KRITIS-Dachgesetz 2026: Warum Resilienz jetzt zur Chefsache wird

Das neue KRITIS-Dachgesetz verändert das Spielfeld für Betreiber kritischer Anlagen grundlegend – und zwar nicht irgendwann, sondern mit unmittelbaren strategischen Konsequenzen für Energiebranche, Netzinfrastruktur, ITK, Finanzsektor, Gesundheit, Wasser und weitere versorgungsrelevante Sektoren.

Was mit dem KRITIS-Dachgesetz eigentlich passiert

Das KRITIS-Dachgesetz setzt die EU-Richtlinie 2022/2557 in deutsches Recht um und bündelt erstmals physische Resilienzanforderungen für kritische Anlagen in einem sektorübergreifenden Gesetz. Es definiert, was eine „kritische Anlage“ und eine „kritische Dienstleistung“ ist – von Energie über Transport, Finanzwesen, Sozialversicherung, Gesundheitswesen, Wasser, Ernährung, ITK, Weltraum bis zur Siedlungsabfallentsorgung. Parallel werden BSI-Gesetz, Außenwirtschaftsverordnung, Telekommunikationsgesetz, Energiesicherungsgesetz und andere Normen an diese neuen Definitionen gekoppelt.

Für Betreiber bedeutet das: Die Frage, ob Sie „KRITIS sind“, entscheidet sich künftig nicht mehr nur über IT-Schwellenwerte, sondern über eine sektorübergreifend definierte, physische Systemrelevanz Ihrer Anlagen.

Neue Systemlogik: Von der Anlage zur Resilienzstrategie

Zentral ist der Perspektivwechsel von der Einzelpflicht hin zur Resilienzstrategie über den gesamten Lebenszyklus kritischer Anlagen. Der Gesetzgeber denkt Resilienz als Fähigkeit, Vorfälle zu verhindern, abzuwehren, zu begrenzen und sich davon zu erholen – mit klarer Verankerung in Risikoanalyse und Risikobewertung.

Das Dachgesetz schafft dafür einen Rahmen aus:

• verbindlichen Begriffsbestimmungen und Sektorkatalogen.
• einer nationalen KRITIS-Resilienzstrategie als politischem und administrativem Leitplanken-Set.
• klar benannten zuständigen Behörden (z. B. BNetzA, BSI, BaFin, DWD, EBA, BMDV-Ressorts).
• abgestimmten Informationsflüssen zwischen Bundes- und Landesbehörden, BSI und BBK.

Damit verschiebt sich die Erwartungshaltung an Betreiber: Weg vom Mindest-Compliance-Haken hin zu einer integrierten Governance aus physischer Sicherheit, Krisenfähigkeit und regulatorischer Koordination.

Wer jetzt konkret handeln muss

Das KRITIS-Dachgesetz adressiert Betreiber kritischer Anlagen in zehn Sektoren, wobei das BMI per Rechtsverordnung die kritischen Dienstleistungen und Schwellenwerte präzisiert. Zusätzlich können bestimmte Anlagenkategorien generell als „erheblich“ erklärt werden, unabhängig von reinen Versorgungsgraden.

Besonders im Fokus stehen:

• Energieversorgung (Strom, Gas, Wasserstoff, Mineralöl).
• Betreiber öffentlicher Telekommunikationsnetze und –dienste sowie sonstiger ITK-Dienstleistungen (Sprach-/Datenübertragung, Speicherung, Verarbeitung).
• Finanzunternehmen, Sozialversicherungsträger und Leistungserbringer der Grundsicherung für Arbeitsuchende.
• Betreiber maritimer Infrastrukturen, Verkehrsträger (Schiene, Straße, Wasserstraße) und Weltraum-Bodeninfrastrukturen.

Gleichzeitig gelten für bestimmte Gruppen – etwa Finanzunternehmen unter Verordnung (EU) 2022/2554 oder einige ITK- und Entsorgungsbetreiber – punktuelle Ausnahmen von einzelnen Pflichten des Dachgesetzes, solange sie bereits einem spezialgesetzlichen Regime unterliegen.

Kurz: Die regulatorische Landkarte wird dichter, aber auch konsistenter – wer mehrere Rollen einnimmt (z. B. Energie, IT, Finanz), muss Doppelregime sauber harmonisieren.

Verzahnung mit BSI-Gesetz, Außenwirtschafts- und Telekommunikationsrecht

Besonders spannend ist die stille, aber folgenreiche Umbuchung der zentralen Definitionen in angrenzende Regelwerke. So verweisen BSI-Gesetz, Telekommunikationsgesetz, Energiesicherungsgesetz und Außenwirtschaftsverordnung künftig nicht mehr auf eigene KRITIS-Begriffe, sondern auf die Definitionen des KRITIS-Dachgesetzes.

Das hat drei Konsequenzen:

• IT-Sicherheitsrecht (BSI-G) und physische Resilienz (KRITISDachG) greifen definitorisch ineinander, statt nebeneinanderher zu laufen.
• Investitionskontrolle (AWV) knüpft bei bestimmten Zielunternehmen – u. a. Cloud-Computing-Infrastruktur – an die im KRITIS-Dachgesetz festgelegten Schwellenwerte an.
• Telekommunikationsrechtliche Pflichten (z. B. bestimmte Sicherheitsanforderungen) werden erst scharf gestellt, wenn die Rechtsverordnungen nach § 4 und § 5 KRITISDachG gelten; bis dahin greifen Übergangsregelungen.

Für die Praxis heißt das: Ein falsches Verständnis der neuen KRITIS-Definition kann sich gleichzeitig auf IT-Sicherheitsrecht, Investitionsentscheidungen und sektorale Pflichten auswirken.

Was Betreiber jetzt strategisch tun sollten

Wer im Einflussbereich des KRITIS-Dachgesetzes agiert, sollte das Thema nicht als „noch ein Compliance-Paket“ abheften, sondern als strategischen Hebel für robuste Geschäftsmodelle lesen.

Konkrete Ansatzpunkte:

• Frühzeitige Prüfung, ob Anlagen nach den kommenden Rechtsverordnungen als „erheblich“ einzustufen sein werden – inklusive Szenarien für Wachstum, Konsolidierung oder neue Standorte.
• Aufbau einer verzahnten Governance-Struktur, die KRITISDachG, BSI-G, sektorspezifische Pflichten und interne Risikomanagementprozesse zusammenbringt.
• Etablierung integrierter Risiko- und Resilienzprozesse (von Risikoanalyse und -bewertung über Krisenreaktion bis zur Wiederanlaufplanung) als Teil der Unternehmenssteuerung, nicht als nachgelagerte Fachaufgabe.
• Professionalisierung des regulatorischen Schnittstellenmanagements – insbesondere dort, wo mehrere Aufsichtsbehörden und EU-Regime parallel wirken.

Wer diese Hausaufgaben ernst nimmt, reduziert nicht nur Sanktions- und Reputationsrisiken, sondern stärkt zugleich die eigene operative Widerstandsfähigkeit.

Wenn Sie wissen möchten, was das KRITIS-Dachgesetz im Detail für Ihr Unternehmen, Ihre Anlagen und Ihre Governance-Struktur bedeutet – von der Einstufung über die Prozesslandschaft bis zu konkreten Maßnahmen – schreiben Sie uns an hallo@enthus.de. Wir unterstützen Sie umfassend, von der ersten Einordnung über Workshops mit Management und Fachbereichen bis zur pragmatischen Umsetzung in Organisation, Prozessen und Dokumentation.