Youtube Linkedin Mail-bulk
    Jetzt Mitglied werden!
    Meilenstein 2

    Registrierung beim BBK

    Die Meldung der Anlage muss innerhalb von drei Monaten erfolgenBestehende Einrichtungen haben hierfür das Zeitfenster vom 17.07.2026 bis zum 17.10.2026

    Zurück zur Timeline Übersicht

    Meilenstein 2 - Registrierung beim BBK

    Nachdem die Betroffenheit festgestellt wurde, ist die formale Registrierung der Anlage der nächste zwingende Schritt. Diese dient der behördlichen Erfassung und ist die Basis für alle weiteren Resilienzpflichten.

    Themenbereich Inhalte & Anforderungen User Story & Kriterium
    Fristen für die
    Meldung
    • Allgemeine Frist: Die gesetzliche Frist für die Registrierung beträgt 3 Monate.
    • Bestehende Einrichtungen: Spezifisches Zeitfenster vom 17.07.2026 bis zum 17.10.2026.
    • Neue Einrichtungen: Binnen 3 Monaten nach erstmaliger Feststellung der Betroffenheit.
    		 User Story: Als Betreiber möchte ich die exakten Zeitfenster kennen, um meine Anlage rechtzeitig zu registrieren und Sanktionen zu vermeiden.

    Kriterium: Die Registrierungsfrist ist basierend auf dem Anlagenstatus (Bestand vs. Neu) berechnet und als harter Meilenstein im Projektplan fixiert.
    Zuständige
    Behörden
    • Koordination: Das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) ist die zentrale Behörde für das KRITIS-DachG.
    • Meldeweg: Die Registrierung erfolgt über ein gemeinsames Portal von BBK und BSI (Bundesamt für Sicherheit in der Informationstechnik).
    		 User Story: Als Compliance-Beauftragter muss ich wissen, an welche Stelle die Meldung geht, um den korrekten behördlichen Kommunikationskanal zu nutzen.

    Kriterium: Der Zugang zum gemeinsamen Portal von BBK und BSI ist technisch eingerichtet und die Ansprechpartner sind definiert.
    Inhalt der
    Pflicht
    • Selbstanzeige: Betreiber sind verpflichtet, sich aktiv anzuzeigen.
    • Nachweispflicht: Im Zuge der weiteren Zusammenarbeit muss dem BBK nachgewiesen werden, dass Vorgaben zum physischen Schutz, zu Risikoanalysen und zu Resilienzplänen erfüllt sind.
    		 User Story: Als Sicherheitsmanager möchte ich alle erforderlichen Nachweise vorliegen haben, damit die Selbstanzeige vollständig und behördlich belastbar ist.

    Kriterium: Die aktive Selbstanzeige ist durchgeführt und die Dokumentationen (Risikoanalyse, Resilienzplan, physischer Schutz) liegen für behördliche Stichproben bereit.

    Fristen & Meilensteine im Überblick

    Meilenstein Frist / Datumsgrenze User Story & Kriterium
    Registrierungsstart Frühestens ab dem 17.07.2026
    (§ 8 KRITIS-DachG)    		 User Story: Als Betreiber möchte ich den frühestmöglichen Registrierungsstart nutzen, um den Zugang zum behördlichen Portal rechtzeitig einzurichten.
    Kriterium: Portalzugang ist erfolgreich angelegt und verifiziert.
    Registrierungsfrist
    (Bestand)    		 Endet am 17.10.2026 User Story: Als Bestandseinrichtung muss ich die harte Meldefrist wahren, um gesetzliche Sanktionen zu vermeiden.
    Kriterium: Vollständige Registrierung der Einrichtung ist vor Stichtag abgeschlossen.
    Registrierung
    (Neuanlagen)    		 Binnen 3 Monaten nach Feststellung der Betroffenheit User Story: Als neuer Betreiber möchte ich einen klaren Prozess haben, um nach Feststellung der KRITIS-Relevanz fristgerecht zu handeln.
    Kriterium: Registrierung ist als fester Schritt im Inbetriebnahme-Prozess verankert.
    Erste Risikoanalyse Spätestens 9 Monate nach der Registrierung User Story: Als Risikomanager muss ich die initiale Analyse fristgerecht beenden, um die fundierte Basis für alle weiteren Resilienzmaßnahmen zu legen.
    Kriterium: Gefährdungsanalyse ist vollständig dokumentiert und vom Management abgenommen.
    Umsetzung
    Resilienzmaßnahmen    		 Erstmals 10 Monate nach der Registrierung User Story: Als technischer Leiter muss ich die Umsetzung der definierten Maßnahmen steuern, um die physische Härtung der Anlage nachzuweisen.
    Kriterium: Resilienzplan ist implementiert und die Maßnahmen sind operativ wirksam.
    Inzidenz-Meldung Erstmeldung spätestens 24 Stunden nach Kenntnisnahme User Story: Als Mitglied des Krisenteams muss ich bei Vorfällen sofort handlungsfähig sein, um die 24-Stunden-Frist für das initiale Lagebild zu erfüllen.
    Kriterium: Initiale Vorfallmeldung ist erfolgreich an das BSI/BBK abgesetzt.
    Ausführlicher
    Vorfallbericht    		 Spätestens 1 Monat nach der Kenntnisnahme des Vorfalls User Story: Als Incident Manager benötige ich Zeit für eine Ursachenanalyse, muss aber den gesetzlichen Monatsbericht pünktlich einreichen.
    Kriterium: Detaillierter Post-Mortem-Bericht inklusive Abstellmaßnahmen liegt der Behörde vor.
    Regelmäßiger
    Review-Zyklus    		 Mindestens alle 4 Jahre
    (Risikoanalyse & Resilienzplan)    		 User Story: Als Geschäftsführung möchte ich einen festen Audit-Zyklus etablieren, um sicherzustellen, dass unsere Resilienz dauerhaft dem Stand der Technik entspricht.
    Kriterium: Re-Zertifizierung und Prüfung des Plans sind als wiederkehrende Aufgabe im ISMS terminiert.

    Hilfreiche Ressourcen und Verlinkungen

    1. Normen & Standards

    ▶ DIN SPEC 14027
    Beschreibung: Bietet Anforderungen zur Stärkung der physischen Resilienz von Organisationen und dient als fachliche Orientierung.

    🔗 Link: Zu DIN Media (DIN SPEC 14027)

    User Story: Als Sicherheitsverantwortlicher möchte ich die aktuellen Anforderungen kennen, um meine Organisation gezielt nach fachlichen Orientierungen auszurichten.

    • Kriterium: Das Dokument ist beschafft und den zuständigen Planern zugänglich.
    • Kriterium: Eine initiale Gap-Analyse (Soll/Ist-Abgleich) der Prozesse wurde durchgeführt.
    ▶ Nationale Wirtschaftsschutzstrategie
    Beschreibung: Das zentrale Strategiepapier des BMI zur Absicherung der deutschen Wirtschaft gegen Spionage, Sabotage und kriminelle Übergriffe.

    🔗 Link: Zur Nationalen Wirtschaftsschutzstrategie (PDF)

    User Story: Als Risikomanager möchte ich die nationale Strategie einbeziehen, um unser Bedrohungsmodell an die aktuelle staatliche Gefährdungslage anzupassen.

    • Kriterium: Die Strategie wurde analysiert und relevante Handlungsempfehlungen für das Unternehmen wurden identifiziert.
    • Kriterium: Interne Sicherheitskonzepte wurden mit den Zielen der Wirtschaftsschutzstrategie abgeglichen.
    ▶ VfS FAQ zum KRITIS-Dachgesetz
    Beschreibung: Praxisnahe Fragen und Antworten rund um das KRITIS-Dachgesetz und die Anforderungen an Betreiber.

    🔗 Link: Zu den VfS KRITIS-FAQ

    User Story: Als Betreiber möchte ich Antworten auf gängige Praxisfragen erhalten, um Unklarheiten bei der Gesetzesauslegung effizient zu beseitigen.

    • Kriterium: Die FAQ werden regelmäßig zur Klärung interner Fragestellungen herangezogen.
    • Kriterium: Erkenntnisse aus den FAQ fließen direkt in die interne Maßnahmenplanung ein.
    ▶ Planungshandbuch „Physische Sicherheit“
    Beschreibung: Speziell der Band „Perimetersicherung“ bietet konkrete Hilfe für die technische Umsetzung der Anforderungen.

    🔗 Link: Zu den VfS-Publikationen & Handbüchern

    User Story: Als technischer Planer möchte ich konkrete bauliche Vorgaben erhalten, um unsere Liegenschaften normgerecht abzusichern.

    • Kriterium: Der Band „Perimetersicherung“ liegt der technischen Planungsabteilung vor.
    • Kriterium: Aktuelle Schutzmaßnahmen am Perimeter wurden gegen die Empfehlungen des Handbuchs evaluiert.

    2. Organisationen & Behörden

    ▶ BMI (Bundesministerium des Innern und für Heimat)
    Beschreibung: Federführendes Ministerium für das KRITIS-Dachgesetz und zuständig für die strategische Ausrichtung der inneren Sicherheit.

    🔗 Link: Zum BMI: Kritische Infrastrukturen

    User Story: Als Compliance-Verantwortlicher möchte ich die strategischen Leitlinien des Ministeriums kennen, um die langfristige Konformität sicherzustellen.

    • Kriterium: Strategische Veröffentlichungen des BMI werden im Management-Review berücksichtigt.
    • Kriterium: Die gesetzlichen Rahmenbedingungen werden kontinuierlich auf Aktualisierungen durch das Ministerium überwacht.
    ▶ BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)
    Beschreibung: Die zuständige Behörde für die Koordination und Prüfung der Resilienzpläne.

    🔗 Link: Zum BBK: Kritische Infrastrukturen

    User Story: Als Betreiber möchte ich die behördlichen Anforderungen exakt kennen, um eine erfolgreiche Prüfung unserer Resilienzpläne sicherzustellen.

    • Kriterium: Die aktuellen Leitfäden des BBK zur Resilienzplanung wurden systematisch gesichtet.
    • Kriterium: Ein interner Resilienzplan ist erstellt und orientiert sich strikt an den BBK-Vorgaben.
    ▶ BSI (Bundesamt für Sicherheit in der Informationstechnik)
    Beschreibung: Betreiber des gemeinsamen Meldeportals für IT- und physische Vorfälle.

    🔗 Link: Zum BSI: Kritische Infrastrukturen

    User Story: Als Meldepflichtiger möchte ich das gemeinsame Meldeportal reibungslos bedienen können, damit bei Vorfällen keine wertvolle Zeit verloren geht.

    • Kriterium: Zugänge und Rollenberechtigungen für das Meldeportal sind unternehmensweit eingerichtet.
    • Kriterium: Die interne 24/7-Meldekette ist definiert und mindestens einmal erfolgreich getestet.
    ▶ VfS (Verband für Sicherheitstechnik e.V.)
    Beschreibung: Bietet Unterstützung durch den Arbeitskreis KRITIS und stellt praxisnahes Orientierungswissen bereit.

    🔗 Link: Zum VfS: Themenschwerpunkt KRITIS

    User Story: Als Sicherheitsfachkraft möchte ich mich vernetzen, um von Best Practices des Arbeitskreises KRITIS zu profitieren.

    • Kriterium: Orientierungswissen und Publikationen des AK KRITIS werden als Maßstab genutzt.
    • Kriterium: Eine Mitgliedschaft oder Entsendung eines Mitarbeiters in den Verband wurde evaluiert.

    Kontakt

    • Eulenkrugstraße 7, 22359 Hamburg
    • +49 40 21970010
    • info@vfs-hh.de

    Mitgliedschaft im Verband

    Ihr Vorteil

    Wir informieren umfassend und produktunabhängig über neue Entwicklungen in der Sicherheitstechnik. Dabei stehen die Bedürfnisse der Anwender/Nutzer im Vordergrund. Aktuelle Entwicklungen bei Bedrohungsszenarien, technischer Fortschritt bei der Entwicklung sicherheitstechnischer Anlagen, gültige Richtlinien und organisatorische Abhängigkeiten bestimmen die Inhalte unserer Informationsveranstaltungen.

    Mehr Erfahren
    Copyright © 2026 Verband für Sicherheitstechnik e.V.
    All rights reserved.

    Nützliches

    Kontaktinformationen

    Impressum

    Datenschutz

    Kontakt

    Linkedin