Unsere Welt wir immer komplexer, wir stehen ständig neuen und unbekannten Krisen sowie Katastrophen gegenüber. Damit uns diese nicht unvorbereitet treffen, müssen wir uns entsprechend schützen und resilienter werden. Die letzten Krisen haben aufgezeigt, wo unsere Schwachstellen sind und damit auch, wo wir in Zukunft ansetzen müssen. Die Herausforderungen werden vielfältiger. Dies gilt auch und insbesondere für drohende Konflikte.
Das KRITIS-Dachgesetz markiert einen wichtigen Schritt zur Stärkung der Resilienz kritischer Infrastrukturen in Deutschland und wird mit großen Erwartungen und Beifall erwartet. Während bisherige Regelungen wie das BSI-Gesetz oder die Umsetzung der NIS-2-Richtlinie den Schwerpunkt vor allem auf die IT-Sicherheit legten, blieb der physische Schutz weitgehend fragmentiert und in Fachgesetzen verstreut geregelt. Der russische Angriffskrieg auf die Ukraine und die Zunahme hybrider Bedrohungen haben eindrücklich gezeigt, dass es eines übergreifenden Rechtsrahmens bedarf, der die physische Sicherheit von Strom- und Wasserversorgung, Gesundheitssystemen, Transportnetzen oder digitaler Infrastruktur gleichermaßen berücksichtigt.

Das neue Gesetz setzt die europäische CER-Richtlinie von 2022 in nationales Recht um. Es schafft erstmals bundesweite, sektorenübergreifende Mindeststandards für den physischen Schutz kritischer Anlagen und ergänzt damit bestehende Cybersicherheitsgesetze, ohne sie zu ersetzen. Grundlage ist ein All-Gefahren-Ansatz, der Naturereignisse, technische Ausfälle, Terror und Sabotage gleichermaßen in den Blick nimmt. Betreiber kritischer Anlagen werden verpflichtet, in regelmäßigen Abständen Risikoanalysen und Resilienzpläne zu erstellen, technische, organisatorische und bauliche Schutzmaßnahmen umzusetzen und erhebliche Störungen an eine gemeinsame digitale Meldeplattform von Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie Bundesamt für Sicherheit in der Informationstechnik zu melden.

Zur Konkretisierung sieht das Gesetz sektorübergreifende Mindestanforderungen durch das Bundesinnenministerium vor, die durch branchenspezifische Standards der Verbände ergänzt werden können. Eine zentrale koordinierende Rolle übernimmt das BBK, während die sektorspezifische Fachaufsicht weiterhin bei den jeweils zuständigen Bundes- und Landesbehörden liegt. Verstöße gegen die gesetzlichen Vorgaben können mit Bußgeldern von bis zu 500.000 Euro geahndet werden. Für Wirtschaft und Verwaltung rechnet die Bundesregierung mit einmaligen Investitionen in Milliarden und einem jährlichen Aufwand von etwa 500 Millionen Euro.

Das Gesetz betrifft zahlreiche Sektoren wie Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, den Weltraum, die Abfallentsorgung sowie die Sozialversicherung. Der Referentenentwurf wurde Ende 2024 im Bundestag eingebracht, die Beteiligung von Ländern und Verbänden ist erfolgt, und die erste Umsetzung sollte schrittweise bis 2026 erfolgen. Bis Januar 2026 soll zudem eine nationale KRITIS-Resilienzstrategie verabschiedet werden, die die bisherige Strategie der Bundesregierung aus dem Jahr 2009 ablösen wird.

Mit dem KRITIS-Dachgesetz entsteht damit erstmals ein einheitlicher und verbindlicher Rahmen für die physische Sicherheit kritischer Infrastrukturen. Es soll nicht nur die Resilienz Deutschlands, sondern auch die europäische Sicherheit stärken und Betreiber frühzeitig dazu anhalten, ihre Schutzkonzepte und Investitionen an die neuen gesetzlichen Vorgaben anzupassen.