KRITIS FAQs
Allgemeine FAQs zum Thema Kritischer Infrastrukturen
Bei weiteren Fragen stehen wir gerne zur Seite und erarbeiten gemeinsam mit Ihnen Lösungen für Ihren Sektor.
FAQ: Rechtlicher Rahmen – Das Duale System für 2026
FAQ: Sektoren & Prüfung – Wer ist KRITIS für 2026?
FAQ: Registrierung & Ämter – Der Fahrplan für 2026
FAQ: Pflichten & Schutz – Risikomanagement in 2026
FAQ: Meldewesen & Frist – Alle Protokolle für 2026
FAQ: Haftung & Strafe – Risiko der Leitung in 2026
Die Top 5 KRITIS-Fragen für 2026
Was ist das KRITIS-Dachgesetz (KRITIS-DachG)?
Das KRITIS-Dachgesetz ist ein deutsches Bundesgesetz zur Stärkung der physischen Resilienz kritischer Anlagen. Es setzt die EU-CER-Richtlinie um und verpflichtet Betreiber erstmals dazu, neben der IT-Sicherheit (NIS-2) auch umfassende physische Schutzmaßnahmen gegen Sabotage, Naturkatastrophen und menschliches Versagen nachzuweisen.
Wer gilt als KRITIS-Betreiber nach dem neuen Gesetz?
Als Betreiber kritischer Infrastrukturen gelten Unternehmen aus elf Sektoren (u.a. Energie, Wasser, Ernährung, Transport), die eine Versorgungsrelevanz für mindestens 500.000 Personen haben. Auch kleinere Unternehmen können durch spezifische Sektorverordnungen als kritisch eingestuft werden.
Bis wann müssen KRITIS-Maßnahmen umgesetzt sein?
Die wichtigsten Fristen im Jahr 2026 sind:
- 17. Juli 2026: Frühestmöglicher Stichtag für die Registrierung der kritischen Anlagen beim BBK.
- Innerhalb von 9 Monaten: Durchführung einer ersten Risikoanalyse.
- Innerhalb von 10 Monaten: Vorlage eines Resilienzplans inklusive physischer Härtungsmaßnahmen.
Was ist der Unterschied zwischen NIS-2 und dem KRITIS-Dachgesetz?
Während die NIS-2-Richtlinie (umgesetzt im BSIG) den Fokus auf die Cybersicherheit und IT-Infrastruktur legt, konzentriert sich das KRITIS-Dachgesetz auf die physische Integrität. Es geht um den Schutz „vor Ort“, also Zäune, Zutrittskontrollen und den Schutz gegen physische Einwirkungen wie Terror oder Flut.
Welche Bußgelder drohen bei Verstößen gegen das KRITIS-DachG?
Bei Nicht-Compliance, etwa fehlenden Risikoanalysen oder mangelhafter Umsetzung des Resilienzplans, drohen Bußgelder von bis zu 500.000 Euro. In schweren Fällen oder bei systemischer Vernachlässigung der Aufsichtspflicht durch die Geschäftsführung können die Strafen deutlich höher ausfallen.
Das große KRITIS FAQ
Muss ich für NIS-2 und das KRITIS-Dachgesetz zwei getrennte Risikoanalysen erstellen?
Ja, rechtlich sind getrennte Nachweise für Cybersicherheit (BSI) und physische Resilienz (BBK) erforderlich. Fachlich sollten Sie jedoch Synergien nutzen: Ein gemeinsames Business Impact Assessment (BIA) und ein einheitliches Asset-Inventar bilden die Basis. So vermeiden Sie redundante Datenpflegen und stellen eine konsistente Umsetzung des geforderten All-Hazards-Ansatzes in Ihrem Unternehmen sicher.
Welche Rolle spielt das BBK im Vergleich zum BSI bei der KRITIS-Regulierung?
Das BSI ist als Cyber-Sicherheitsbehörde für die digitale Infrastruktur und NIS-2 zuständig. Das BBK fungiert hingegen als Aufsichtsbehörde für das KRITIS-Dachgesetz mit Fokus auf die physische Resilienz gegen Naturgefahren oder Sabotage. Während das BSI den Schutz virtueller Datenströme überwacht, sichert das BBK die Verfügbarkeit der physischen Anlagen und Standorte ab.
Gilt das KRITIS-Dachgesetz auch für meine Zulieferer in der Lieferkette?
Indirekt ja. Betreiber müssen die Resilienz ihrer kritischen Dienstleistungen (kDL) gewährleisten. Da Zulieferer oft kritische Abhängigkeiten erzeugen, müssen diese in die Risikoanalyse einbezogen werden. Vertragliche Vereinbarungen zu Sicherheitsstandards sind notwendig, um die gesetzlichen Anforderungen zu erfüllen, selbst wenn der Zulieferer unterhalb der Schwellenwerte der R-Verordnung liegt und nicht direkt reguliert wird.
Welche technischen Standards (DIN/ISO) werden für den physischen Perimeterschutz anerkannt?
Anerkannt sind insbesondere die DIN EN 1627 für Einbruchhemmung und die DIN EN 50131-Serie für Einbruchmeldeanlagen. Zur Steuerung der Resilienzprozesse gilt die ISO 22301 als Referenz. Auch physische Kontrollen nach ISO/IEC 27001 (Annex A) sind relevant. Diese Standards dienen als Nachweis gegenüber dem BBK, dass der Schutz dem aktuellen Stand der Technik entspricht.
Wie oft muss der Resilienzplan im Rahmen des Dachgesetzes aktualisiert werden?
Betreiber müssen den Resilienzplan mindestens alle vier Jahre umfassend überprüfen und aktualisieren. Unabhängig von dieser Frist ist eine sofortige Anpassung zwingend erforderlich, sobald wesentliche Änderungen an der Infrastruktur vorgenommen werden oder sich die spezifische Bedrohungslage signifikant verändert. Regelmäßige Audits und Self-Assessments unterstützen dabei, die regulatorische Konformität und Wirksamkeit der Schutzmaßnahmen dauerhaft sicherzustellen.
Sind mobile Anlagen wie Tankwagen oder Züge ebenfalls Teil des Dachgesetzes?
Ja, mobile Anlagen fallen unter das Gesetz, sofern sie für die Erbringung einer kritischen Dienstleistung essenziell sind und die Schwellenwerte der R-Verordnung überschreiten. Betreiber müssen hier flexible Schutzkonzepte entwickeln, die sowohl den Standortwechsel als auch die spezifischen Gefahren im mobilen Betrieb (z.B. Logistik-Sabotage) adressieren, um die geforderte Verfügbarkeit der Dienstleistung durchgehend zu gewährleisten.
Wie muss die „jederzeit erreichbare Kontaktstelle“ personell ausgestattet sein?
Die Kontaktstelle erfordert eine 24/7-Verfügbarkeit durch qualifiziertes Personal. Eine rein automatisierte Lösung genügt nicht; die Mitarbeiter müssen fachlich befähigt sein, Warnmeldungen von BSI oder BBK entgegenzunehmen, zu bewerten und sofortige Eskalationsschritte einzuleiten. Diese personelle Redundanz stellt sicher, dass in Krisenmomenten oder bei akuten Bedrohungslagen ein unmittelbarer, kompetenter Informationsaustausch mit den Aufsichtsbehörden gewährleistet bleibt.
Gibt es Ausnahmen für Anlagen, die bereits unter das Zivilschutzgesetz fallen?
Es gibt keine automatische Freistellung. Das Dachgesetz zielt auf die Resilienz im regulären Betrieb ab, während das Zivilschutzgesetz den Verteidigungsfall regelt. Beide Gesetze wirken komplementär. Die Behörden streben jedoch eine Harmonisierung an, um Doppelbelastungen zu vermeiden. Bestehende Sicherheitskonzepte können oft als Basis dienen, müssen jedoch explizit auf die spezifischen Anforderungen und Prüfzyklen des KRITIS-Dachgesetzes hin erweitert werden.
Wie dokumentiere ich die Wirksamkeit physischer Schutzmaßnahmen gegenüber Behörden?
Die Dokumentation erfolgt durch detaillierte Risikoanalysen, Resilienzpläne und Nachweise über Implementierungen. Dazu zählen Audit-Berichte zertifizierter Stellen, Protokolle von physischen Penetrationstests (Red Teaming) sowie Wartungsnachweise der Sicherheitstechnik. Alle vier Jahre ist gegenüber dem BBK nachzuweisen, dass die Maßnahmen dem Stand der Technik entsprechen und geeignet sind, die kritische Dienstleistung gegen identifizierte Gefahrenszenarien effektiv abzusichern.