Was ~2.000 KRITIS-Betreiber jetzt konkret tun müssen – und welche Fehler Sie vermeiden sollten
Es ist ein grauer Dienstagmorgen, 6:47 Uhr. Der Sicherheitsverantwortliche eines norddeutschen Stadtwerks betritt die Leitstelle für seine Routinebegehung. Das Seitentor zum Pumpenhaus steht halb offen. Die Zugangskontrolle blinkt rot – Batterie leer. Keine große Sache, denkt er. Und liegt damit grundlegend falsch. Denn seit dem 6. März 2026 ist genau dieses Seitentor Teil einer gesetzlichen Dokumentations- und Schutzpflicht: Das KRITIS-Dachgesetz ist in Kraft.
Was jahrelang als freiwillige Best Practice oder bloße Empfehlung galt – der physische Schutz kritischer Infrastrukturen – ist nun rechtsverbindlich. Das KRITIS-Dachgesetz setzt die EU-CER-Richtlinie (Critical Entities Resilience) in deutsches Recht um und richtet sich an rund 2.000 Betreiber aus elf Sektoren: Energie, Wasser, Verkehr, Gesundheit, Digitale Infrastruktur und weitere. Erstmals verlangt ein deutsches Bundesgesetz explizit physische Sicherheitsmaßnahmen – nicht nur IT-Schutz, sondern Zutrittskontrolle, Perimeterschutz und Notfallmanagement.
Warum ist das jetzt relevant? Weil die Fristen laufen, Bußgelder drohen und viele Betreiber noch nicht einmal wissen, ob sie überhaupt unter das Gesetz fallen. Dieser Beitrag liefert den vollständigen Überblick: rechtlicher Rahmen, konkrete Anforderungen, typische Fehler und Lösungsansätze aus der Praxis.
Von der EU-CER-Richtlinie zum deutschen Gesetz
Das KRITIS-Dachgesetz ist das Ergebnis eines langen europäischen Gesetzgebungsprozesses. Die EU-CER-Richtlinie (Richtlinie 2022/2557) wurde im Dezember 2022 verabschiedet und verpflichtete die Mitgliedstaaten zur Umsetzung bis Oktober 2024. Deutschland brauchte länger: Nach einem Kabinettsbeschluss 2025 und mehrfachen Anpassungen verabschiedete der Bundesrat das Gesetz am 6. März 2026.
Das KRITIS-Dachgesetz ergänzt das bestehende IT-Sicherheitsrecht – BSIG und NIS2UmsuCG – um eine physische Dimension. Während NIS2 primär auf Informationssicherheit und Cyberresilienz zielt, fordert das Dachgesetz explizit: Risikoanalysen für physische Bedrohungen, Resilienzpläne gegen Sabotage und Naturkatastrophen, Zutrittskontrolle und Perimeterschutz als Mindeststandard sowie Business-Continuity-Management (BCM).
Zuständige Behörde ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) – nicht das BSI. Das ist eine wichtige Unterscheidung: Während NIS2 über das BSI abgewickelt wird, ist das KRITIS-Dachgesetz beim BBK angesiedelt. Betreiber müssen sich dort registrieren und regelmäßig berichten. Wer das verwechselt, landet in der falschen Behörde – und riskiert trotzdem ein Bußgeld.
Was das Gesetz seit März 2026 konkret fordert
Mit Inkrafttreten am 6. März 2026 gelten für alle registrierten KRITIS-Betreiber sofortige Kernpflichten: Registrierung beim BBK, Risikoanalysen für physische Bedrohungsszenarien, Erstellung von Resilienzplänen sowie die Implementierung von Mindestschutzmaßnahmen im Bereich physische Sicherheit. Erste vollständige Resilienzpläne werden für Q2/Q3 2026 erwartet.
Besonders bemerkenswert ist Paragraph 11 des Gesetzes: Er fordert, dass Betreiber geeignete Maßnahmen zum Schutz ihrer kritischen Anlagen gegen physische Bedrohungen implementieren – darunter Sabotage, Terrorismus, Naturkatastrophen und unbeabsichtigte menschliche Fehler. Dazu gehören konkret: Zaunanlagen und Perimeterschutz, Zutrittskontrollsysteme, Videoüberwachung, Beleuchtungskonzepte, Einbruchmeldeanlagen sowie Notfallpläne für den physischen Schutzausfall.
Parallel dazu hat das NIS2-Umsetzungsgesetz physische Sicherheit als einen der zehn Risikomanagementbereiche definiert. Beide Gesetze greifen also ineinander: Ein KRITIS-Betreiber muss sowohl NIS2 als auch das Dachgesetz erfüllen – mit erheblichen Synergien, aber auch doppeltem Compliance-Aufwand, wenn man sie getrennt angeht.
Aus der Praxis
Ein kommunaler Wasserversorger in Mitteldeutschland – 180 Mitarbeiter, drei Pumpstationen – hatte im Herbst 2025 seine NIS2-Registrierung abgeschlossen und ein IT-Sicherheitskonzept erstellt. Beim ersten KRITIS-Dachgesetz-Check stellte sich heraus: Für zwei der drei Pumpstationen existierten keinerlei Zugangsprotokolle. Ein Schlüssel für das Hauptgebäude war seit über zwei Jahren nicht dokumentiert ausgegeben worden. Die physischen Schutzmaßnahmen waren vorhanden – Zäune, Schlösser, eine Kamera – aber nirgends als Bestandteil eines Sicherheitskonzepts erfasst. Ergebnis: Die Lücke auf dem Papier war größer als die Lücke in der Realität. Innerhalb von drei Wochen war ein Sicherheitsregister erstellt, die Zugangsdokumentation nachgezogen und das NIS2-Konzept um physische Maßnahmen ergänzt. Der Aufwand: überschaubar. Der Nutzen: rechtssichere Compliance für beide Gesetze.
Praktische Auswirkungen: Was das für den Betrieb bedeutet
Was bedeutet das Dachgesetz konkret für den Sicherheitsverantwortlichen im Alltag? Die Anforderungen sind substanziell und gehen über das hinaus, was viele Betreiber bislang dokumentiert haben. Risikoanalysen müssen physische Bedrohungsszenarien explizit einschließen – Einbruch, Sabotage, Extremwetterereignisse, Versorgungsausfälle. Diese Szenarien müssen bewertet und priorisiert werden.
Resilienzpläne müssen beschreiben, welche Maßnahmen bei einem physischen Sicherheitsversagen greifen. Das umfasst Evakuierungskonzepte, Ausweichbetrieb, Kommunikationspläne und Wiederherstellungsmaßnahmen. Für viele Betreiber bedeutet das: komplett neue Dokumentation, weil bisher nur IT-seitige Notfallpläne existierten.
Die Zutrittskontrolle ist ein besonders häufig unterschätzter Bereich. Das Gesetz verlangt nicht nur, dass der Zutritt zu kritischen Anlagen geregelt ist – sondern dass diese Regelungen dokumentiert, regelmäßig überprüft und bei Vorfällen revisionssicher nachvollzogen werden können. Für kleinere Energieversorger oder kommunale Wasserbetriebe ist das ein erheblicher Investitionsaufwand, wenn man von null anfängt.
Die Registrierungspflicht beim BBK ist ein eigenständiger Bußgeldtatbestand – ähnlich wie bei NIS2 und der BSI-Registrierung. Wer noch nicht registriert ist, sollte das unverzüglich nachholen. Das BBK hat signalisiert, dass zunächst auf Beratung gesetzt wird – die Durchsetzung soll aber ab dem zweiten Halbjahr 2026 an Intensität gewinnen.
Die drei häufigsten Fehler – und wie man sie vermeidet
In meiner Beratungs- und Gutachtertätigkeit begegnen mir immer wieder dieselben Fehler, wenn Betreiber das Thema KRITIS-Compliance angehen. Der häufigste: die Trennung von IT-Sicherheit und physischer Sicherheit in unterschiedlichen Abteilungen mit getrennten Budgets und Zuständigkeiten. Das Dachgesetz verlangt eine integrierte Betrachtung. Wer das organisatorisch nicht abbildet, wird erhebliche Lücken in seinen Resilienzplänen haben – und bei der Prüfung durch das BBK erklären müssen, warum sein Objektschutz kein Konzept kennt, das mit dem IT-Notfallplan spricht.
Zweiter klassischer Fehler: Risikoanalysen werden als einmaliges Projekt verstanden, nicht als kontinuierlicher Prozess. Das Gesetz fordert regelmäßige Überprüfung und Aktualisierung – mindestens alle vier Jahre oder bei wesentlichen Veränderungen des Betriebs oder der Bedrohungslage. Wer jetzt schnell eine Analyse erstellt und sie dann ablegt, erfüllt die Anforderungen nicht dauerhaft.
Dritter häufiger Fehler: die Unterschätzung des Personalbedarfs. Risikoanalysen, Resilienzpläne, Übungen und Meldepflichten erfordern dedizierte Ressourcen. Viele kleinere KRITIS-Betreiber versuchen, das nebenbei zu erledigen – mit dem Ergebnis, dass Dokumentationen unvollständig bleiben und im Prüfungsfall Lücken aufweisen.
Lösungsansätze: Was jetzt zu tun ist
Der effizienteste Ansatz ist die Integration: NIS2-Compliance und KRITIS-Dachgesetz-Anforderungen sollten in einem gemeinsamen Rahmenwerk bearbeitet werden. Ein integriertes Sicherheitsmanagement, das physische Sicherheit, IT-Sicherheit und Business Continuity zusammendenkt, erfüllt beide gesetzlichen Anforderungen effizienter als zwei getrennte Projekte.
Für die Risikoanalyse empfehlen sich etablierte Methoden: Der BSI-Grundschutz bietet eine solide Basis für den IT-Teil; für physische Bedrohungen hat sich die TRAM-Methodik (Threat, Risk and Assessment Methodology) bewährt. Die Ergebnisse beider Analysen müssen in einem gemeinsamen Schutzdokument zusammengeführt werden.
Bei der Umsetzung physischer Schutzmaßnahmen gilt das Prinzip der gestaffelten Sicherheit: Außenperimeter (Zäune, Beleuchtung, Videoüberwachung) – Innenperimeter (Zutrittskontrolle, Schließanlagen) – Kernbereich (Zwei-Faktor-Authentifizierung, dedizierte Zutrittsberechtigungen). Jede Schicht erhöht den Aufwand für einen Angreifer und gibt Betreibern mehr Zeit zur Reaktion.
Für die Dokumentation hat sich die Erstellung eines Sicherheitsregisters bewährt: eine strukturierte Übersicht aller Schutzmaßnahmen mit Datum der letzten Überprüfung, Zuständigkeit und nächstem Prüftermin. Dieses Register bildet die Grundlage für interne Audits und externe Prüfungen durch das BBK. Und es ist in den meisten Fällen deutlich schneller erstellt als befürchtet.
Meine Einschätzung: Physische Sicherheit war das vergessene Kind
Ich begleite seit Jahren Unternehmen bei Gefährdungsbeurteilungen und Sicherheitskonzepten – in der Arbeitssicherheit, im Objektschutz und in der IT-Sicherheit. Und ich sage es direkt: Physische Sicherheit war in der KRITIS-Debatte das vergessene Kind. Während NIS2 und Cybersecurity jahrelang das Rampenlicht hatten, schlummerten Zutrittsprotokolle in Excel-Tabellen und Sicherheitspläne verstaubten in Ordnern.
Das KRITIS-Dachgesetz ist deshalb aus meiner Sicht ein überfälliger Schritt. Nicht weil Regulierung um ihrer selbst willen gut ist – sondern weil es eine Realität abbildet, die wir in der Praxis täglich sehen: Der einfachste Angriff auf eine kritische Anlage ist oft kein Cyberangriff, sondern ein Zaunloch, ein geklauter Schlüssel, ein manipulierter Servicetechniker.
Was mich in meiner Praxis regelmäßig überrascht: Wenn ich Betreiber auf ihre physischen Schutzmaßnahmen anspreche, können die meisten viel vorweisen. Zäune sind da, Kameras laufen, Zutrittssysteme existieren. Das eigentliche Problem ist die fehlende Dokumentation und die mangelnde Integration in ein Gesamtschutzkonzept. Hier liegt die eigentliche Compliance-Lücke – und hier ist der pragmatischste Hebel. Starten Sie nicht mit der Frage „Was müssen wir neu anschaffen?", sondern mit der Frage „Was haben wir bereits, und wie dokumentieren wir es rechtskonform?"
Fazit
Das KRITIS-Dachgesetz ist kein Papiertiger. Es markiert den Beginn einer neuen Ära der integrierten Sicherheit für kritische Infrastrukturen in Deutschland. Physische Sicherheit ist nicht länger eine optionale Ergänzung zur IT-Security, sondern eine eigenständige, gesetzlich geforderte Schutzebene. Betreiber, die NIS2 und das Dachgesetz getrennt behandeln, werden doppelten Aufwand haben. Wer integriert denkt, spart Zeit und kommt gleichzeitig zu einem besseren Sicherheitsniveau. Starten Sie mit der Bestandsaufnahme. In den meisten Betrieben fehlt nicht die Technik – sondern die Dokumentation.
Häufige Fragen
Gilt das KRITIS-Dachgesetz auch für kleinere Kommunalversorger?
Ja – wenn die sektorspezifischen Schwellenwerte der Anlage erreicht werden. Ein Wasserversorger mit mehr als 300.000 versorgten Personen fällt eindeutig darunter. Kleinere Betreiber sollten die Schwellenwerte im Gesetz und den zugehörigen Verordnungen prüfen. Im Zweifel empfehle ich eine Ersteinschätzung durch einen Sachverständigen, weil die Konsequenz einer irrtümlichen Nicht-Registrierung ein eigenständiges Bußgeld ist.
Was passiert, wenn wir die BBK-Registrierung versäumt haben?
Eine Nachmeldung ist möglich und ausdrücklich ratsam. Das BBK bewertet die Nachmeldung positiv, weil sie zeigt, dass das Unternehmen reagiert. Nicht registriert zu sein ist hingegen ein eigenständiger Bußgeldtatbestand – unabhängig davon, ob weitere Verstöße vorliegen. Handeln Sie daher jetzt.
Können wir unsere NIS2-Dokumentation für das Dachgesetz wiederverwenden?
Teilweise ja. NIS2 deckt zehn Risikomanagementbereiche ab, darunter auch physische Sicherheit. Eine bestehende NIS2-Dokumentation kann als Ausgangspunkt dienen. Was in den meisten Fällen noch fehlt: explizite physische Bedrohungsszenarien in der Risikoanalyse, ein Sicherheitsregister für physische Schutzmaßnahmen und ein Resilienzplan, der physischen Schutzausfall adressiert. Eine Gap-Analyse deckt diese Lücken typischerweise innerhalb weniger Tage auf.
Welche physischen Schutzmaßnahmen sind Mindestanforderung?
Das Gesetz nennt keine abschließende Maßnahmenliste, sondern fordert „geeignete Maßnahmen" auf Basis einer Risikoanalyse. Als anerkannte Mindeststandards gelten: Zutrittskontrolle mit Protokollierung, Perimeterschutz (Zäune oder vergleichbare Barrieren), Videoüberwachung sicherheitsrelevanter Bereiche, Einbruchmeldeanlagen und Beleuchtung exponierter Bereiche. Die genauen Anforderungen hängen vom Sektor, der Anlagengröße und dem Bedrohungsprofil ab.
Was kostet die Erstellung eines Resilienzplans realistisch?
Das hängt stark von der Ausgangslage ab. Betreiber mit vorhandener NIS2-Dokumentation können einen rechtskonformen Resilienzplan oft in 15–25 Beratertagen erstellen lassen. Betreiber ohne Vorarbeit sollten mit 30–50 Tagen rechnen. Die größten Kostenblöcke sind die physische Risikoanalyse und das Sicherheitsregister – beide sind jedoch langfristig nutzbar und bilden die Basis für alle künftigen Compliance-Aktivitäten.
Wie oft müssen Risikoanalysen nach dem Dachgesetz aktualisiert werden?
Das Gesetz sieht eine Pflicht zur regelmäßigen Überprüfung vor – mindestens alle vier Jahre oder bei wesentlichen Änderungen des Betriebs, der Infrastruktur oder der Bedrohungslage. Praktisch empfehle ich einen jährlichen Review-Termin, um die Aktualität sicherzustellen und den Prüfnachweis kontinuierlich zu führen.
Sind Sie KRITIS-Betreiber und unsicher, wo Sie stehen?
Dieser Artikel wurde durch den Einsatz von KI-gestützten Tools optimiert, um Ihnen die bestmögliche Qualität zu bieten. Alle Inhalte werden sorgfältig geprüft und finalisiert. Mehr über meinen verantwortungsvollen Umgang mit KI und Datenschutz erfahren Sie auf meiner Seite zur Arbeitsweise.
