KRITIS-Dachgesetz: Kritische Infrastruktur schützen & Compliance meistern

Leitfaden & Checkliste für die rechtssichere Umsetzung

Deutschland steht vor einer der größten Reformen im Bereich der kritischen Infrastrukturen seit Jahren.

Ausfälle kritischer Infrastrukturen können dramatische Folgen für Wirtschaft und Gesellschaft haben. Das neue KRITIS-Dachgesetz soll solche Szenarien verhindern. Es legt erstmals bundeseinheitlich fest, wie kritische Infrastrukturen widerstandsfähiger und besser geschützt werden sollen. Zusammen mit anderen Sicherheitsgesetzen entsteht ein neues Level der Vorsorge. 

Doch mit den aktualisierten Rechtsverordnungen kommen auf Betreiber kritischer Anlagen weitreichende Pflichten zu. Anstatt sie als bürokratische Hürde zu betrachten, bieten die Neuerungen eine Chance, die eigene Resilienz systematisch zu stärken und Wettbewerbsvorteile zu schaffen.

Doch der beste Plan nützt nichts, wenn ihre Mitarbeiter nicht vorbereitet sind. Deshalb unterstützen wir Sie dabei!

Krisenvorsorgekurs buchen und Resilienz stärken

Das Wichtigste in Kürze

• Aktuelle Gesetzeslage: Das KRITIS-Dachgesetz tritt 2025 in Kraft und reguliert erstmalig bundesweit die physische Sicherheit und Resilienz kritischer Infrastrukturen.
• Erweiterte Pflichten: Neben IT-Sicherheit müssen Unternehmen künftig auch physische Schutzmaßnahmen, Resilienzpläne und umfassendes Krisenmanagement implementieren.
• Straffe Zeitpläne des KRITIS-Gesetzesentwurfes 2024: Unternehmen haben seit April 2024 zwei Jahre Zeit, um die gesetzlich vorgeschriebenen Maßnahmen umzusetzen.

Vorsorge- und Sicherstellungsgesetze für Deutschland: Der rechtliche Rahmen

Die KRITIS-Regulierung ist Teil eines umfassenden rechtlichen Gefüges, das Deutschland für Krisen- und Verteidigungsfälle bereithält: die Sicherstellungs- und Vorsorgegesetze. Dieses System bildet das rechtliche Fundament für die Aufrechterhaltung der Versorgung und den Schutz kritischer Funktionen in außergewöhnlichen Situationen. 

Zusätzlich regelt das Zivilschutz- und Katastrophenhilfegesetz (ZSKG) den Schutz der Bevölkerung bei Katastrophen und im Verteidigungsfall.

Die Systematik der Sicherstellungs- und Vorsorgegesetze

Die Sicherstellungs- und Vorsorgegesetze gliedern sich in verschiedene Bereiche:

• Wirtschaftssicherstellungsgesetz (WiSiG): Grundlage für wirtschaftliche Lenkungsmaßnahmen
• Energie-Sicherstellungsgesetz (EnSiG): Sicherung der Energieversorgung
• Verkehrsleistungsgesetz (VerkLG) und Verkehrssicherstellungsgesetz (VerkSiG): Aufrechterhaltung des Transport und Verkehrswesens
• Arbeitssicherstellungsgesetz: Sicherstellung von Arbeitskräften für kritische Bereiche
• Wassersicherstellungsgesetz (WasSiG): Sicherung der Wasserbereitstellung im Verteidigungsfall
• Telekommunikationsgesetz (TKG Teil 10, Abschnitt 2): Bereitstellung der Telekommunikationsdienste
• Bundesleistungsgesetz (BLG), Landbeschaffungsgesetz (LBG) und Schutzbereichgesetz (SchBerG): Gesetze zur Landbeschaffung für Aufgaben der Verteidigung
• Ernährungssicherstellungs- und -vorsorgegesetz (ESVG):  Versorgungsplanung und Bevorratung von Lebensmitteln
• Postsicherstellungsgesetz (PSG): Sicherstellung einer Mindestversorgung der Beförderung von Post
• Erdölbevorratungsgesetz (ErdölBevG): Regelung zur strategischen Bevorratung von Erdöl und Erdölerzeugnissen

Einordnung des KRITIS-Dachgesetzes

Das KRITIS-Gesetz sollte im Oktober 2024 in Kraft treten, es wird jedoch erst 2025 verabschiedet werden. Das Dachgesetz ergänzt diese präventiven Sicherstellungsgesetze um konkrete Betreiberpflichten und schafft die Verbindung zwischen staatlicher Krisenvorsorge und privater Infrastrukturverantwortung. Es konkretisiert, was Betreiber kritischer Infrastrukturen bereits in Friedenszeiten leisten müssen, damit die Sicherstellungsgesetze im Ernstfall greifen können.

Was ist das KRITIS-Gesetz genau?

Das KRITIS-Dachgesetz ist nicht als isolierte Richtlinie zu verstehen, sondern als zentraler Baustein eines komplexen Rechtsgefüges. Das Kritische-Infrastruktur-Gesetz ist die nationale Umsetzung der Richtlinie der Europäischen Kommission CER (Critical Entities Resilience Directive). Sie soll den physischen Schutz kritischer Einrichtungen europaweit harmonisieren. 

Die rechtliche Einordnung erfolgt in einem mehrstufigen System:

Das BSI-Gesetz für kritische Infrastrukturen als Grundlage

Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) bildet das Fundament der KRITIS-Regulierung. Paragraph 8a des BSI-Gesetzes definiert die grundlegenden Pflichten für Betreiber kritischer Infrastrukturen, wobei insbesondere 8a Absatz 2 des BSI-Gesetzes die konkreten Sicherheitsanforderungen und Nachweispflichten regelt. 

Dieser Absatz verpflichtet KRITIS-Betreiber dazu, angemessene organisatorische und technische Vorkehrungen zu treffen. Das Ziel: Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme. Entsprechende Vorkehrungen sind dem BSI gegenüber nachzuweisen.

Die KRITIS-Verordnung BSI-KritisV als Detailregelung

Die vierte Änderung der KRITIS-Verordnung, BSI-KritisV, ist zum 1. Januar 2024 in Kraft getreten und bringt wichtige Neuerungen bei Schwellenwerten. Eine wesentliche Ergänzung des BSI-Gesetzes ist die Aufnahme des Sektors „Siedlungsabfallentsorgung“ in die kritischen Infrastrukturen.

Integration in das Sicherstellungsrecht

Das KRITIS-Dachgesetz erschafft einen sektorübergreifenden Rahmen für  bestehende Sicherstellungsgesetze wie das Wirtschaftssicherstellungsgesetz (WiSiG), das Verkehrssicherstellungsgesetz (VerkSiG) und das Arbeitssicherstellungsgesetz. Diese Gesetze regeln die Aufrechterhaltung der Versorgung in Krisen- und Verteidigungsfällen und basieren auf den verfassungsrechtlichen Grundlagen des Katastrophenschutz-Grundgesetzes.

Ergänzend zu den bundesweiten Regelungen haben die Bundesländer eigene Katastrophenschutzgesetze erlassen. Das Katastrophenschutzgesetz Bayerns beispielsweise regelt die Zuständigkeiten und Verfahren auf Landesebene und muss bei der Umsetzung der KRITIS-Maßnahmen berücksichtigt werden.

Ihr regionaler Partner: Von MKT beraten lassen

Angesichts wachsender Bedenken über die Stabilität der Stromversorgung wird bereits über ein Blackout-Vorsorge-Gesetz diskutiert. Es könnte Unternehmen zu spezifischen Vorsorgemaßnahmen für großflächige und länger andauernde Stromausfälle verpflichten.

Umsetzung der CER- und NIS2-Richtlinien

Das KRITIS-Dachgesetz setzt die EU-Richtlinie zum Schutz kritischer Einrichtungen (CER-Richtlinie) in deutsches Recht um. Es verpflichtet Betreiber kritischer Infrastrukturen zur Erstellung von Resilienzplänen. Ergänzt wird dies durch die NIS2-Richtlinie, die europaweite Anforderungen an die Cybersicherheit kritischer und anderer wichtiger Dienstleister stellt. Ihre Vorgaben werden in Deutschland vor allem durch das IT-Sicherheitsgesetz und das BSI-Gesetz umgesetzt.

Beide EU-Richtlinien, CER und NIS2, greifen ineinander. Sie betreffen häufig dieselben Unternehmen, beispielsweise in den Sektoren Energie, Gesundheit, Wasserversorgung oder Transport. Außerdem erfordern sie ein ganzheitliches Sicherheitsverständnis auf organisatorischer, technischer und rechtlicher Ebene.

Welche Unternehmen müssen sich künftig an KRITIS-Gesetze halten?

Die Anwendbarkeit der KRITIS-Gesetze richtet sich nach verschiedenen Kriterien, die eine präzise Bestimmung betroffener Unternehmen ermöglichen.

Sektorale Zuordnung

Die KRITIS-Regulierung unterscheidet verschiedene Sektoren:

• Wasser/Abwasser: Wasserversorgung, Abwasserbeseitigung, Siedlungsabfallentsorgung (seit 2024)
• Informationstechnik und Telekommunikation: Telekommunikation, Hosting/Rechenzentren und weitere Bereiche der digitalen Infrastruktur
• Ernährung: Lebensmittelversorgung, Lebensmittelproduktion und -handel
• Transport und Verkehr: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr
• Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzmarktinfrastruktur
• Gesundheit: Krankenhausversorgung, Rettungsdienste, Arzneimittelversorgung (im Gesundheitswesen kommt zusätzlich die “Medizinischer Bedarf Versorgungssicherstellungsverordnung” (MedBVSV) zum Tragen)
• Energiesektor: Strom-, Gas-, Kraftstoff- und Fernwärmeversorgung.
• Staat und Verwaltung: Behörden, öffentliche Sicherheit
• Medien und Kultur: Rundfunk, Presse
• Siedlungsabfallentsorgung: Anlagen und Dienste der Abfallbeseitigung

Beim Energiesektor gilt zu beachten, dass er bereits heute dem Energie-Sicherstellungsgesetz (EnSiG) unterliegt, das die Versorgung mit Energie in Krisen- und Verteidigungsfällen regelt. Es schafft die rechtliche Grundlage für staatliche Eingriffe zur Aufrechterhaltung der Energieversorgung und ergänzt die KRITIS-Regulierung um spezifische Notfallmaßnahmen. Energieversorger müssen daher sowohl die präventiven Schutzmaßnahmen der KRITIS-Gesetze als auch die reaktiven Pflichten des EnSiG im Krisenfall beachten. 

Schwellenwert der BSI-KritisV

Ziel der BSI-Kritisverordnung ist, Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen zu identifizieren. Sie sind besonders schützenswert, weil bei deren Ausfall oder Beeinträchtigung erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Ein Schwellenwert definiert, ab wann eine Einrichtung, Anlage oder Teile davon als kritische Infrastruktur im Sinne gesetzlicher Regelungen gelten. Wird dieser Wert erreicht oder überschritten, muss der Betreiber besonderen Pflichten nachkommen. Die aktualisierten Schwellenwerte der vierten Änderungsverordnung wurden angepasst. Ziel war es, besonders relevante Versorger zu erfassen, ohne kleinere Betriebe übermäßig zu belasten.

Unternehmen müssen prüfen, ob sie die sektorspezifischen Schwellenwerte erreichen. Sie können sich auf verschiedene Parameter beziehen: Versorgungsleistung, Kundenzahl, installierte Leistung oder Durchsatzmengen.

Ein praktisches Beispiel: Ein Wasserversorger gilt als kritische Infrastruktur, wenn er mehr als 500.000 Menschen versorgt oder eine Wasserabgabe von mehr als 22 Millionen Kubikmetern pro Jahr aufweist.

Neue Pflichten durch das KRITIS-Dachgesetz

Das KRITIS-Dachgesetz reguliert ab 2025 die Resilienz und physische Sicherheit kritischer Infrastrukturen durch zusätzliche Pflichten:

• Resilienzpläne: Unternehmen müssen systematische Pläne zur Aufrechterhaltung des Betriebs in Krisensituationen entwickeln.
• Schulung der Mitarbeiter: Der Referentenentwurf sieht vor, das Personal für die Maßnahmen durch Informationsmaterialien, Schulungen und Übungen vertraut zu machen. 
• Physische Sicherheitsmaßnahmen: Das Gesetz legt erstmals bundesweit Mindeststandards für den physischen Schutz kritischer Infrastrukturen fest.
• Business Continuity Management: Ein strukturiertes Geschäftskontinuitätsmanagement wird verpflichtend, das über IT-Ausfälle hinausgeht.
• Krisenmanagement: Etablierung von Krisenstäben und Kommunikationsverfahren für verschiedene Bedrohungsszenarien
• Meldefristen: Dazu gehören beispielsweise Störungsmeldungen binnen 24 Stunden.

Wir helfen Ihnen, Ihr Unternehmen und Ihre Mitarbeiter resilient zu machen

Welche Fristen gelten für Registrierung, Resilienzpläne und Meldeverfahren?

Die zeitliche Umsetzung der KRITIS-Anforderungen folgt einem gestaffelten System, das Unternehmen ausreichend Vorbereitungszeit einräumt, aber klare Deadlines setzt.

Fristen des KRITIS-Dachgesetzes

• Resilienzpläne: Nach Inkrafttreten des Gesetzes haben kritische Betreiber etwa 18 bis 24 Monate Zeit zur Erstellung ihrer Resilienzpläne.
• Risikoanalysen: Jährliche Überprüfung und gegebenenfalls Anpassung der Risikoanalysen werden erforderlich.
• Implementierung physischer Schutzmaßnahmen: Schrittweise Umsetzung binnen drei Jahren nach Gesetzeskraft

Aktuelle Fristen der BSI-KritisV

Ab April 2024 haben Unternehmen zwei Jahre Zeit für den Nachweis gesetzlich vorgeschriebener Maßnahmen nach dem Stand der Technik. Dies bedeutet konkret:

• Registrierungspflicht: Unternehmen, die erstmals unter die KRITIS-Definition fallen, müssen sich unverzüglich beim BSI registrieren.
• Nachweis von IT-Sicherheitsmaßnahmen: Bis April 2026 ist der Nachweis angemessener organisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen der IT-Systeme zu erbringen.
• Kontaktstellen-Benennung: Innerhalb von sechs Monaten nach Registrierung ist eine zentrale Kontaktstelle zu deklarieren. 

Meldeverfahren und Strukturen

In Zukunft werden Betreiber-Vorfälle – sei es IT-Sicherheitsvorfälle oder solche mit physischem Bezug – über ein gemeinsames Online-Portal des BBK und des BSI gemeldet. Das vereinfacht die bisherigen Meldewege spürbar.

• Sofortmeldung: Kritische Störungen sind unverzüglich, spätestens binnen 24 Stunden, zu melden.
• Detailbericht: Innerhalb von 72 Stunden ist ein ausführlicher Bericht über Ursachen, Auswirkungen und eingeleitete Maßnahmen zu übermitteln.
• Abschlussbericht: Spätestens vier Wochen nach Behebung der Störung ist ein Abschlussbericht mit neuen Erkenntnissen zu erstellen.

Strafen bei Nichteinhaltung

Das Bußgeldrisiko für KRITIS-Verstöße ist beträchtlich und rechtfertigt erhebliche Investitionen in die KRITIS-Compliance:

• Ordnungswidrigkeiten: Verstöße gegen die Meldepflicht können mit Bußgeldern bis zu 2 Millionen Euro geahndet werden.
• Verwaltungsakte: Bei schwerwiegenden oder wiederholten Verstößen kann die zuständige Behörde weitere Maßnahmen anordnen.
• Reputationsschäden: Neben den direkten finanziellen Folgen sind Reputationsschäden durch öffentliche Sanktionen zu berücksichtigen.
• Haftungsrisiken: Führen unzureichende Schutzmaßnahmen zu Schäden Dritter, können zivilrechtliche Ansprüche entstehen.

Die zuständigen Aufsichtsbehörden sind 

• das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) für den physischen Schutz
• das Bundesamt für Sicherheit in der Informationstechnik (BSI) für den IT-Schutz

Die Koordination erfolgt durch das Bundesministerium des Innern und für Heimat (BMI) als federführendes Ressort für die innere Sicherheit.

Tipps für die Umsetzung: Zusätzliche administrative Belastungen verhindern

Die erfolgreiche Implementierung der KRITIS-Anforderungen bedarf einer strategischen Herangehensweise, die operative Exzellenz mit regulatorischer Compliance verbindet.

Integriertes Managementsystem entwickeln

Anstatt parallele Strukturen für verschiedene Compliance-Bereiche aufzubauen, sollten Unternehmen ein integriertes Managementsystem entwickeln. Dies umfasst:

• Einheitliche Risikoanalyse: Eine Risikoanalyse, die sowohl Cyber- als auch physische Bedrohungen abdeckt und als Grundlage für alle weiteren Maßnahmen dient
• Gemeinsame Governance-Strukturen: Krisenstäbe und Verantwortlichkeiten, die für alle Arten von Störungen funktionieren
• Standardisierte Prozesse: Einheitliche Verfahren für Incident Response, Business Continuity und Krisenmanagement

Automatisierung von Meldeverfahren

Das BSI bietet bereits jetzt über das Melde- und Informationsportal (MIP) vereinfachte Verfahren für die Nachweiseinreichung an. Unternehmen sollten sie nutzen und darüber hinaus folgende Maßnahmen in Betracht ziehen:

• SIEM-Integration: Automatische Erkennung meldepflichtiger Ereignisse durch Security-Information- und Event-Management-Systeme
• Workflow-Management: Standardisierte Prozesse für die interne Bewertung und externe Meldung von Störungen
• Template-Bibliothek: Vorgefertigte Meldungen für typische Störungsszenarien

Synergien mit anderen Compliance-Bereichen

Die KRITIS-Regulierung überschneidet sich mit anderen regulatorischen Anforderungen. Intelligente Unternehmen nutzen diese Synergien:

• ISO 27001: Die IT-Sicherheitsanforderungen des BSI-Gesetzes lassen sich gut mit ISO 27001-Zertifizierungen verbinden.
• BCM-Standards: Business Continuity Management nach ISO 22301 erfüllt bereits viele Anforderungen des KRITIS-Dachgesetzes.
• Branchen-Compliance: Bestehende sektorspezifische Anforderungen (z.B. MaRisk im Finanzsektor) können als Fundament genutzt werden.

Lieferantenmanagement optimieren

Kritische Infrastrukturen sind oft Teil komplexer Wertschöpfungsketten. Ein proaktives Lieferantenmanagement reduziert Risiken und administrative Lasten:

• Vertragsgestaltung: Integration von KRITIS-Anforderungen in Lieferantenverträge
• Due Diligence: Systematische Bewertung der Resilienz wichtiger Zulieferer
• Gemeinsame Übungen: Regelmäßige Krisensimulationen mit kritischen Partnern

Kompetenzaufbau vs. Outsourcing

Unternehmen stehen vor der strategischen Entscheidung, welche KRITIS-Kompetenzen intern aufgebaut und welche extern bezogen werden sollen:

• Core vs. Context: Kernkompetenzen im eigenen Geschäftsbereich sollten intern verbleiben, während sich spezialisierte Compliance-Services für Outsourcing anbieten. 
• Hybride Modelle: Kombination aus interner Koordination und externer Fachexpertise
• Kontinuierliche Weiterbildung: Investitionen in die Qualifikation der eigenen Mitarbeiter zahlen sich langfristig aus.

Professionelle Schulungen und Beratung im Bereich Katastrophenschutz, Krisenvorsorge und Resilienz

Beratungsmodul für Entscheidungsträger dient als Brücke, um den Bedarf auf Führungsebene zu analysieren und anschließend die bestehenden Kurse an die Belegschaft zu verkaufen.

Die MKT-Vorteile für Ihr Unternehmen

• Ganzheitliche Expertise: Theoretische und praktische Expertise aus einer Hand
• Branchenspezifische Lösungen: Maßgeschneiderte Empfehlungen für Ihren Sektor und Ihre spezifischen Herausforderungen
• Bewährte Methodik: Erprobte Vorgehensmodelle für effiziente und rechtssichere Umsetzung
• Langfristige Partnerschaft: Kontinuierliche Begleitung von der ersten Schulung bis zu auffrischenden Trainings
• Kostenoptimierung: Vermeidung von Doppelarbeiten durch intelligente Integration bestehender Systeme
• Praxiserfahrung: Fundierte Expertise aus aus jahrzehntelanger Erfahrung im Bevölkerungsschutz

Der erste Schritt auf Ihrem Weg zur KRITIS-Compliance

Die aktualisierten gesetzlichen Anforderungen mögen zunächst überwältigend erscheinen. Doch sie bieten auch die Chance, die eigene Organisation resilient und zukunftssicher aufzustellen. Warten Sie nicht, bis die Fristen näher rücken, sondern beginnen Sie heute mit der systematischen Vorbereitung!

Der erste Schritt: Resiliente Mitarbeiter

Der Grundstein jeder krisenfesten Organisation sind gut vorbereitete Menschen. Deshalb beginnt KRITIS-Compliance bei Ihren Mitarbeitern: Wir bieten spezialisierte Krisenvorsorgekurse, Erste-Hilfe-Schulungen und Resilienztrainings, die Ihr Team auf verschiedene Notfallszenarien vorbereiten.

Die Komplexität der KRITIS-Gesetzgebung ist mit einer professionellen Begleitung leichter zu durchdringen. Mit der richtigen Strategie und kompetenter Unterstützung werden Sie nicht nur compliant, sondern auch resilient und wettbewerbsfähig.

Laden Sie jetzt unsere kostenlose KRITIS-Compliance-Checkliste herunter und verschaffen Sie sich einen strukturierten Überblick über alle erforderlichen Maßnahmen.

Jetzt Checkliste herunterladen

MKT hilft Ihnen, Ihr Team krisenfest zu machen!