Thought Leadership
Erstmals sollen physische Sicherheit und Resilienz kritischer Infrastrukturen bundesweit einheitlich geregelt werden. Das geplante Gesetz definiert elf Sektoren und setzt EU-Vorgaben um. Kritik bei der Umsetzung gibt es aber vom Branchenverband Bitkom.
Das Bundeskabinett hat einen Gesetzentwurf für ein KRITIS-Dachgesetz verabschiedet. Damit will die Bundesregierung den physischen Schutz kritischer Infrastrukturen erstmals bundeseinheitlich und sektorenübergreifend regeln. Gleichzeitig wird die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) umgesetzt.
Das Gesetz erfasst kritische Infrastrukturen in elf Sektoren, darunter Energie, Ernährung, Wasser, Gesundheit sowie Transport und Verkehr. Innenminister Alexander Dobrindt kündigte an, Deutschland mit “einheitlichen Mindeststandards, Risikoanalysen und einem Störungsmonitoring” widerstandsfähiger zu machen.
Schwellenwerte definieren kritische Anlagen
Welche Anlagen unter das Gesetz fallen, bestimmen quantitative und qualitative Kriterien. Eine Einrichtung gilt als kritisch, wenn sie essenziell für die Gesamtversorgung ist und mehr als 500.000 Personen versorgt. Das Gesetz berücksichtigt auch Abhängigkeiten zwischen den Sektoren: Der Energiesektor ist für alle anderen Bereiche unverzichtbar, ebenso Wasser und Transportwege.
Umfassende Risikoanalysen vorgeschrieben
Betreiber müssen künftig alle denkbaren Risiken bewerten – von Naturkatastrophen bis zu Sabotage, Terroranschlägen und menschlichem Versagen. Grundlage sind staatliche und betreiberseitige Risikoanalysen.
Die Unternehmen erstellen Resilienzpläne mit spezifischen Schutzmaßnahmen: Notfallteams, Mitarbeiterschulungen, Objektschutz, Kommunikationssicherung und Notstromversorgung gehören dazu.
Online-Portal für Störungsmeldungen
Vorfälle müssen über ein gemeinsames Portal von BBK und BSI gemeldet werden. Das Störungsmonitoring soll Schwachstellen aufdecken und die Widerstandskraft der Anlagen erhöhen.
Das KRITIS-Dachgesetz ergänzt das bereits beschlossene NIS2-Umsetzungsgesetz, das die Cybersicherheit kritischer Infrastrukturen regelt.
Ergänzung zur Cybersicherheit
Das KRITIS-Dachgesetz ergänzt die bereits bestehenden Regelungen zur Cybersicherheit kritischer Infrastrukturen. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das bereits am 30. Juli 2025 vom Kabinett beschlossen wurde, baut das digitale Schutzsystem weiter aus.
Mit den europaweit einheitlichen Mindeststandards soll nicht nur die deutsche Versorgungssicherheit gestärkt werden, sondern auch die grenzüberschreitende Kooperation beim Schutz kritischer Infrastrukturen in Europa verbessert werden.
Bitkom kritisiert Umsetzung
Der Digitalverband Bitkom begrüßt zwar die grundsätzliche Bedeutung des Gesetzes, übt aber deutliche Kritik an der Umsetzung. “Das KRITIS-Dachgesetz hat herausragende Bedeutung für den Schutz kritischer Infrastrukturen in Deutschland”, erklärte Bitkom-Präsident Dr. Ralf Wintergerst. Die Entscheidung des Bundeskabinetts sei “längst überfällig”, da Deutschland bereits unter Zeitdruck stehe. Die EU-Umsetzungsfrist war bereits am 18. Oktober 2024 verstrichen, weshalb gegen Deutschland ein Vertragsverletzungsverfahren läuft.
Wintergerst bemängelt vor allem handwerkliche Mängel im Gesetzentwurf: “Es gibt viele Überschneidungen mit der NIS2-Richtlinie, die derzeit ebenfalls umgesetzt wird. Dabei werden allerdings Begriffe unterschiedlich verwendet und Anforderungen an die Unternehmen unterschiedlich ausgestaltet.” Dies führe zusammen mit drohenden Doppelregulierungen zu Rechtsunsicherheiten und unnötig hohem bürokratischen Aufwand.
Besonders kritisch sieht der Bitkom-Präsident die Ausnahmen für staatliche Stellen: “Unverständlich ist auch, dass erhebliche Teile der Bundesverwaltung vom Gesetz ausgenommen werden und Landesverwaltungen überhaupt nicht berücksichtigt werden.” Staatliche Behörden und Verwaltungs-Infrastruktur blieben damit weiterhin physischen und hybriden Risiken ausgesetzt. “Bequemlichkeit und Kosten dürfen nicht dazu führen, dass wir auf ein höheres Sicherheitsniveau im Kernbereich des Staats verzichten.”
