Die Wirtschaft ist verzahnt – tritt ein Störfall bei einem Unternehmen ein, wirkt dieser sich auch auf andere Einrichtungen aus. Das Kritis-Dachgesetz soll seit März 2026 dafür sorgen, dass der Schaden im Störfall für alle Beteiligten möglichst gering bleibt.
Zu den kritischen Infrastrukturen zählen unter anderem die Energie- und Wasserversorgung.池に反射する鉄塔と木々と空模様 – stock.adobe.com
Anzeige
Entscheider-Facts:
Die
Wasserwirtschaft gehört zur kritischen Infrastruktur, die unter das
Kritis-Dachgesetz fällt.
Seit März
2026 müssen Unternehmen, auf die das Gesetz zutrifft, sich als Betreiber
kritischer Anlagen registrieren.
Kommt es zu einem Störfall, müssen Unternehmen diesen
der zuständigen Behörde melden und einen Mängelbeseitigungsplan vorlegen.
Was bei der IT-Security überraschenderweise schon Anwendung findet – sektorenübergreifende Regelungen –, setzt das Kritis-Dachgesetz für den physischen Schutz kritischer Infrastrukturen (Kritis) in Deutschland um. Insofern ergänzt sich das Kritis-Dachgesetz mit dem Umsetzen der Network-and-Information-Security-Richtlinie 2 (NIS2): Das Dachgesetz soll den Mindeststandard für physischen Schutz regeln, NIS2 wiederum ist für den Schutz der IT-Sicherheit zuständig.
Die dem Kritis-Dachgesetz zugrundeliegende EU-Richtlinie ist die Richtlinie über die Resilienz kritischer Einrichtungen (CER). Übrigens heißt es Dachgesetz, weil das Gesetz sektoren- sowie gefahrenübergreifend wirken soll, also die Sektoren, zu denen unter anderem Trink- und Abwasser, Energie und Siedlungsabfallentsorgung gehören, mit einem Dach überspannt.
Anzeige
Dabei verfolgt das Gesetz einen „All-Gefahren-Ansatz“, sodass jegliche Risiken, ob durch den Menschen oder die Natur verursacht, mitgedacht werden. Zu solchen Gefahren zählen Naturkatastrophen wie Überflutungen, Sabotage oder ungewolltes menschliches Fehlverhalten.
Das Gesetz ist seit Mitte März 2026 in Kraft. Unternehmen und Einrichtungen müssen sich selbst als Betreiber kritischer Anlagen frühestens ab dem 17. Juli 2026 registrieren. Neun Monate nach der Registrierung müssen Betreiber eine Risikoanalyse durchführen und zehn Monate nach der Registrierung müssen sowohl Resilienzmaßnahmen ergriffen worden sein als auch ein System zum Melden von Vorfällen bereitstehen.
Wer zählt zur kritischen Infrastruktur?
Anzeige
Ob ein Unternehmen oder eine Einrichtung, die Resilienzmaßnahmen, die das Kritis-Dachgesetz vorgibt, ergreifen muss, hängt davon ab, ob die folgenden zwei Fragen mit ja beantwortet werden: Ist ein Unternehmen essenziell für die Gesamtversorgung in Deutschland? Versorgt besagtes Unternehmen mehr als 500.000 Personen? Im Fall der Wasserwirtschaft und Unternehmen, die in diesem Bereich tätig sind, lautet die Antwort mit großer Wahrscheinlichkeit in beiden Fällen ja.
Während Sektoren wie das Finanz- und Versicherungswesen sowie Teile der IT und Telekommunikation explizit vom Kritis-Dachgesetz ausgenommen sind, weil ihre Pflichten bereits durch andere Gesetze abgedeckt werden, gelten für den Energiesektor Sonderregeln. Denn die Nachweispflichten dieses Sektors, zu dem Erdgas, Strom und Wasserstoff gehören, regelt hauptsächlich das Energiewirtschaftsgesetz. Doch nicht nur die Privatwirtschaft muss Maßnahmen ergreifen. Auch Einrichtungen, die zur Bundesverwaltung gehören wie die Bundesministerien und das Bundeskanzleramt sind vom Dachgesetz betroffen.
Was das Gesetz außerdem abdecken soll, ist die Abhängigkeit verschiedener Sektoren untereinander. So sollen vom Gesetz betroffene Unternehmen und Einrichtungen Risikoanalysen durchführen, welche Ausfälle bei ihnen passieren könnten, wie wahrscheinlich die jeweiligen Szenarien sind und wie abhängig sie selbst von anderen Unternehmen, Sektoren oder gar Ländern sind. Diese Risikoanalyse muss spätestens alle vier Jahre erneuert werden, dazwischen lediglich im Bedarfsfall.
Anzeige
In der Risikoanalyse müssen auch naturbedingte Risiken wie Überflutungen berücksichtigt werden.Jez – stock.adobe.com
Zudem gibt es noch eine nationale Risikoanalyse, die je nach Sektor von den Bundes- und Landesministerien mindestens alle vier Jahre durchgeführt wird. Dort werden naturbedingte, technische und menschliche Risiken sowie sektorenübergreifende und grenzüberschreitende Abhängigkeiten berücksichtigt. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übermittelt den Betreibern die für sie wesentlichen Teile dieser nationalen Analysen als Arbeitsgrundlage für ihre eigenen Risikoanalysen.
Nach der Risikoanalyse müssen Unternehmen einen auf ihren Auswertungen basierten Resilienzplan aufstellen. Dieser muss darauf ausgerichtet sein, Vorfälle zu verhindern, den physischen Schutz zu gewährleisten, auf Vorfälle zu reagieren und die zügige Wiederherstellung der kritischen Dienstleistung sicherzustellen. Mögliche Maßnahmen, um das zu erreichen, sind Zugangskontrollen, bauliche Sicherungen, Notstrom-Versorgung und das Ermitteln alternativer Lieferketten.
Die zuständige Behörde kann das Vorlegen des Resilienzplans verlangen. Dafür soll sie nach einem risikobasierten Ansatz vorgehen und diejenigen Betreiber auswählen, bei denen eine Störung aufgrund ihrer Größe oder der gesellschaftlichen und wirtschaftlichen Auswirkungen am gravierendsten wäre.
Wer ist für das Überprüfen zuständig?
Anzeige
Bund und Länder haben sich die Sektoren untereinander aufgeteilt: Für Energie, Transport, Finanzwesen, IT und Telekommunikation, Bundesverwaltung und voraussichtlich auch Sozialversicherung und Grundversicherung ist das Bundesministerium des Innern (BMI) verantwortlich. Gesundheitswesen, Wasser, Ernährung und Entsorgung wird von den Bundesländern geregelt. Dass neben dem Bund auch die Länder erweiterte Befugnisse haben, ist eine Änderung, die kurzfristig vor dem Inkrafttreten des Kritis-Dachgesetzes im März 2026 hinzukam.
Fällt ein Sektor wie Wasser unter die Zuständigkeit der Bundesländer, dürfen diese auch Betreiber von kritischer Infrastruktur bestimmen, selbst wenn die jeweilige Einrichtung die festgelegten Schwellenwerte nicht erreicht. Dasselbe gilt auch für das BMI für Sektoren, für die der Bund zuständig ist.
Was passiert, wenn’s passiert ist?
Anzeige
Sollte es zu einem Vorfall kommen, der den normalen Betriebsablauf eines Unternehmens oder einer Einrichtung erheblich stört oder stören könnte, muss der Betreiber diesen bis spätestens 24 h danach an die gemeinsame Meldestelle vom BBK und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermitteln.
Wenn es zu diesem Zeitpunkt möglich ist, sollte der Bericht Angaben darüber enthalten, wie viele Personen oder Parteien von der Störung betroffen sind, wie lange die Störung voraussichtlich dauern wird, welches geografische Gebiet die Störung umfasst und mögliche grenzüberschreitende Auswirkungen. Sollten diese Informationen beim Aufkommen der Störung noch nicht vorliegen, können sie bei der Meldestelle spätestens einen Monat nach dem Vorfall nachgereicht werden.
Das BBK bestätigt dann den Eingang des Berichts und übermittelt dem Betreiber sachdienliche Folgeinformationen beispielsweise in Form von Leitlinien zu Reaktionsverfahren oder zum Stärken der Resilienz. Zudem entscheidet das BBK auf Grundlage der übermittelten Informationen darüber, welche anderen Behörden oder Einrichtungen zu informieren sind. Sollte ein öffentliches Interesse an dem gemeldeten Vorfall bestehen, kann das BBK entweder selbst die Öffentlichkeit informieren oder den betroffenen Betreiber dazu verpflichten.
Anzeige
Ist das betroffene Unternehmen beispielsweise in sechs oder mehr EU-Ländern mit denselben Dienstleistungen vertreten, muss der Vorfall der EU-Kommission gemeldet werden, da das Unternehmen dann als „kritische Einrichtung mit besonderer Bedeutung für Europa“ gilt. Diesen Status erhält es auch ohne Vorfall, wenn es denselben wesentlichen Dienst in mindestens sechs Mitgliedsländern der EU erbringt.
Erteilen Betreiber vorsätzlich keine Auskunft, legen weder Risikoanalyse noch Resilienzplan vor oder versäumen es, ihren Mängelbeseitigungsplan dem BBK vorzulegen, sind das nur einige der Tatbestände, die als Ordnungswidrigkeit eingestuft und mit einem Bußgeld bestraft werden. Das BBK fungiert als Verwaltungsbehörde der Bußgelder. Am günstigsten mit bis zu 50.000 Euro kommen Betreiber weg, die ihre Angaben bei der Registrierung nicht richtig, vollständig, rechtzeitig oder schlicht gar nicht übermittelt haben. Am teuersten wird es für diejenigen, die trotz Anordnung keine Unterlagen vorlegen, mit denen sich feststellen lässt, ob ihre Anlage als kritisch gilt, dafür ist bis zu 1 Mio. Euro Bußgeld angesetzt.
Nicht allein auf weiter Flur
Der Gesetzgeber lässt die vom Kritis-Dachgesetz betroffenen Unternehmen und Einrichtungen nicht ganz allein mit der Mammutaufgabe der Risikoanalysen, Berichterstattungen und Schulungen für Mitarbeitende zurück. Das BBK soll Betreiber kritischer Anlagen laut Gesetz unterstützen, indem es ihnen Leitlinien und Vorlagen zur Verfügung stellt, wie sie ihre Verpflichtungen umsetzen können. Dafür steht dem BBK auch die Möglichkeit offen, Schulungen oder Beratungen anzubieten. Denn die Geschäftsleiter von betroffenen Unternehmen und Einrichtungen müssen regelmäßig an Schulungen teilnehmen, bei denen sie lernen Risiken in ihrem konkreten Umfeld zu bewerten und mit ihnen umzugehen.
