KRITIS-DachG passiert den Bundestag – was jetzt wichtig ist

Mit dem neuen KRITIS-Dachgesetz wird die physische Resilienz kritischer Infrastrukturen zur verbindlichen Betreiberpflicht. Der Beitrag zeigt, wen die Vorgaben betreffen, welche Fristen gelten und warum Unternehmen jetzt ihre Sicherheits- und Krisenmanagementstrukturen neu ausrichten müssen.

Am 29. Januar 2026 hat das KRITIS-Dachgesetz (KRITIS-DachG) den Deutschen Bundestag passiert. Es setzt die EU-CER-Richtlinie (EU 2022/2557) um und ergänzt damit die NIS2-Regelungen (IT-Sicherheit) um Anforderungen an die physische Resilienz kritischer Infrastrukturen – also den Schutz von Anlagen, Personal und Lieferketten über die reine IT-Sicherheit hinaus.

Zentrale Pflichten im Überblick

• Registrierung: Selbstidentifikation und Registrierung innerhalb von 3 Monaten nach Identifikation als Betreiber.
• Risikoanalyse: Erste Risikoanalyse innerhalb von 9 Monaten nach Registrierung, danach mindestens alle 4 Jahre.
• Resilienzmaßnahmen & -plan: Umsetzung geeigneter Maßnahmen und Erstellung eines Resilienzplans (u. a. Notfallvorsorge, physische und personelle Sicherheit, Schulungen) innerhalb von 10 Monaten nach Registrierung
• Meldepflichten: Störungen sind innerhalb von 24 Stunden zu melden, ein detaillierter Bericht folgt innerhalb eines Monats.
• Nachweise & Prüfungen: Dokumentation der Maßnahmen und mögliche Prüfungen durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Wer ist betroffen?

Das KRITIS-DachG richtet sich an Betreiber kritischer Anlagen, die regelmäßig mindestens 500.000 Menschen mit wichtigen Dienstleistungen versorgen. Welche Anlagen genau darunterfallen und welche Schwellenwerte und Stichtage konkret gelten wird noch durch separate Rechtsverordnungen konkretisiert.

Warum das jetzt relevant ist

Das KRITIS-DachG reagiert auf eine verschärfte Bedrohungslage und auf Vorfälle wie die jüngsten Angriffe auf Energieinfrastrukturen im Raum Berlin, die die Verwundbarkeit zentraler Versorgungsbereiche deutlich gemacht haben. Betreiber kritischer Anlagen sollten frühzeitig prüfen, ob sie in den Anwendungsbereich fallen, bestehende Risiko- und Krisenmanagementstrukturen überprüfen und auch die Verzahnung mit den NIS2-Anforderungen strategisch planen.

Mit dem KRITIS-DachG wird damit die physische Resilienz vom „Nice-to-have“ zur klar geregelten Betreiberpflicht. Unternehmen müssen ihre bisherigen Sicherheits- und Krisenkonzepte auf den Prüfstand stellen, Verantwortlichkeiten fest verankern und Abläufe professionalisieren – von der strukturierten Risikoanalyse über standardisierte Meldewege bis hin zu regelmäßigen Übungen. Damit wird der Schutz kritischer Anlagen zu einem dauerhaften Managementprozess, der Fachbereiche wie Sicherheit, IT, Betrieb, Personal und Compliance stärker verzahnt.

Eine kompakte Übersicht der zentralen Pflichten und Fristen finden Sie in unserem digitalen Flyer. Sprechen Sie uns gerne an, wenn Sie prüfen möchten, ob Ihr Unternehmen vom KRITISDachG betroffen ist oder Fragen zur Umsetzung und den Schnittstellen zu bestehenden Sicherheits- und Compliance und ComplianceStrukturen haben. DachG betroffen ist oder Fragen zur Umsetzung und den Schnittstellen zu bestehenden Sicherheits  und Compliance Strukturen haben.

Weitere Informationen zum KRITIS-Dachgesetz finden Sie auf unserer Website.

Ansprechpartner
Dr. Nicolas Sonder

Zu weiteren PwC Blogs