Damit wird Resilienz erstmals rechtlich als durchgängiger Prozess entlang des gesamten Krisenzyklus operationalisiert. Der Gesetzgeber etabliert einen konsequent risikobasierten Ansatz, bei dem Risiken als Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß verstanden werden. Der Geltungsbereich umfasst eine breite Palette von Sektoren, darunter Energie, Transport und Verkehr, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation sowie erstmals auch Weltraum und Siedlungsabfallentsorgung. Die Einrichtung muss hierzu essenziell für die Gesamtversorgung in Deutschland sein und mehr als 500.000 Personen versorgen.

Neue Anforderungen an Betreiber kritischer Anlagen

Das KRITIS-Dachgesetz etabliert ein strukturiertes Pflichtensystem, das auf kontinuierlicher Risikoanalyse und darauf aufbauender Maßnahmenplanung basiert. Betreiber kritischer Anlagen sind verpflichtet, regelmäßig – mindestens alle vier Jahre – Risikoanalysen und Risikobewertungen durchzuführen. Diese müssen ausdrücklich auch sektorübergreifende Abhängigkeiten, internationale Verflechtungen sowie hybride Bedrohungen berücksichtigen.

Auf dieser Grundlage sind umfassende Resilienzmaßnahmen umzusetzen. Diese umfassen alle Phasen des Krisenmanagements: Prävention, Schutz, Reaktion und Wiederherstellung der Betriebsfähigkeit. Der Gesetzgeber verlangt dabei eine Orientierung am Stand der Technik sowie eine Abwägung im Sinne der Verhältnismäßigkeit unter Berücksichtigung wirtschaftlicher Leistungsfähigkeit. Eine zentrale Neuerung ist die Verpflichtung zur Erstellung eines Resilienzplans. In diesem müssen sämtliche Maßnahmen dokumentiert, begründet und regelmäßig aktualisiert werden. Ergänzend werden organisatorische Mindestanforderungen definiert, etwa die Einrichtung von Krisenmanagementstrukturen, die Sicherstellung physischer Schutzmaßnahmen, die Vorbereitung von Notfall- und Wiederanlaufkonzepten sowie die Schulung des Personals. Ein weiterer zentraler Baustein ist das Meldewesen: Betreiber müssen erhebliche Vorfälle innerhalb von 24 Stunden melden und innerhalb eines Monats einen detaillierten Bericht nachreichen. Zudem wird eine Registrierungspflicht eingeführt, die spätestens drei Monate nach Einstufung als kritische Anlage zu erfüllen ist.

Governance und neue Rolle des BBK

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wird durch das Gesetz erheblich gestärkt und fungiert als zentrale Anlaufstelle im Sinne der europäischen Vorgaben. Zu seinen Aufgaben zählen insbesondere die Entgegennahme und Auswertung von Vorfallmeldungen, die Erstellung nationaler Lagebilder sowie die Unterstützung der Betreiber durch Leitlinien, Schulungen und Übungen. Die Aufsicht über die Betreiber verbleibt hingegen sektorspezifisch bei verschiedenen Fachbehörden, darunter etwa die Bundesnetzagentur, das Bundesamt für Sicherheit in der Informationstechnik oder die Bundesanstalt für Finanzdienstleistungsaufsicht. Damit entsteht ein arbeitsteiliges System, das physische und digitale Sicherheit sowie sektorale Expertise miteinander verbindet. Das Gesetz etabliert ein komplexes Governance-Modell, das Bund, Länder und europäische Ebene miteinander verzahnt. Auf nationaler Ebene werden Risikoanalysen durch die zuständigen Ministerien durchgeführt und durch das Bundesministerium des Innern koordiniert und zusammengeführt. Diese Analysen müssen insbesondere auch Extremereignisse, hybride Bedrohungen sowie sektorübergreifende Abhängigkeiten berücksichtigen. Die Ergebnisse fließen sowohl in die Betreiberpflichten als auch in Berichtspflichten gegenüber der Europäischen Kommission ein und schaffen damit eine kontinuierliche Rückkopplung zwischen nationaler und europäischer Resilienzpolitik.

Die Einhaltung der gesetzlichen Anforderungen wird durch ein gestuftes Kontrollsystem sichergestellt. Behörden können Nachweise anfordern, Audits durchführen lassen, Vor-Ort-Prüfungen vornehmen und Maßnahmen zur Mängelbeseitigung anordnen.

Bei Verstößen drohen Bußgelder von bis zu einer Million Euro.

Besondere Bedeutung kommt der Geschäftsleitung zu: Sie ist verpflichtet, die Umsetzung der Resilienzmaßnahmen organisatorisch sicherzustellen und kann bei Pflichtverletzungen haftbar gemacht werden.

Praxisbezüge für Bevölkerungsschutz und Gefahrenabwehr

Die praktische Relevanz des Gesetzes zeigt sich insbesondere in seiner Wirkung auf die Zusammenarbeit zwischen Betreibern kritischer Infrastrukturen und den Akteuren des Bevölkerungsschutzes. Ein zentraler Effekt betrifft die Lagebildfähigkeit. Durch die verpflichtenden und standardisierten Vorfallmeldungen entsteht erstmals eine belastbare, bundesweit vergleichbare Datenbasis zu Störungen kritischer Infrastrukturen. Das BBK sammelt diese Informationen und stellt sie als Lagebilder bereit. Für Krisenstäbe bedeutet dies eine erhebliche Verbesserung der Entscheidungsgrundlagen, etwa bei großflächigen Stromausfällen, Naturereignissen oder CBRN-Lagen. Entscheidungen können stärker evidenzbasiert und sektorübergreifend abgestimmt getroffen werden. Zugleich werden CBRN- und Katastrophenszenarien systematisch in die Betreiberverantwortung integriert. Risikoanalysen müssen ausdrücklich auch vorsätzliche Handlungen, technische Störungen und Naturereignisse berücksichtigen. Dies führt dazu, dass Betreiber strukturierte Planungen für komplexe Schadenslagen vorhalten müssen, die auch für Einsatzkräfte nutzbar sind. Die Schnittstellen zwischen Werkfeuerwehren, Katastrophenschutz und Behörden werden dadurch klarer definiert und operativ belastbarer. Schließlich erweitert sich die Rolle des BBK grundlegend. Als zentrale Anlaufstelle und Aggregator von Informationen übernimmt es eine koordinierende Funktion im Gesamtsystem. Dies führt zu einer stärkeren Standardisierung der Zusammenarbeit zwischen Bund, Ländern und Betreibern und verbessert insbesondere in komplexen, sektorübergreifenden Lagen die Koordination und Informationsverfügbarkeit.

In einem Szenario wie einem großflächigen Stromausfall oder einer Kontamination der Trinkwasserversorgung (z.B. im Kontext von CBRN-Lagen) entstehen künftig präzisere Lagebilder. Klassische CBRN-Szenarien werden erstmals systematisch in die Resilienzplanung von Betreibern integriert. Nicht nur die Planung von Schutzmaßnahmen, sondern auch die Auswirkungen eines Störfalls auf umliegende Bevölkerung, andere kritische Infrastrukturen oder auf überregionale Lieferketten muss mitgedacht werden. Für Einsatzkräfte bedeutet dies eine verbesserte Informationslage zur Lageeinschätzung aufgrund der nun verpflichtend vorzuhaltenden Planungen durch die Betreiber.

Fazit

Das KRITIS-Dachgesetz markiert einen grundlegenden Paradigmenwechsel im Schutz kritischer Infrastrukturen in Deutschland. Erstmals wird Resilienz als umfassendes, verbindliches Steuerungskonzept etabliert, das technische, organisatorische und strategische Dimensionen integriert. Für Betreiber bedeutet dies eine erhebliche Ausweitung ihrer Pflichten und eine stärkere Einbindung in staatliche Steuerungs- und Informationsprozesse. Für den Bevölkerungsschutz eröffnet das Gesetz neue Möglichkeiten der Lagebilderstellung, der Koordination und der Zusammenarbeit mit Betreibern kritischer Infrastrukturen. Der entscheidende Fortschritt liegt darin, dass kritische Infrastrukturen nicht mehr ausschließlich als Schutzobjekte betrachtet werden, sondern als aktive Bestandteile eines integrierten Resilienzsystems mit klar definierten Verantwortlichkeiten und Schnittstellen.

Link zur Veröffentlichung im Bundesgesetzblatt:
https://www.recht.bund.de/bgbl/1/2026/66/VO.html

Abonnieren Sie unseren WhatsApp-Kanal, um die Neuigkeiten direkt auf Ihr Handy zu erhalten. Einfach den QR-Code auf Ihrem Smartphone einscannen oder – sollten Sie hier bereits mit Ihrem Mobile lesen – diesem Link folgen: