News

Sicherheitsprüfung bis in die Belegschaft: Was das neue KRITIS-Dachgesetz von Betreibern verlangt

Seit März 2026 gilt in Deutschland das KRITIS-Dachgesetz. Es verpflichtet Betreiber kritischer Anlagen zu Resilienzplänen – und erstmals bundeseinheitlich auch zur Zuverlässigkeitsüberprüfung von Personal und Dienstleistern.

Von Anton · · 4 Min. Lesezeit

Stromnetze, Wasserwerke, Krankenhäuser, Rechenzentren, Logistikdrehkreuze: Fällt eine dieser Einrichtungen aus, spürt es eine ganze Region. Genau deshalb hat der Gesetzgeber den physischen Schutz solcher Anlagen neu geordnet. Mit dem KRITIS-Dachgesetz gilt seit März 2026 erstmals ein bundeseinheitlicher Rahmen, der nicht nur Technik und Gebäude in den Blick nimmt, sondern ausdrücklich auch die Menschen, die an kritischen Stellen arbeiten.

Ein Gesetz, das eine EU-Vorgabe umsetzt

Hintergrund des Gesetzes ist die europäische CER-Richtlinie (Critical Entities Resilience), die die Widerstandsfähigkeit kritischer Einrichtungen gegen physische Bedrohungen stärken soll – von Sabotage und Anschlägen über Naturkatastrophen bis hin zu Versorgungsausfällen. Während die bekanntere NIS2-Richtlinie die Cybersicherheit adressiert, kümmert sich die CER-Linie um die analoge Welt: Zäune, Zutritt, Notstrom, Personal. Das KRITIS-Dachgesetz überführt diese Vorgaben in deutsches Recht und schafft damit einen Rahmen, der vorher über viele Einzelregelungen verstreut war.

Betroffen sind nach den vorliegenden Einschätzungen nicht nur einige Hundert, sondern bis zu rund 2.000 Betreiber kritischer Anlagen quer durch Sektoren wie Energie, Wasser, Gesundheit, Transport, Finanzen und digitale Infrastruktur. Für sie hat mit dem Inkrafttreten ein straffer Zeitplan begonnen.

Registrieren, bewerten, planen

Den Auftakt bildet eine Registrierungspflicht: Betreiber müssen sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) melden – nach den kursierenden Fristen bis Mitte Juli 2026. Danach folgt der eigentliche Kern der neuen Pflichten: eine Risikobewertung und ein Resilienzplan, der technische, bauliche und organisatorische Maßnahmen zusammenführt. Dazu zählen Notfallvorsorge, Zutrittskontrollen, physische Sicherung und regelmäßige Schulungen. Für die Ausarbeitung dieser Maßnahmen ist berichtsweise ein Zeitfenster von rund zehn Monaten nach der Registrierung vorgesehen.

Der Resilienzplan ist damit kein einmaliges Dokument für die Schublade, sondern ein fortlaufender Prozess. Er soll sicherstellen, dass eine Einrichtung Störungen nicht nur abwehrt, sondern im Ernstfall handlungsfähig bleibt und schnell wieder in den Regelbetrieb zurückfindet.

Der neue Faktor: die Zuverlässigkeit des Personals

Die vielleicht spürbarste Neuerung betrifft die Beschäftigten. Das Gesetz sieht vor, dass Mitarbeitende in sicherheitsrelevanten Bereichen einer Zuverlässigkeitsüberprüfung unterzogen werden. Und diese Pflicht endet nicht an der eigenen Werkstür: Auch externe Dienstleister und Auftragnehmer, die Zugang zu kritischen Anlagen haben, sollen einbezogen werden. Wer also Wartung, Reinigung, IT-Betrieb oder Sicherheitsdienste auslagert, muss diese Schnittstellen künftig mitdenken.

Das wirft praktische Fragen auf, die viele Unternehmen erst sortieren müssen: Welche Rollen gelten überhaupt als sicherheitsrelevant? Wie lässt sich eine solche Prüfung datenschutzkonform gestalten? Und wie geht man mit Bestandsbeschäftigten um? Anbieter entsprechender Prüf- und Dokumentationslösungen werben bereits um diese neue Nachfrage – die konkrete Ausgestaltung im Einzelfall bleibt aber eine Aufgabe für die Betreiber selbst, idealerweise in Abstimmung mit Datenschutz- und Personalverantwortlichen.

Warum sich die Beschäftigung mit dem Thema lohnt

Dass es der Gesetzgeber ernst meint, zeigen die angedrohten Sanktionen. Im Raum stehen Bußgelder, die nach den vorliegenden Angaben bis in den sechsstelligen Bereich reichen und sich in Kombination mit Verstößen gegen die Cybersicherheitsvorgaben noch deutlich erhöhen können. Jenseits der Strafdrohung steht aber ein nüchterner Befund: Kritische Infrastrukturen sind in einer angespannten Sicherheitslage stärker im Visier als früher. Das KRITIS-Dachgesetz zwingt Betreiber, Resilienz nicht als Kostenposten, sondern als Betriebsvoraussetzung zu begreifen – und macht aus einem bislang eher technischen Thema eine Führungsaufgabe.


Dieser Beitrag ist eine redaktionelle Einordnung eines neuen Regelwerks und ersetzt keine Rechtsberatung. Fristen, Schwellenwerte und Pflichten können je nach Sektor und Einzelfall abweichen; verbindliche Auskünfte erteilen die zuständigen Behörden und fachkundige Beraterinnen und Berater.

Mehr zum Thema

  • Barrierefrei ist Pflicht: Was das BFSG seit 2025 von Websites und Webshops verlangt
  • Nachweis ohne Enddatum: Warum Medizinproduktehersteller heute lebenslang Daten sammeln müssen
  • Vom Papier zum Datensatz: Warum die E-Rechnung den Mittelstand unter Zugzwang setzt
  • Ein Jahr Barrierefreiheitsgesetz: Wie digitale Teilhabe vom Wunsch zur Pflicht wurde
  • DORA in der Praxis: Warum digitale Resilienz für Banken zur Daueraufgabe wird
  • Cybersicherheit per Gesetz: Was die NIS2-Pflichten für den Mittelstand bedeuten