FAQ: Der rechtliche Rahmen für KRITIS – Das „Duale System“ 2026
Rechtlicher Rahmen: Das „Duale System“
Die Bedrohungslage für kritische Infrastrukturen hat sich grundlegend gewandelt. Um Deutschland gegen hybride Angriffe, Naturkatastrophen und Cyberattacken zu wappnen, wurde ein duales System aus Cybersicherheit (NIS-2) und physischer Resilienz (KRITIS-Dachgesetz) geschaffen. Diese FAQ erläutern den aktuellen gesetzlichen Stand im März 2026, die Verantwortlichkeiten von BSI und BBK sowie die Auswirkungen des „All-Gefahren-Ansatzes“ auf Ihr Unternehmen.
Kontaktieren Sie uns bei weiteren Fragen gerne:
FAQ: Der rechtliche Rahmen für KRITIS
Was versteht man unter dem „Dualen System“ im KRITIS-Kontext?
Das duale System beschreibt die rechtliche Trennung und gleichzeitige Verzahnung von IT-Sicherheit und physischem Schutz. Während das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) die digitale Widerstandsfähigkeit regelt, konzentriert sich das KRITIS-Dachgesetz (KRITIS-DachG) auf den Schutz physischer Anlagen vor Sabotage oder Naturereignissen.
Welche EU-Richtlinien bilden die Basis für den aktuellen Rahmen?
Die Grundlage bilden zwei europäische Richtlinien: Die NIS-2-Richtlinie (Network and Information Security) für die Cybersicherheit und die CER-Richtlinie (Critical Entities Resilience) für die physische Resilienz.
Ersetzt das KRITIS-Dachgesetz das bestehende IT-Sicherheitsgesetz?
Nein, das KRITIS-Dachgesetz bildet eine Ergänzung und Erweiterung zu den bisherigen Cybersicherheitsbestimmungen. Es ersetzt diese nicht, sondern schließt die Lücke im Bereich der physischen Sicherheit.
Was ist der „All-Gefahren-Ansatz“?
Dieser Ansatz besagt, dass Betreiber nicht mehr nur einzelne Risiken betrachten dürfen. Es müssen alle potenziellen Gefahrenquellen berücksichtigt werden: Naturkatastrophen (Hochwasser, Erdbeben), technisches Versagen sowie menschlich verursachte, unbeabsichtigte oder vorsätzliche Gefährdungen wie Terror oder Sabotage.
Wer ist meine zentrale Anlaufstelle im dualen System?
Das hängt von der Art des Schutzes ab: Für die IT-Sicherheit bleibt das BSI (Bundesamt für Sicherheit in der Informationstechnik) zuständig. Für den physischen Schutz und die allgemeine Resilienz ist das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) die zentrale Anlaufstelle.
Was ist die „Nationale KRITIS-Resilienzstrategie“?
Die Bundesregierung ist gesetzlich verpflichtet, eine Strategie zur Verbesserung der Resilienz kritischer Infrastrukturen zu verabschieden. Der Stichtag für diese Strategie war der 17. Januar 2026.
Wie hängen NIS-2 und das KRITIS-Dachgesetz zeitlich zusammen?
Beide Gesetze wurden nahezu parallel entwickelt, um eine harmonisierte Umsetzung zu gewährleisten. Während NIS-2 (NIS2UmsuCG) bereits Ende 2025 in Kraft trat, folgten die finalen Umsetzungsfristen für das Dachgesetz Anfang 2026.
Gilt die Regulierung nur für private Unternehmen?
Nein, auch die Staat & Verwaltung (Parlament, Justiz, Regierung) gilt als KRITIS-Sektor. Das Ziel ist der Schutz aller für das staatliche Gemeinwesen wichtigen Einrichtungen.
Warum spricht man 2026 verstärkt von „hybrider Kriegsführung“?
Die Sicherheitslage hat sich durch den Krieg in Europa und hybride Angriffe (Desinformation, Sabotage, Cyberattacken) massiv verschärft. Der rechtliche Rahmen reagiert darauf mit strengeren Überwachungspflichten.
Was bedeutet „Resilienz“ im Sinne des neuen Gesetzes?
Resilienz ist die Fähigkeit einer Anlage, Vorfälle zu verhindern, sich vor ihnen zu schützen, sie abzuwehren, darauf zu reagieren und sich schnellstmöglich davon zu erholen.
Welche Sektoren sind im dualen System betroffen?
Es gibt insgesamt 11 Sektoren, darunter Energie, Wasser, Gesundheit, Transport, Finanzwesen, Weltraum und Siedlungsabfallentsorgung.
Gibt es eine persönliche Haftung für die Geschäftsführung?
Ja. Das Gesetz sieht eine klare Umsetzungs- und Überwachungspflicht für Geschäftsleitungen vor. Bei schuldhafter Verletzung haften sie potenziell persönlich mit ihrem Privatvermögen.
Wie wird die Einhaltung des rechtlichen Rahmens geprüft?
Die Überprüfung erfolgt durch BSI und BBK mittels eines risikobasierten Ansatzes. Dazu gehören Audits durch unabhängige Dritte und die Vorlage von Resilienzplänen.
Was passiert, wenn ich die neuen Anforderungen ignoriere?
Es drohen empfindliche Bußgelder von bis zu 500.000 € (z. B. bei Verstößen gegen die Meldepflicht). Zudem kann das BSI der Geschäftsleitung vorübergehend untersagen, ihre Aufgaben wahrzunehmen.