Mit dem „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ (KRITIS‑Dachgesetz) will die Bundesregierung die Resilienz kritischer Anlagen in Deutschland stärken. Das Gesetz setzt die Richtlinie der Europäischen Union zur Stärkung kritischer Einrichtungen um (sog. „CER-Richtlinie“). Bereits die „Ampel‑Regierung“ hatte am 6. November 2024 einen Gesetzentwurf für das KRITIS‑Dachgesetz beschlossen; da jedoch am selben Tag die Regierungskoalition zerbrach, wurde das Gesetzgebungsverfahren nicht weitergeführt.

Definition von kritischen Anlagen 

Im Sinne des Gesetzes sind „kritische Anlagen“ Anlagen, die für die Erbringung einer kritischen Dienstleistung erheblich sind. Eine „kritische Dienstleistung“ ist eine Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Der Richtwert für die Bewertung der Erheblichkeit solcher Anlagen auf Bundesebene ist, dass die Anlage mehr als 500.000 Personen versorgt.

Mindeststandards für Betreiber 

Das KRITIS-Dachgesetz legt Mindestanforderungen für Betreiber kritischer Anlagen fest. In Resilienzplänen sollen Betreiber Maßnahmen benennen, die jegliche Risiken im Sinne eines All-Gefahren-Ansatzes berücksichtigen. Wesentliche Resilienzmaßnahmen können unter anderem die Bildung von Notfallteams, Objektschutz und Maßnahmen zur Ausfallsicherheit und Ersatzversorgung sein. Als Grundlage hierfür dienen Risikoanalysen und Risikobewertungen, die von den zuständigen staatlichen Stellen auf Bundes- und Landesebene und durch die Betreiber zur Verfügung gestellt werden. Branchenverbände können darüber hinaus eigene Resilienzstandards entwickeln, die vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) auf Antrag anerkannt werden können.

DIHK-Forderung nach Lagebildern für Unternehmen 

Das neue Gesetz verpflichtet Betreiber von „kritischen Anlagen“, Sicherheitsvorfälle unverzüglich an eine vom BBK und Bundesamt für Sicherheit in der Informationstechnik (BSI) eingerichtete gemeinsame Stelle zu melden. Die DIHK hat deshalb gefordert, dass die meldenden Unternehmen auch einen konkreten Mehrwert im Sinne eines „Rückkanals“ haben sollten. Nachgefragt werden von den Unternehmen zielgerichtete aktuelle Informationen zur Gefährdungslage und Handreichungen in Form von Lagebildern. Dieses Petitum hat der Bundestag aufgegriffen. So soll das BBK nunmehr auf Grundlage eingegangener Meldungen regelmäßige und anlassbezogene Lagebilder zur Situation der kritischen Anlagen erstellen und diese den Betreibern und weiteren betroffenen Adressaten zur Verfügung stellen.

Zentrale Änderungen im parlamentarischen Verfahren

Der Bundestag hat die Bewertung der Erheblichkeit einer Anlage für die Erbringung einer kritischen Dienstleistung angepasst. Während die Bundesregierung im Regierungsentwurf einen Richtwert von 500.000 von einer Anlage zu versorgende Einwohner festgelegt hat, sollen nun die Länder auch weitere Anlagen als kritische Infrastruktur einstufen können. Die Verfahren hierzu werden in einer Rechtsverordnung des Bundesministeriums des Innern (BMI) geregelt. Diese Maßnahme ist zwar angesichts vorliegender regionaler Unterschiede im Grundsatz nachvollziehbar, sie hat allerdings auch den Nachteil, dass in der Praxis sechzehn unterschiedliche behördliche Regelungen entstehen dürften. Die DIHK hatte sich in ihrer Stellungnahme für eine bundesweit einheitliche Handhabung ausgesprochen. Gut ist daher, dass die Effektivität des Gesetzes im Rahmen der ersten gesetzlich vorgesehenen Evaluierung zwei Jahre nach Inkrafttreten ausführlich geprüft werden soll.

Neu ist außerdem, dass die geplante KRITIS-Resilienzstrategie der Bundesregierung Erwägungen zu Transparenzpflichten für kritische Infrastrukturen beinhalten soll. Damit soll der Gefahr Rechnung getragen werden, dass die Veröffentlichung von sensiblen Informationen Ausspähungsversuche und Sabotageakte zur Folge haben könnte. Als DIHK begrüßen wir diesen Schritt.

Das KRITIS-Dachgesetz ist zustimmungspflichtig und wird voraussichtlich in der nächsten Plenarsitzung des Bundesrats am 6. März 2026 beraten.