Youtube Linkedin Mail-bulk
    Jetzt Mitglied werden!

    KRITIS Leitfaden

    Operative Timeline

    KRITIS-DachG – wieso weshalb warum

    Das KRITIS-Dachgesetz markiert einen Meilenstein in der deutschen Sicherheitspolitik, indem es die europäische CER-Richtlinie (Critical Entity Resilience) in nationales Recht überführt. Während sich frühere Regulierungen primär auf die Cybersicherheit konzentrierten, verfolgt dieses Gesetz einen umfassenden „All-Gefahren-Ansatz“. Ziel ist es, die physische Resilienz kritischer Infrastrukturen gegen Bedrohungen wie Naturkatastrophen, Sabotage, menschliches Versagen oder terroristische Anschläge zu stärken und bundesweit einheitliche Mindeststandards zu etablieren.

    Unter der Aufsicht des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) werden Betreiber kritischer Anlagen dazu verpflichtet, nicht nur punktuelle Schutzvorkehrungen zu treffen, sondern ein ganzheitliches Resilienzsystem zu implementieren.

    Zentrale Anforderungen an die Betreiber

    Das Gesetz rückt die systematische Vorsorge in den Fokus. Betreiber müssen gegenüber dem BBK nachweisen, dass sie über ein systematisch hergeleitetes, verhältnismäßiges und dokumentiertes Resilienzmanagement verfügen. Die Kernanforderungen gliedern sich in drei wesentliche Säulen:

    1. Risikoanalysen: Betreiber müssen regelmäßig fundierte Analysen durchführen, um potenzielle Schwachstellen und Bedrohungsszenarien für ihre spezifischen Anlagen zu identifizieren.

    2. Resilienzpläne: Auf Basis der Risikoanalysen sind detaillierte Pläne zu erstellen, die sowohl präventive Maßnahmen als auch Reaktionsstrategien für den Ernstfall festlegen.

    3. Physischer Schutz: Es müssen konkrete organisatorische und operative Maßnahmen ergriffen werden, um den physischen Zugang zu schützen und die Betriebskontinuität auch unter widrigen Bedingungen sicherzustellen.

    Orientierungshilfen und Standards für die Praxis

    Da die Umsetzung dieser Anforderungen hochkomplex ist, dienen verschiedene fachliche Standards als wichtige Leitplanken für die Unternehmen:

    • DIN SPEC 14027: Dieser Standard ist ein Kernstück der Nationalen Wirtschaftsschutzstrategie 2026. Er definiert spezifische Anforderungen zur Stärkung der physischen Resilienz. Besonders relevant sind hierbei das Kapitel 5 zur Schutzbedarfsermittlung sowie das Kapitel 11 zur Standortsicherheit, die Betreibern helfen, ihre Schutzmaßnahmen präzise zu dimensionieren.

    • VfS Planungshandbuch: Für die technische Umsetzung der Perimetersicherung bietet das Handbuch des Verbands für Sicherheitstechnik (VfS) im Band „Physische Sicherheit“ praxisnahe Planungsgrundlagen.

    • VDI Safety & Security Wiki: Als ergänzendes Wissensmanagement-Tool fungiert das Wiki des Vereins Deutscher Ingenieure (VDI) wie ein Fachlexikon, das Begriffe und Konzepte der physischen Sicherheit im KRITIS-Kontext anschaulich erläutert.

    Wir haben unseren Leitfaden für Sie systematisch strukturiert:

    Teil 1: Initiale Compliance
    Teil 2: Operative Reaktion
    Teil 3: Dauerhafte Resilienz

    Der Weg zur Initial Compliance

    Teil 1: Die ersten Schritte und gesetzlichen Fristen nach dem Inkrafttreten.

    2026
    Betroffenheitsprüfung & Vorbereitung

    Identifikation, ob man als Betreiber kritischer Anlagen oberhalb der Schwellenwerte gilt. Ziel ist die Bewertung der eigenen Betroffenheit und das Verständnis relevanter Anforderungen.

    Registrierung beim BBK

    Die Meldung der Anlage muss innerhalb von drei Monaten erfolgen. Bestehende Einrichtungen haben hierfür das Zeitfenster vom 17.07.2026 bis zum 17.10.2026

    2026
    Betreiberseitige Risikoanalyse

    Spätestens neun Monate nach der Registrierung ist die erste systematische Risikoanalyse zu erstellen und dem BBK zu melden. Diese muss Gefährdungen, Verwundbarkeiten und Abhängigkeiten erfassen.

    Resilienzmaßnahmen & Resilienzplan

    Innerhalb von zehn Monaten nach Registrierung müssen geeignete technische und organisatorische Maßnahmen umgesetzt sein. Diese sind in einem Resilienzplan zu dokumentieren, der als zentrales Prüfungsdokument dient.

    PDF zur Initial Compliance

    Operative Reaktion & Krisenfall

    Teil 2: Was passiert im Ernstfall? Die kurzfristigen Pflichten.

    2026
    Vorfalleintritt & Erkennung

    Ein erheblicher Vorfall beeinträchtigt die Erbringung einer kritischen Dienstleistung. Resilienz bedeutet hier die Fähigkeit zur Abwehr und Reaktion.

    Erstmeldung

    Eine Meldung muss unverzüglich, spätestens 24 Stunden nach Kenntnisnahme, über das gemeinsame Portal von BBK und BSI erfolgen.

    2026
    Ausführlicher Bericht

    Spätestens einen Monat nach der Kenntnisnahme des Vorfalls ist ein detaillierter Bericht mit Angaben zu Ursachen und Auswirkungen einzureichen.

    Vorfallbezogene Risikoanalyse

    Nach einem meldepflichtigen Ereignis kann das BBK eine Neubewertung der Risiken oder eine Aktualisierung der Dokumentation anordnen.

    PDF zur Operativen Reaktion & Krisenfällen

    Nachhaltigkeit & Dauerhafte Resilienz

    Teil 3: Der zyklische Prozess und die langfristige Überwachung.

    Jetzt
    Kontinuierliches Resilienzmanagement

    Das Gesetz verlangt ein dauerhaftes und zyklisches Vorgehen statt punktueller Einzelmaßnahmen. Resilienz wird so zur unternehmerischen Selbstverpflichtung.

    Regelmäßige Risikoanalyse

    Risikoanalysen und Risikobewertungen müssen periodisch, mindestens alle vier Jahre, durchgeführt werden.

    PDF zur Nachhaltigkeit & Dauerhaften Resilienz

    Hilfreiche Ressourcen und Verlinkungen

    1. Normen & Standards

    ▶ DIN SPEC 14027
    Beschreibung: Bietet Anforderungen zur Stärkung der physischen Resilienz von Organisationen und dient als fachliche Orientierung.

    🔗 Link: Zu DIN Media (DIN SPEC 14027)

    User Story: Als Sicherheitsverantwortlicher möchte ich die aktuellen Anforderungen kennen, um meine Organisation gezielt nach fachlichen Orientierungen auszurichten.

    • Kriterium: Das Dokument ist beschafft und den zuständigen Planern zugänglich.
    • Kriterium: Eine initiale Gap-Analyse (Soll/Ist-Abgleich) der Prozesse wurde durchgeführt.
    ▶ Nationale Wirtschaftsschutzstrategie
    Beschreibung: Das zentrale Strategiepapier des BMI zur Absicherung der deutschen Wirtschaft gegen Spionage, Sabotage und kriminelle Übergriffe.

    🔗 Link: Zur Nationalen Wirtschaftsschutzstrategie (PDF)

    User Story: Als Risikomanager möchte ich die nationale Strategie einbeziehen, um unser Bedrohungsmodell an die aktuelle staatliche Gefährdungslage anzupassen.

    • Kriterium: Die Strategie wurde analysiert und relevante Handlungsempfehlungen für das Unternehmen wurden identifiziert.
    • Kriterium: Interne Sicherheitskonzepte wurden mit den Zielen der Wirtschaftsschutzstrategie abgeglichen.
    ▶ VfS FAQ zum KRITIS-Dachgesetz
    Beschreibung: Praxisnahe Fragen und Antworten rund um das KRITIS-Dachgesetz und die Anforderungen an Betreiber.

    🔗 Link: Zu den VfS KRITIS-FAQ

    User Story: Als Betreiber möchte ich Antworten auf gängige Praxisfragen erhalten, um Unklarheiten bei der Gesetzesauslegung effizient zu beseitigen.

    • Kriterium: Die FAQ werden regelmäßig zur Klärung interner Fragestellungen herangezogen.
    • Kriterium: Erkenntnisse aus den FAQ fließen direkt in die interne Maßnahmenplanung ein.
    ▶ Planungshandbuch „Physische Sicherheit“
    Beschreibung: Speziell der Band „Perimetersicherung“ bietet konkrete Hilfe für die technische Umsetzung der Anforderungen.

    🔗 Link: Zu den VfS-Publikationen & Handbüchern

    User Story: Als technischer Planer möchte ich konkrete bauliche Vorgaben erhalten, um unsere Liegenschaften normgerecht abzusichern.

    • Kriterium: Der Band „Perimetersicherung“ liegt der technischen Planungsabteilung vor.
    • Kriterium: Aktuelle Schutzmaßnahmen am Perimeter wurden gegen die Empfehlungen des Handbuchs evaluiert.

    2. Organisationen & Behörden

    ▶ BMI (Bundesministerium des Innern und für Heimat)
    Beschreibung: Federführendes Ministerium für das KRITIS-Dachgesetz und zuständig für die strategische Ausrichtung der inneren Sicherheit.

    🔗 Link: Zum BMI: Kritische Infrastrukturen

    User Story: Als Compliance-Verantwortlicher möchte ich die strategischen Leitlinien des Ministeriums kennen, um die langfristige Konformität sicherzustellen.

    • Kriterium: Strategische Veröffentlichungen des BMI werden im Management-Review berücksichtigt.
    • Kriterium: Die gesetzlichen Rahmenbedingungen werden kontinuierlich auf Aktualisierungen durch das Ministerium überwacht.
    ▶ BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)
    Beschreibung: Die zuständige Behörde für die Koordination und Prüfung der Resilienzpläne.

    🔗 Link: Zum BBK: Kritische Infrastrukturen

    User Story: Als Betreiber möchte ich die behördlichen Anforderungen exakt kennen, um eine erfolgreiche Prüfung unserer Resilienzpläne sicherzustellen.

    • Kriterium: Die aktuellen Leitfäden des BBK zur Resilienzplanung wurden systematisch gesichtet.
    • Kriterium: Ein interner Resilienzplan ist erstellt und orientiert sich strikt an den BBK-Vorgaben.
    ▶ BSI (Bundesamt für Sicherheit in der Informationstechnik)
    Beschreibung: Betreiber des gemeinsamen Meldeportals für IT- und physische Vorfälle.

    🔗 Link: Zum BSI: Kritische Infrastrukturen

    User Story: Als Meldepflichtiger möchte ich das gemeinsame Meldeportal reibungslos bedienen können, damit bei Vorfällen keine wertvolle Zeit verloren geht.

    • Kriterium: Zugänge und Rollenberechtigungen für das Meldeportal sind unternehmensweit eingerichtet.
    • Kriterium: Die interne 24/7-Meldekette ist definiert und mindestens einmal erfolgreich getestet.
    ▶ VfS (Verband für Sicherheitstechnik e.V.)
    Beschreibung: Bietet Unterstützung durch den Arbeitskreis KRITIS und stellt praxisnahes Orientierungswissen bereit.

    🔗 Link: Zum VfS: Themenschwerpunkt KRITIS

    User Story: Als Sicherheitsfachkraft möchte ich mich vernetzen, um von Best Practices des Arbeitskreises KRITIS zu profitieren.

    • Kriterium: Orientierungswissen und Publikationen des AK KRITIS werden als Maßstab genutzt.
    • Kriterium: Eine Mitgliedschaft oder Entsendung eines Mitarbeiters in den Verband wurde evaluiert.

    Mitgliedschaft im Verband

    Ihr Vorteil

    Wir informieren umfassend und produktunabhängig über neue Entwicklungen in der Sicherheitstechnik. Dabei stehen die Bedürfnisse der Anwender/Nutzer im Vordergrund. Aktuelle Entwicklungen bei Bedrohungsszenarien, technischer Fortschritt bei der Entwicklung sicherheitstechnischer Anlagen, gültige Richtlinien und organisatorische Abhängigkeiten bestimmen die Inhalte unserer Informationsveranstaltungen.

    Mehr Erfahren
    Copyright © 2026 Verband für Sicherheitstechnik e.V.
    All rights reserved.

    Nützliches

    Kontaktinformationen

    Impressum

    Datenschutz

    Kontakt

    Linkedin