Quelle: Deutscher Bundestag / Achim Melde
Die Bundesregierung hat am 3. November den Entwurf des sogenannten Kritis-Dachgesetzes vorgelegt.
Die Bundesregierung muss die EU-Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht übertragen. Wie die Bundestagsverwaltung mitteile, hat die Regierung am 3.
November dazu einen ersten Entwurf vorgelegt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert „KRITIS“ folgendermaßen: Kritische Infrastrukturen (Kritis) sind Organisationen und Einrichtungen mit „wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“.
Ziel des Kritis-Entwurfs ist es, den physischen Schutz kritischer Anlagen in Deutschland zu stärken und erstmals einheitliche Mindestvorgaben für deren Sicherheit festzulegen. Das Kritis-Dachgesetz soll die Widerstandsfähigkeit zentraler Infrastrukturen – etwa in Energieversorgung, Verkehr oder Gesundheitswesen – gegenüber Naturgefahren, technischen Ausfällen und menschlich verursachten Störungen erhöhen.
Die CER-Richtlinie der Europäischen Union ist seit Januar 2023 in Kraft. Sie schafft einen europaweiten Rechtsrahmen, um die Resilienz kritischer Einrichtungen in zehn Sektoren zu stärken. Während die NIS-2-Richtlinie auf IT-Sicherheit zielt, geht es beim Kritis-Dachgesetz um den physischen Schutz – also den Schutz vor externen Einflüssen jenseits der Cybersicherheit. Damit wird erstmals ein übergreifender „All-Gefahren-Ansatz“ eingeführt.
Risikoanalysen und ResilienzpläneBetreiber kritischer Infrastrukturen sollen künftig verpflichtet werden, geeignete und verhältnismäßige Maßnahmen zur Sicherung ihrer Anlagen zu ergreifen. Dazu gehören Risikoanalysen, Resilienzpläne und die Benennung von Ansprechpartnern. Erhebliche Störungen müssen an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeldet werden.
Das Bundesinnenministerium soll per Rechtsverordnung Mindestanforderungen an den physischen Schutz festlegen können. Darüber hinaus dürfen Branchenverbände eigene Resilienzstandards entwickeln, die vom BBK anerkannt werden können. Damit soll den Besonderheiten einzelner Sektoren Rechnung getragen werden.
Das Gesetz sieht eine enge Verzahnung mit bestehenden Regelungen zur IT-Sicherheit vor, vor allem mit dem BSI-Gesetz und jenem zur Umsetzung der NIS-2-Richtlinie. Beide Bereiche sollen möglichst kohärent gestaltet werden. Eine Evaluierung der Schnittstellen ist vorgesehen, um den Aufbau eines abgestimmten Systems zu erleichtern.
Für Bund, Länder und Kommunen wird laut Gesetzesentwurf mit zusätzlichem Aufwand gerechnet, der noch nicht beziffert werden kann. Auch für Unternehmen entsteht Erfüllungsaufwand, dessen Umfang erst mit den konkreten Vorgaben aus den kommenden Rechtsverordnungen feststehen wird. Privatpersonen sind von den Regelungen nicht direkt betroffen.
Der „
Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ kann auf der Internetseite des Bundestags heruntergeladen werden.
Mittwoch, 5.11.2025, 17:53 Uhr
© 2025 Energie & Management GmbH
