KRITIS-Dachgesetz: Was neben NIS2 auf Betreiber kritischer Infrastrukturen zukommt

Q: Gilt das KRITIS-Dachgesetz auch für IT-Unternehmen?

Ja, der Sektor "Digitale Infrastruktur" umfasst Rechenzentren, DNS-Dienste, TLD-Registries und IXPs. Cloud-Provider und Managed Service Provider können ebenfalls betroffen sein, abhängig von Schwellenwerten.

1 Min. Lesezeit

Während die Security-Welt auf NIS2 blickt, arbeitet das Bundesinnenministerium parallel am KRITIS-Dachgesetz – dem physischen Gegenstück zur Cyber-Regulierung. Erstmals werden in Deutschland Mindeststandards für den physischen Schutz kritischer Infrastrukturen bundesweit gesetzlich verankert. Betreiber stehen vor der Doppelbelastung aus digitaler und physischer Resilienz.

Das Wichtigste in Kürze

KRITIS-Dachgesetz setzt EU-Richtlinie CER (Critical Entities Resilience) um
Erstmals bundesweite physische Schutzstandards für KRITIS-Betreiber
Betrifft 11 Sektoren: Energie, Wasser, Gesundheit, Transport, Digitales u.a.
Risikobewertungen, Resilienzpläne und Meldepflichten für physische Vorfälle

NIS2 plus KRITIS-Dachgesetz: Die Doppelregulierung

NIS2 regelt die Cybersicherheit, das KRITIS-Dachgesetz den physischen Schutz – aber die Adressaten überlappen sich massiv. Ein Energieversorger muss künftig beide Regularien erfüllen: Cyber-Risikomanagement nach NIS2 UND physische Resilienzpläne nach KRITIS-Dachgesetz.

Für Betreiber bedeutet das: Zwei Compliance-Frameworks, zwei Meldepflichten, potenziell zwei Aufsichtsbehörden. Die Herausforderung liegt in der Integration beider Anforderungen in ein kohärentes Risikomanagement.

Was das Gesetz konkret fordert

Kernpflichten für KRITIS-Betreiber: Regelmäßige Risikobewertungen (alle 4 Jahre), Resilienzpläne mit konkreten Schutzmaßnahmen, Meldepflicht bei Vorfällen, die den Betrieb erheblich stören, Background-Checks für Mitarbeiter in sensiblen Bereichen und Benennung einer verantwortlichen Kontaktperson gegenüber dem BBK.

Neu ist der All-Hazards-Ansatz: Die Risikobewertung muss neben Sabotage und Terrorismus auch Naturkatastrophen, Pandemien und technisches Versagen umfassen. Das schließt Klimaanpassung als Security-Thema ein.

Die 11 betroffenen Sektoren

Energie, Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum und Lebensmittel. Die genaue Abgrenzung, welche Unternehmen innerhalb dieser Sektoren als „kritische Einrichtungen“ gelten, wird durch Schwellenwerte definiert.

Wichtig für den Mittelstand: Die Schwellenwerte orientieren sich an Versorgungsrelevanz, nicht an Unternehmensgröße. Ein kleines Stadtwerk kann ebenso betroffen sein wie ein DAX-Konzern.

Umsetzungsempfehlung: Integration statt Doppelarbeit

Unternehmen, die bereits an NIS2-Compliance arbeiten, sollten das KRITIS-Dachgesetz nicht als separates Projekt behandeln. Die Empfehlung: Ein integriertes Resilience-Management-System aufbauen, das sowohl Cyber- als auch physische Risiken abdeckt.

ISO 22301 (Business Continuity) bietet einen Rahmen, der beide Dimensionen vereint. Wer sein BCMS nach 22301 zertifiziert, erfüllt einen Großteil der KRITIS-Dachgesetz-Anforderungen automatisch.

Key Facts

EU-Grundlage: CER-Richtlinie (Critical Entities Resilience), umzusetzen bis Oktober 2024

Sektoren: 11 Sektoren mit geschätzt 2.000+ betroffenen Betreibern in Deutschland

Meldepflicht: 24 Stunden für erhebliche Störungen des Betriebs

Häufige Fragen

Gilt das KRITIS-Dachgesetz auch für IT-Unternehmen?

Ja, der Sektor „Digitale Infrastruktur“ umfasst Rechenzentren, DNS-Dienste, TLD-Registries und IXPs. Cloud-Provider und Managed Service Provider können ebenfalls betroffen sein, abhängig von Schwellenwerten.

Wie verhält sich das zum bestehenden IT-Sicherheitsgesetz?

Das IT-Sicherheitsgesetz 2.0 regelt Cybersicherheit für KRITIS (wird durch NIS2-Umsetzung ersetzt). Das KRITIS-Dachgesetz ergänzt die physische Dimension. Beide Gesetze gelten parallel.

Was kostet die Umsetzung?

Abhängig vom Reifegrad: Unternehmen mit bestehendem BCM nach ISO 22301 haben geringen Zusatzaufwand. Ohne bestehende Strukturen: 6-12 Monate Projektlaufzeit, 100.000-500.000 EUR für den Mittelstand (Beratung, Maßnahmen, Dokumentation).