgeldern bis zu 500.000 € bis hin zu Anordnungen durch die Aufsichtsbehörden.

Wer handeln muss und was jetzt zu tun ist

Das Gesetz richtet sich an Betreiber sogenannter „kritischer Anlagen“. Ob eine Einrichtung darunterfällt, bestimmt sich insbesondere nach der Zugehörigkeit zu einem der betroffenen Sektoren und nach bestimmten Schwellenwerten.

Für diese Betreiber ergeben sich umfangreiche Pflichten – von der Registrierung und der Benennung einer 24/7-Kontaktstelle über Risikoanalysen bis hin zu Resilienzplänen und strengen Meldepflichten.

Eine detaillierte Übersicht der Pflichten sowie konkrete Handlungsempfehlungen finden Sie in unserem früheren Beitrag zum KRITIS-Dachgesetz.

Wann das Gesetz kommt

Einen exakten Zeitplan gibt es weiterhin nicht. Doch die Kombination aus laufendem EU-Vertragsverletzungsverfahren und knapper Verbändeanhörung zeigt: Die Bundesregierung will das Gesetz zügig verabschieden. Die Kabinettbefassung ist für den 10. September vorgesehen. Sollte der Prozess ähnlich verlaufen wie bei der NIS-2-Umsetzung, könnte daher in wenigen Wochen bereits ein Regierungsentwurf vorliegen.

Für betroffene Unternehmen heißt das: Jetzt vorbereiten – nicht abwarten.

Unsere Unterstützung

Das KRITIS-Dachgesetz bringt für Betreiber kritischer Anlagen erhebliche neue Anforderungen mit sich. Wir unterstützen Sie dabei, frühzeitig Klarheit zu gewinnen: von der Prüfung, ob Ihre Einrichtung betroffen ist, über die Analyse der künftigen Pflichten bis hin zur Entwicklung von Resilienzstrategien und der Erstellung erforderlicher Dokumentationen.

Kontakt

Pascal Schumacher
Pascal Schumacher+49 30 20942030
Luise Lautenbach
Luise Lautenbach+49 30 20942250

Data Economy & Daten­schutz
Cybersecurity

Share

Bestens
informiert

Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.

Jetzt anmelden
Alle anzeigen

Insights

people in a pedestrian zone
News

E pluribus unum - Einheitlicher Tarifvertrag für Leiharbeitnehmer

04.12.2025
Light in motion
News

Batteriespeicher, Energy Sharing, Kunden­anlage und Netz­betreiber – Welche Neuerungen die Änderung des Energie­wirtschaftsrechts vorsieht

04.12.2025
Abstract water bubbles pulsed
News

Neue Leitlinien der Kommission zur GPSR – Präzisierungen und Handlungsspielräume für Unternehmen

03.12.2025
forest autumnal mist
News

Ratsmandat zur Änderung der EUDR – Setzt sich eine generelle Verschiebung durch?

03.12.2025
Armed unmanned aerial vehicle on runway pulsed
News

Loitering-Munition und Drohnen als Kriegswaffen: BMWE veröffentlicht Merkblatt

02.12.2025
mountain panorama with pulse
News

CSRD – Aktuelle Entwicklungen auf europäischer und nationaler Ebene

02.12.2025
Group of umbrellas pulsed
News

BGH zum D&O-Versicherungs­schutz: Verletzung der Insolvenz­antrags­pflicht durch Geschäfts­leiter indiziert keine wissentliche Verletzung der Masse­erhaltungs­pflicht

03.12.2025
winter landscape with sunrise pulsed
News

BGH zum Ausschluss des AGB-Rechts in Schiedsklauseln

28.11.2025
Abstract background with lights pulsed
News

Netzsperren im Spannungs­feld zwischen europäischem Herkunftsland­prinzip und nationalem Jugend­schutz: VG Düsseldorf setzt neue Maßstäbe

28.11.2025