Am 17. März 2026 ist das neue „Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen“ (KRITISDachG) in Kraft getreten.
Das KRITISDachG schafft erstmals einheitliche, bundesgesetzliche und sektorenübergreifende Mindestanforderungen zum physischen Schutz kritischer Anlagen. Es setzt die EU-Richtlinie 2022/2557 (abrufbar unter: https://eur-lex.europa.eu/eli/dir/2022/2557/oj) um und ergänzt bestehende Regelungen zum Schutz der IT-Sicherheit kritischer Anlagen. Das Gesetz folgt einem „All-Gefahren-Ansatz“, der eine größtmögliche Kohärenz zwischen beiden Bereichen sicherstellen soll, indem Schnittstellen berücksichtigt, angeglichen und übereinstimmend ausgestaltet werden (BT-Drs. 21/2510, S. 1 f., abrufbar unter: https://dserver.bundestag.de/btd/21/025/2102510.pdf).
I. Anwendungsbereich
Nach § 4 Abs. 1 KRITISDachG gelten die neuen Regelungen für Betreiber kritischer Anlagen in zehn Sektoren, darunter etwa Energie, Transport und Verkehr sowie Finanzwesen.
Betreiber kritischer Anlagen ist jede natürliche oder juristische Person oder öffentliche Organisationshoheit, die bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt. Maßgeblich sind hierbei rechtliche, wirtschaftliche und tatsächliche Umstände, wobei es im Finanzwesen ausschließlich auf die tatsächliche Sachherrschaft ankommt (§ 2 Nr. 1 KRITISDachG). Anlagen sind Betriebsstätten und sonstige ortsfeste Installationen sowie Maschinen, Geräte und sonstige ortsveränderliche technische Installationen (§ 2 Nr.2 KRITISDachG). Eine kritische Anlage ist jede Anlage, die für die Erbringung einer kritischen Dienstleistung erheblich ist (§ 2 Nr. 3 KRITISDachG).
Konkrete Bestimmungen darüber, welche kritischen Dienstleistungen den jeweiligen Sektoren unterfallen, erfolgen durch eine noch zu erlassende Rechtsverordnung des Bundesministeriums des Innern (§ 4 Abs. 3 KRITISDachG). Kritische Dienstleistungen sind Versorgungsleistungen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit zur Folge hätte (§ 2 Nr. 4 KRITISDachG).
Der Anwendungsbereich setzt weiterhin die Erheblichkeit der Anlage voraus. Die Erheblichkeit einer Anlage wird ebenfalls durch Rechtsverordnung konkretisiert werden. Sie wird sich insoweit entweder nach bestimmten Schwellenwerten zum Versorgungsgrad richten oder unabhängig hiervon bestehen (§ 5 Abs. 1 KRITISDachG). Bei der Bestimmung der Schwellenwerte sind neben nationalen Risikoanalysen und -bewertungen verschiedene Kriterien zu berücksichtigen, etwa eine Mindestzahl von grundsätzlich 500.000 zu versorgenden Einwohnern, das Ausmaß von Abhängigkeiten sowie die Dauer und das Ausmaß möglicher Auswirkungen von Ausfällen und Beeinträchtigungen (§ 5 Abs. 2 KRITISDachG).
Schätzungsweise 1.700 Anlagen fallen in den Anwendungsbereich des Gesetzes, wobei ein Teil hiervon bereits die gesetzlichen Anforderungen erfüllt (BT-Drs. 21/2510, S. 37).
Solange die Rechtsverordnung nach den §§ 4 Abs. 3, 5 Abs. 1 KRITISDachG noch nicht erlassen ist, steht der Anwendungsbereich des Gesetzes noch nicht fest. Welche Anlagen im Einzelnen als kritische Anlagen mit der erforderlichen Erheblichkeit gelten, ist damit noch offen. Das Gesetz muss insoweit also erst durch die konkretisierende Rechtsverordnung „scharfgeschaltet“ werden.
II. Rolle des Staates
Der Staat koordiniert die Anwendung des KRITISDachG durch zentrale und dezentrale Einwirkung. Diese Funktion beschränkt sich nicht auf den Erlass der zuvor erwähnten Rechtsverordnungen. So hat die Bundesregierung im Rahmen einer nationalen Strategie die strategischen Ziele und politischen Maßnahmen zur Verbesserung der Resilienz kritischer Infrastrukturen festzulegen (§ 1 KRITISDachG). Zentrale Anlaufstelle ist nach § 3 Abs. 1 KRITISDachG das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), wobei eine Vielzahl zuständiger Behörden für die jeweiligen Dienstleistungen bestimmt wurde (vgl. § 3 Abs. 2 KRITISDachG).
Eine grundlegende Aufgabe besteht in der Erstellung nationaler Risikoanalysen und -bewertungen durch das Bundesministerium des Innern auf Grundlage dienstleistungsspezifischer Risikoanalysen und -bewertungen (§ 11 Abs. 1 und Abs. 4 KRITISDachG). Hierbei sind zum einen die in § 11 Abs. 2 Nr. 1 KRITISDachG genannten Risiken zu berücksichtigen, welche naturbedingt, technisch oder menschlich verursacht werden können und potenziell geeignet sind, die Verfügbarkeit kritischer Dienstleistungen entscheidend zu beeinträchtigen. Weiterhin sind abhängigkeitsbezogene Risiken (§ 11 Abs. 2 Nr. 2 KRITISDachG) und die Besonderheiten maritimer Infrastrukturen (§ 11 Abs. 3 KRITISDachG) zu berücksichtigen.
Aufgaben des Staates ergeben sich zudem im Zusammenhang mit den nachfolgenden Betreiberpflichten.
III. Pflichten für Betreiber
Das KRITISDachG erlegt den Betreibern kritischer Anlagen diverse Pflichten auf.
1. Registrierungspflicht
Zunächst müssen Betreiber ihre kritischen Anlagen spätestens drei Monate, nachdem diese als solche gelten, unter Nennung ihres Namens, ihrer Anschrift, des Sektors und weiterer dort genannter Angaben registrieren (§ 8 Abs. 1 KRITISDachG). Die Registrierung hat beim BBK über eine gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtete Registrierungsmöglichkeit zu erfolgen. Dies wird frühestens zum 17. Juli 2026 möglich sein.
2. Durchführung eigener Risikoanalysen und -bewertungen
Betreiber kritischer Anlagen sind verpflichtet, auf Basis nationaler Risikoanalysen und -bewertungen sowie weiterer Quellen je nach Bedarf, mindestens jedoch alle vier Jahre, eigene Risikoanalysen und -bewertungen durchzuführen (§ 12 Abs. 1 KRITISDachG).
Verpflichtungen nach § 12 KRITISDachG gelten für den Betreiber erstmals neun Monate nach der Registrierung der Anlage (§ 8 Abs. 7 KRITISDachG).
3. Vornahme von Resilienzmaßnahmen und Erstellung eine Resilienzplans
Gemäß § 13 Abs. 1 KRITISDachG hat der Betreiber nach Maßgabe der § 13 Abs. 2 und 3 DachG Maßnahmen zur Gewährleistung seiner Resilienz zu treffen. Resilienz bezeichnet die Fähigkeit einer kritischen Anlage, einen Vorfall zu verhindern, sich davor zu schützen, einen solchen abzuwehren, auf diesen zu reagieren, Folgen zu begrenzen, einen Vorfall abzufangen und zu bewältigen sowie sich hiervon zu erholen (§ 2 Nr. 5 KRITISDachG). Ein Vorfall ist grundsätzlich jedes Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte, wobei Ereignisse, die ausschließlich Sicherheitsvorfälle im Sinne des BSIG oder TKG darstellen, ausgenommen sind (§ 2 Nr. 9 KRITISDachG).
Die technischen, sicherheitsbezogenen und organisatorischen Resilienzmaßnahmen sind auf Grundlage nationaler wie eigener Risikoanalysen und -bewertungen vorzunehmen. Insgesamt soll die Verhältnismäßigkeit maßgeblich sein (§ 13 Abs. 2 KRITISDachG), wobei der Gesetzgeber hervorgehoben hat, dass er nur Resilienzmaßnahmen erwartet, bei denen Kosten und Nutzen nicht außer Verhältnis zueinanderstehen, um die Betreiber nicht zu überlasten (BT-Drs. 21/2510, S. 37). Das Bundesministerium des Innern kann durch Rechtsverordnung sektorenübergreifende Mindestanforderungen an Resilienzmaßnahmen festsetzen. Außerdem können sich Betreiber kritischer Anlagen branchenintern zusammenfinden und branchenspezifische Resilienzstandards erarbeiten.
Die Vornahme von Resilienzmaßnahmen hat auf Grundlage eines Resilienzplans zu erfolgen. Dieser ist von dem Betreiber zu erstellen und anzuwenden, wobei die zugrunde liegenden Erwägungen hervortreten müssen und auf die eigene Risikoanalyse und -bewertung Bezug zu nehmen ist sowie Aktualisierungen vorzunehmen sind (§ 13 Abs. 4 KRITISDachG).
Verpflichtungen nach § 13 KRITISDachG hat der Betreiber erstmals 10 Monate nach der Registrierung der Anlage zu erfüllen (§ 8 Abs. 7 KRITISDachG).
4. Nachweispflichten und Mängelbeseitigungspflicht
Betreiber kritischer Anlagen müssen zum Nachweis der Einhaltung ihrer Resilienzpflichten aus § 13 Abs. 1 KRITISDachG, soweit ein zwischenbehördliches Auskunftsverlangen nach § 16 Abs. 1 KRITISDachG nicht ausreicht, nach § 16 Abs. 2, 3 und 4 KRITISDachG gegebenenfalls weitere Informationen übermitteln. Bei Vorliegen von Mängeln können Betreiber durch behördliche Anordnung zur Vorlage eines Mängelbeseitigungsplans und Maßnahmen zur Mängelbeseitigung verpflichtet werden, wofür ebenfalls Nachweise verlangt werden können (§ 16 Abs. 5 KRITISDachG).
5. Meldepflichten
Nach § 18 Abs. 1 KRITISDachG sind Betreiber kritischer Anlagen verpflichtet, Vorfälle dem BBK unverzüglich zu melden. Spätestens 24 Stunden nach Kenntnis hat eine weitere Meldung an die gemeinsame Meldestelle des BSI und BBK zu erfolgen. Die Meldungen müssen alle verfügbaren Informationen enthalten, die es ermöglichen, Art und Ursache sowie Auswirkungen und Folgen des Vorfalls zu analysieren (§ 18 Abs. 2 KRITISDachG). Demnach sind insbesondere Angaben zur Anzahl und dem Anteil der Betroffenen, zur bisherigen und voraussichtlichen Dauer des Vorfalls sowie zum betroffenen geografischen Gebiet zu machen. Auf ein Unternehmen kommen voraussichtlich zwei bis 30 meldepflichtige Vorfälle pro Jahr zu, wobei die Anzahl vom Sektor abhängig sein wird (BT-Drs. 21/2510, S. 38).
Meldepflichten gelten für den Betreiber erstmalig zehn Monate nach der Registrierung der Anlage (§ 8 Abs. 7 KRITISDachG).
6. Pflichten für Geschäftsleitungen
Nach § 20 Abs. 1 KRITISDachG sind Geschäftsleitungen von Betreibern kritischer Anlagen verpflichtet, die Resilienzmaßnahmen umzusetzen und ihre Umsetzung durch geeignete Organisationsmaßnahmen sicherzustellen, was der bestehenden Regelung in § 38 BSIG entspricht. Geschäftsleitungen können sich ihrer Letztverantwortlichkeit nicht durch Einschaltung von Hilfspersonen entziehen. Die in § 20 Abs. 2 KRITISDachG normierte Binnenhaftung der Geschäftsleitung bei Pflichtverletzungen stellt nach der gesetzgeberischen Intention einen Auffangtatbestand dar, um solche Rechtsformen zu erfassen, die keine Binnenhaftung vorsehen (BT-Drs. 21/2510, S. 66).
Die Verpflichtungen nach § 20 KRITISDachG sind von den Geschäftsleitungen erstmals zehn Monate nach der Registrierung der Anlage zu erfüllen (§ 8 Abs. 7 KRITISDachG).
7. Befreiung von Verpflichtungen
Betreiber kritischer Anlagen können, wenn sie in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung tätig sind oder dort behördliche Aufgaben erfüllen, teilweise von den Pflichten des KRITISDachG entbunden werden (§ 22 Abs. 2 KRITISDachG). Wenn sie ausschließlich in diesem Sinne tätig sind, kommt sogar eine vollständige Befreiung in Betracht (§ 22 Abs. 3 KRITISDachG). Der Grund dieser Ausnahmeregelungen liegt in der Wahrung des nationalen Sicherheitsinteresses (BT-Drs. 21/2510, S. 67).
8. Sanktionierung von Verstößen
Nach § 24 Abs. 1 KRITISDachG stellen Verstöße gegen die dort aufgeführten Pflichten des KRITISDachG Ordnungswidrigkeiten dar. Diese können, je nach Art des Verstoßes, mit Bußgeldern von bis zu einer Million Euro geahndet werden (§ 24 Abs. 2 KRITISDachG). Bezweckt ist hiermit der Erlass wirksamer, verhältnismäßiger und abschreckender Sanktionen, wie sie in Art. 22 der EU-Richtlinie 2022/2557 gefordert werden (Siehe BT-Drs. 21/2510, S. 69).
IV. Fazit
Das KRITISDachG ist ein Meilenstein auf dem Weg zur Schaffung eines einheitlichen Schutzkonzepts für kritische Infrastrukturen. Gleichwohl wird die Wirksamkeit und Tragweite des KRITISDachG maßgeblich davon abhängen, wie die noch zu erlassenden Rechtsverordnungen ausgestaltet werden und welche Stoßrichtung die nationale Strategie vorgeben wird. Für Betreiber kritischer Anlagen bedeutet das Gesetz einen erheblichen organisatorischen und finanziellen Mehraufwand, da eine Vielzahl von Pflichten erfüllt werden muss. Sie werden sich an strikte zeitliche Vorgaben halten müssen, um Sanktionen zu vermeiden.
Für weitere Informationen, Unterstützung und Beratung stehen wir gerne zur Verfügung!
Köln, den 13. Mai 2026
Referendar Marcel Renz und Rechtsanwalt Dr. Reuber