KRITIS Dachgesetz 2026
Fristen, Anforderungen & Compliance-Check für Betreiber
Das KRITIS-DachG
Das KRITIS-Dachgesetz (KRITIS-DachG) ist beschlossen – die Uhr für Betreiber kritischer Infrastrukturen tickt. Bis zum 17. Juli 2026 müssen kritische Anlagen identifiziert und registriert sein. Doch was bedeutet das Gesetz konkret für Ihren Perimeterschutz, Ihre Risikoanalyse und Ihre Haftung? Der VfS fasst den aktuellen Stand des Gesetzgebungsverfahrens und die neuen Pflichten für die physische Sicherheit zusammen.
Status März 2026
Nach dem Bundestagsbeschluss vom 29.01.2026 befindet sich das Gesetz aktuell in der finalen Abstimmung. Während Details zur technischen Umsetzung noch im Vermittlungsausschuss präzisiert werden, bleiben die Kernfristen für Betreiber bestehen. Wir halten Sie an dieser Stelle über jede Neuerung auf dem Laufenden.
Wer ist betroffen? Sektoren und Schwellenwerte
Das KRITIS-Dachgesetz erweitert den Kreis der betroffenen Unternehmen deutlich. Es geht nicht mehr nur um IT-Sicherheit, sondern um die physische Resilienz der gesamten Anlage.
Energie
Strom, Gas, Fernwärme, Erdöl
Wasser
Trinkwasserversorgung, Abwasser
Ernährung
Lebensmittelproduktion & -handel
Transport
Luftfahrt, Schiene, See- und Binnenschifffahrt
Gesundheit
Krankenhäuser, Arzneimittelversorgung
Finanzwesen
Banken, Börsen, Bargeldversorgung
Versicherungswesen
Essenzielle Versicherungsleistungen (Kranken-/Rentenversicherung)
IT & Telekommunikation
Rechenzentren, Cloud-Anbieter, Internet-Knotenpunkte
Weltraum
Betrieb von Bodenstationen, Satellitenkommunikation
Siedlungsabfall
Abfallsammlung, Entsorgung und Recycling-Anlagen
Öffentliche Verwaltung
Kernaufgaben des Staates, Meldewesen, Notfalldienste
Der Schwellenwert (Regelfall)
In den meisten Sektoren gilt eine Anlage als kritisch, wenn sie die Versorgung von mindestens 500.000 Personen sicherstellt.
Wichtiger Hinweis: Es gibt sektorspezifische Besonderheiten. In Bereichen wie dem Weltraum oder der Öffentlichen Verwaltung können Anlagen auch unabhängig von einer Personenanzahl als kritisch eingestuft werden, wenn ihr Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit hätte.
Was bedeutet das für Betreiber?
Wenn Sie einem dieser Sektoren angehören, müssen Sie gemäß § 10 und § 11 des KRITIS-DachG nachweisen, dass Ihre physischen Barrieren (Zäune, Tore, Zutrittskontrollen) dem aktuellen Stand der Technik entsprechen und einen „All-Gefahren-Schutz“ bieten.
Roadmap: Die kritischen Fristen bis 2027
Die Umsetzung der Anforderungen erfolgt in einem straffen Zeitplan. Ein Verzug bei der Registrierung kann bereits zu Sanktionen führen.
17. Juli 2026
Stichtag für die Meldung und Registrierung Ihrer kritischen Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Mitte 2027
Die erste umfassende Risikoanalyse und Risiko-Bewertung für jeden Standort muss abgeschlossen sein.
Ende 2027
Vorlage des Resilienzplans. Ab diesem Zeitpunkt müssen konkrete Schutzmaßnahmen (z. B. bauliche Härtung, technischer Perimeterschutz) nachweislich implementiert sein.
Der „All-Gefahren-Ansatz“
(§ 10 & § 11 KRITIS-DachG)
Unsere Expertise für Ihre Maßnahme: Wir zeigen Ihnen, wie physische Barrieren wie zertifizierte Zaunanlagen, Hochsicherheitspoller und biometrische Zutrittskontrollen Ihr Risiko minimieren und die gesetzlichen Anforderungen erfüllen.
Das Gesetz fordert eine Abkehr von der reinen Ereignisreaktion hin zu einer proaktiven Resilienzstrategie. Der VfS unterstützt Sie dabei, die gesetzlichen Anforderungen in technische Lösungen zu übersetzen:
Naturereignisse:
Schutz vor Hochwasser, extremen Hitzeperioden oder Sturmschäden durch bauliche Härtung.
Technisches Versagen:
Redundanz in der Energieversorgung und Ausfallsicherheit technischer Systeme.
Menschliche Einwirkung:
Dies ist das Kerngebiet des VfS. Wir beraten zu Schutzmaßnahmen gegen Sabotage, Terrorismus, Spionage und Vandalismus.
Management-Haftung: Sicherheit ist Chefsache
(§ 20)
Ein entscheidender Punkt des neuen Gesetzes ist die persönliche Verantwortung der Geschäftsführung.
Überwachungspflicht: Geschäftsleiter sind verpflichtet, die Resilienzmaßnahmen nicht nur zu billigen, sondern deren Umsetzung aktiv zu überwachen.
Sanktionen: Bei schuldhafter Verletzung der Pflichten drohen Bußgelder von bis zu 500.000 €. In schweren Fällen, insbesondere bei systemrelevanten Ausfällen, können Bußgelder bis zu 1 Mio. € betragen.
FAQ zum KRITIS-Dachgesetz
Fällt mein Unternehmen unter das KRITIS-Dachgesetz?
Prüfen Sie Ihre Versorgungsrelevanz. Wenn Sie eine kritische Dienstleistung für mehr als 500.000 Menschen erbringen, sind Sie höchstwahrscheinlich betroffen. Nutzen Sie für eine rechtssichere Einordnung die offiziellen Schwellenwert-Listen des BBK.
Was ist der Unterschied zwischen NIS-2 und dem KRITIS-Dachgesetz?
NIS-2 konzentriert sich auf die digitale Sicherheit (Cyber-Security/IT). Das KRITIS-Dachgesetz adressiert die physische Sicherheit (Gebäude, Gelände, Hardware). Beide Gesetze greifen ineinander und bilden die Gesamt-Resilienz Ihres Unternehmens ab.
Welche Strafen drohen bei Nicht-Compliance?
Neben den empfindlichen Bußgeldern für die Geschäftsführung droht bei Nichteinhaltung der Meldefristen oder fehlenden Resilienzplänen die offizielle Untersagung des Betriebs bestimmter Anlagen bis zur Mängelbeseitigung.