KRITIS-Dachgesetz in Kraft: Neue Pflichten, hohe Bußgelder und viele offene Fragen für Betreiber kritischer Anlagen

Fällt ein Betreiber in den Anwendungsbereich des Gesetzes, kommen auf ihn einige Pflichten zur Schaffung physischer Resilienz zu: 

I. Der erste Schritt: Identifikation und Registrierung

Wer sich im Anwendungsbereich wiederfindet, ist spätestens drei Monate nach Einstufung als kritische Anlage, frühestens jedoch ab dem 17. Juli 2026 registrierungspflichtig. Die Registrierung erfolgt beim BBK über eine gemeinsam mit dem BSI eingerichtete elektronische Registrierungsplattform – wie man sie bereits aus dem BSIG kennt. Erfasst werden vor allem Kontaktdaten, Sektor-Zuordnung und maßgebliche Werte zum Versorgungsgrad, wobei Angaben regelmäßig aktualisiert werden müssen. Wer sich nicht registriert, riskiert Nachfragen, Vorlagepflichten, letztlich sogar eine behördliche Zwangsregistrierung.

II. Risikoanalysen und -bewertungen: Risikomanagement im Vierjahrestakt

Zusätzlich müssen Betreiber ein strukturiertes Risikomanagement etablieren. Spätestens neun Monate nach Registrierung – und danach mindestens alle vier Jahre – sind Risikoanalysen und -bewertungen durchzuführen. Sie müssen sich an den ebenfalls im Vierjahresrhythmus erstellten nationalen Risikoanalysen orientieren und in konkrete Resilienzmaßnahmen münden. Abgedeckt werden müssen sämtliche naturbedingte, technische und menschlich verursachte Risiken, die die Verfügbarkeit der kritischen Dienstleistung erheblich beeinträchtigen können – einschließlich sektorübergreifender und grenzüberschreitender Szenarien. Besonders im Blick stehen dabei wechselseitige Abhängigkeiten: Wie abhängig ist der Betreiber von anderen kritischen Dienstleistungen – auch in anderen Sektoren, EU‑Mitgliedstaaten und Drittstaaten? Und umgekehrt: Wie stark hängen andere Sektoren von seiner Leistung ab? Weitere Anforderungen folgen durch Rechtsverordnung. 

III. Der Kern des Gesetzes: Resilienzpflichten 

Zehn Monate nach Registrierung greifen die Resilienzpflichten. Betreiber müssen Vorfälle möglichst verhindern, ihre Liegenschaften und Anlagen physisch sichern, bei Vorfällen effektiv reagieren, Schäden begrenzen und die kritische Dienstleistung schnell wiederherstellen. Das Ganze folgt einem risikobasierten Ansatz: Grundlage sind sowohl die nationalen Risikoanalysen als auch die eigene Risikoanalyse. Daraus sind technische, sicherheitsbezogene und organisatorische Maßnahmen nach dem „Stand der Technik“ abzuleiten. Klar ist: Aufwand und Nutzen müssen in einem angemessenen Verhältnis zum Risiko stehen, wirtschaftliche Leistungsfähigkeit ist zu berücksichtigen, und Maßnahmen dürfen nicht über das hinausgehen, was verhältnismäßig ist – eine rechtsstaatliche Selbstverständlichkeit, die der Gesetzgeber dennoch ausdrücklich ins Gesetz geschrieben hat. Das Gesetz nennt eine Reihe von Zielerreichungsmaßnahmen: Hierzu gehören beispielsweise bauliche und technische Sicherungen, alternative Lieferketten sowie Schulungen und Übungen. 

Die Konkretisierung der Resilienzpflichten verteilt sich auf erstaunlich viele Akteure. Sektorübergreifende Mindestanforderungen kommen vom BMI, gegebenenfalls übertragen auf das BBK. Betreiber und Branchenverbände können branchenspezifische Standards vorschlagen, die das BBK prüft und bei Geeignetheit veröffentlicht. Parallel dazu können mehrere Bundesministerien und die Länder sektorspezifische Mindestvorgaben festlegen, solange keine anerkannten branchenspezifischen Standards existieren. Obendrauf kann die EU‑Kommission technische und methodische Spezifikationen durch Durchführungsrechtsakte definieren, die vorrangig gelten. Als Ergebnis droht ein unübersichtliches Mehrebenensystem. Für Betreiber wird es zunehmend schwieriger, den Überblick zu behalten.

IV. Resilienzplan: Pflicht zur Dokumentation

Die Resilienzmaßnahmen sind in einem Resilienzplan zu dokumentieren. Der Plan muss zeigen, auf welchen Überlegungen die Maßnahmen beruhen und wie sie aus der hauseigenen Risikoanalyse abgeleitet wurden. Er ist kein statisches Dokument: Bei Bedarf und nach jeder Risikoanalyse ist er zu überprüfen und anzupassen. Laut Gesetz muss das BBK entsprechende Vorlagen und Muster für Resilienzpläne bis zum 17. Januar 2026 auf seiner Internetseite zur Verfügung stellen – gemeint war wohl ein anderer Monat oder das Jahr 2027. Klar ist aber schon jetzt: Resilienzpflichten und Resilienzplan bringen einen erheblichen bürokratischen Aufwand mit sich, den kein Betreiber (gerade) gut gebrauchen kann.

Die Verantwortung für die Umsetzung der Resilienzpflichten liegt ausdrücklich bei der Geschäftsleitung. Verletzt sie diese Pflichten, haftet sie der Einrichtung nach den allgemeinen Regeln des Gesellschaftsrechts. Eine zusätzliche, eigenständige Haftungsnorm schafft das KRITIS-Dachgesetz nur subsidiär – für Konstellationen, in denen das einschlägige Gesellschaftsrecht keine Haftung vorsieht. In der Praxis wird es damit wohl bei der bekannten Geschäftsführer- bzw. Organhaftung bleiben. 

V. Behördliche Überwachung: Nachweispflichten und Audits

Die Einhaltung der Resilienzpflichten wird risikobasiert überwacht. Reichen vorhandene Nachweise nicht aus, kann die zuständige Behörde weitere Informationen anfordern oder Audits anordnen. Welche Betreiber kontrolliert werden, hängt von Risikoexposition, Unternehmensgröße und möglichen Auswirkungen von Vorfällen ab. In der Praxis wird dies wohl auf Stichprobenkontrollen hinauslaufen. Die Behörde kann sich zudem qualifizierter, unabhängiger Dritter bedienen, die während der üblichen Betriebszeiten Betretens‑ und Informationsrechte haben. Werden Mängel festgestellt, kann sie Mängelbeseitigungspläne verlangen und konkrete Maßnahmen anordnen. Flankierend legt das BBK im Einvernehmen mit dem zuständigen Bundesministerium und dem BSI Anforderungen an Nachweise und Audits fest und unterstützt Betreiber mit Leitlinien und Vorlagen. Eine Ausnahme: Für einen Großteil der Nachweispflichten gilt für Betreiber aus dem Energiesektor im Bereich Strom, Erdgas und Wasserstoff stattdessen das Energiewirtschaftsgesetz, das ähnliche Regelungen, aber deutlich weniger Sanktionstatbestände vorsieht. 

VI. Meldepflichten: Vorfälle müssen schnell gemeldet werden

Das Gesetz sieht ein zweistufiges Meldesystem vor. Zehn Monate nach Registrierung gilt: Vorfälle sind unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis an die gemeinsame Meldestelle von BSI und BBK zu melden. Die Erstmeldung umfasst insbesondere Zahl der Betroffenen, bisherige und voraussichtliche Dauer, geografisches Ausmaß und mögliche räumliche Isolierung. Spätestens einen Monat nach Kenntnis ist ein ausführlicher Bericht nachzureichen. Die Details des Meldeverfahrens bestimmt auch hier das BBK im Einvernehmen mit dem BSI, unionsrechtliche Durchführungsakte gehen vor. Was genau ein „Vorfall“ ist, erschließt sich nur über Verweise ins BSIG und Telekommunikationsgesetz. Es handelt sich um Ereignisse, die die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigen oder beeinträchtigen können – reine IT‑Sicherheitsvorfälle sind ausgenommen. 

Die vorgenannten Pflichten sind teilweise mit hohen Bußgeldern bewehrt: Schon Verstöße gegen Registrierungspflichten oder Mitwirkung bei Kontrollen – etwa unvollständige Angaben oder verweigerter Zutritt – können mit bis zu 100.000 Euro geahndet werden. Wer einer Anordnung des BBK zur Vorlage von Unterlagen bei Verdacht auf fehlende Registrierung nicht nachkommt, riskiert sogar bis zu 1 Mio. Euro. Fehlen Nachweise zur Einhaltung der Resilienzpflichten oder wird kein Resilienzplan vorgelegt, drohen Bußgelder von bis zu 200.000 Euro. 

Zwar fungiert das BBK formell als zentrale Anlaufstelle. Faktisch aber ist das Zuständigkeitsgefüge hoch fragmentiert. Das KRITIS‑Dachgesetz nennt bereits selbst mehr als ein Dutzend zuständige Behörden. Das BMI kann darüber hinaus noch weitere Bundesbehörden bestimmen. Auch die Länder dürfen über eine Öffnungsklausel eigene Landesbehörden benennen. Dieses unübersichtliche Zuständigkeitsgefüge bleibt mit Blick auf Praktikabilität und Krisenreaktionsfähigkeit kritisch zu hinterfragen. Ob sich mit dieser Struktur im Ernstfall das angestrebte einheitliche Sicherheitsniveau erreichen lässt, bleibt abzuwarten.

Das KRITIS‑Dachgesetz bleibt in mehreren Punkten hinter der CER‑Richtlinie zurück: Der nationale Gesetzgeber nutzt zentrale Spielräume zugunsten der Unternehmen bislang nicht. Die unionsrechtlich eröffnete Option, Betreiber kritischer Anlagen finanziell zu unterstützen, taucht im Gesetz nicht auf. Der Gesetzgeber verteilt Pflichten und Kosten einseitig auf die Betreiber – obwohl kritische Infrastrukturen für Versorgung und Sicherheit der Bevölkerung zentral sind. Eine staatliche Mitfinanzierung der zusätzlichen Resilienzanforderungen drängt sich vor diesem Hintergrund geradezu auf, zumal Art. 143h GG hierfür einen eigenen verfassungsrechtlichen Anknüpfungspunkt bietet. Damit wird bisher ein deutliches Signal gesendet: Resilienz ja, Mitfinanzierung nein.

Das KRITIS‑Dachgesetz adressiert ein wichtiges Thema: Den Schutz kritischer Infrastruktur vor physischen Bedrohungen. Es setzt einen neuen, sektorübergreifenden Rahmen – regelt aber vor allem, wer welche Rechtsverordnungen zu erlassen hat. Erst diese nachgelagerten Verordnungen werden den Adressatenkreis und den bürokratischen Aufwand konkretisieren. Insbesondere das BMI erhält zahlreiche Verordnungsermächtigungen. Zusammen mit weiteren Bundes- und Landeszuständigkeiten droht eine uneinheitliche und schwer überschaubare Vorgabenlandschaft. Für Betreiber heißt es zusätzlich: Hoher administrativer Aufwand und erhebliche finanzielle Belastung. Zugleich bleibt offen, ob dieser komplexe, vielfach gestufte Regelungsansatz im Ernstfall wirklich für schnellere und effektivere Widerstandsfähigkeit sorgt. Umso mehr wird es darauf ankommen, wie schnell, wie klar und wie kohärent die zum KRITIS-Dachgesetz gehörigen Verordnungen erlassen werden.