Euro Security logo white
Kritis-Dachgesetz beschlossen: Neue Sicherheitsanforderungen für Deutschlands kritische Infrastruktur

Januar 29, 2026

Kritische Infrastrukturen

Angesichts zunehmender hybrider Bedrohungen, geopolitischer Spannungen und wachsender Abhängigkeiten von funktionierender Infrastruktur hat der Bundestag das Kritis-Dachgesetz verabschiedet. Mit dem Gesetz zur Stärkung der Resilienz kritischer Anlagen setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) um und schafft erstmals einen umfassenden Sicherheitsrahmen für den Schutz zentraler Versorgungsfunktionen.

Ziel ist es, kritische Dienstleistungen auch bei Cyberangriffen, Sabotageakten, Naturereignissen oder technischen Störungen aufrechtzuerhalten und die Auswirkungen von Sicherheitsvorfällen für Bevölkerung, Wirtschaft und Staat zu begrenzen.

Sicherheit im Fokus: Von der Prävention bis zur Krisenreaktion

Das Kritis-Dachgesetz verlagert den Schwerpunkt von reiner Vorsorge hin zu einem ganzheitlichen Sicherheitsansatz. Betreiber kritischer Anlagen werden verpflichtet, ihre Einrichtungen systematisch auf physische, organisatorische und digitale Risiken zu überprüfen und entsprechende Schutzmaßnahmen umzusetzen.

Konkret sieht das Gesetz unter anderem vor:

  • eine verbindliche Identifizierung und Registrierung sicherheitsrelevanter Anlagen,
  • die Umsetzung strukturierter Resilienzmaßnahmen zur Vermeidung und Begrenzung von Schadensereignissen,
  • Meldepflichten für sicherheitsrelevante Vorfälle, um Lagebilder schneller zu konsolidieren,
  • sowie regelmäßige Risikoanalysen für kritische Dienstleistungen.

Damit rückt die Fähigkeit zur frühzeitigen Erkennung, Eindämmung und Wiederherstellung in den Mittelpunkt der gesetzlichen Anforderungen.

Schwellenwerte und Schutzlücken aus sicherheitlicher Sicht

Ein zentraler sicherheitspolitischer Streitpunkt bleibt der Regelschwellenwert von 500.000 versorgten Personen. Anlagen unterhalb dieser Grenze unterliegen grundsätzlich nicht den neuen Pflichten – obwohl auch kleinere Versorger in regionalen Kontexten systemrelevant sein können.

Sicherheitsfachleute warnen, dass diese Regelung potenzielle Schutzlücken erzeugen könnte, insbesondere in ländlichen Räumen oder bei hochvernetzten Lieferketten. Zwar eröffnen die Regelungen den Ländern Handlungsspielräume, doch bleibt offen, wie konsequent diese genutzt werden.

Kritische Rolle der öffentlichen Verwaltung

Aus sicherheitlicher Perspektive stößt vor allem die begrenzte Einbeziehung staatlicher Stellen auf Kritik. Während private Betreiber verbindlichen Resilienzanforderungen unterliegen, sind große Teile der Bundesverwaltung ausgenommen, Landesverwaltungen werden gar nicht adressiert.

Angesichts zunehmender Angriffe auf staatliche IT-Systeme und Verwaltungsprozesse sehen Experten hierin ein erhebliches Risiko: Sicherheitsniveaus entlang kritischer Wertschöpfungsketten könnten auseinanderdriften, was Angreifern neue Ansatzpunkte eröffnet.

Stimmen aus Wirtschaft und Sicherheitsforschung

Der Digitalverband Bitkom begrüßte das Gesetz grundsätzlich als notwendigen Schritt zur Verbesserung des nationalen Schutzniveaus. Gleichzeitig forderte Präsident Dr. Ralf Wintergerst, die Umsetzung dürfe nicht allein den Betreibern überlassen werden. Sicherheitsmaßnahmen dieser Tragweite erforderten gezielte staatliche Unterstützung, etwa durch Förderprogramme und klare Leitlinien.

Auch aus der Sicherheitsforschung kommt Zustimmung mit Vorbehalten. Prof. Dr. Dennis-Kenji Kipker vom Cyber Intelligence Institute spricht von einem überfälligen Einstieg in eine strukturierte Resilienzpolitik. Entscheidend sei jedoch, ob das Gesetz der zunehmenden Professionalisierung hybrider Angriffe standhalte. Einheitliche Standards und eine enge Verzahnung von staatlichen und privaten Akteuren seien hierfür unerlässlich.

Umsetzung als sicherheitsrelevante Bewährungsprobe

Aus Sicht der Sicherheitsarchitektur markiert das Kritis-Dachgesetz einen Paradigmenwechsel: Weg von punktuellen Schutzmaßnahmen, hin zu systemischer Resilienz. Ob dieser Ansatz greift, wird sich jedoch erst in der praktischen Umsetzung zeigen.

Besonders relevant sind dabei:

  • die Qualität der Risikoanalysen,
  • die Wirksamkeit von Melde- und Reaktionsmechanismen,
  • sowie die Fähigkeit, Sicherheitsmaßnahmen kontinuierlich an neue Bedrohungslagen anzupassen.

Fazit: Mehr Sicherheit – aber kein geschlossenes Schutzsystem

Mit dem Kritis-Dachgesetz schafft Deutschland eine dringend benötigte Grundlage für den Schutz kritischer Infrastruktur in einem zunehmend unsicheren Umfeld. Das Gesetz stärkt Prävention, Transparenz und Reaktionsfähigkeit – lässt jedoch aus sicherheitlicher Sicht noch relevante Angriffsflächen offen.

Für eine wirklich belastbare Resilienz wird es darauf ankommen, Schwellenwerte kritisch zu überprüfen, staatliche Strukturen konsequent einzubinden und hybride Risiken ganzheitlich zu adressieren. Das Kritis-Dachgesetz ist damit weniger ein Endpunkt als ein Sicherheitsfundament, auf dem weiter aufgebaut werden muss.

Related Articles

EuGH schafft klare Regeln für Body-Cams

Jan. 29, 2026

Datenschutz und Sicherheit im öffentlichen Raum neu justiert Mit seinem Urteil vom 18. Dezember 2025 (C-422/24) hat der Europäische Gerichtshof (EuGH) eine zentrale Weichenstellung für den Einsatz von Body-Cams in Europa vorgenommen. Im Mittelpunkt der Entscheidung...

Deutscher Konjunktur fehlt der nötige Schwung

Jan. 29, 2026

DIW, ifo Institut und IAB sehen zwar eine leichte Erholung, jedoch keinen Grund zur Entwarnung Das Konjunkturbarometer des Deutschen Instituts für Wirtschaftsforschung (https://www.diw.de) (DIW) steigt im Januar leicht weiter auf 94,8 Punkte. Zum Vergleich: Im...

Videoüberwachung zwischen Sicherheit, Wahrnehmung und Faktenlage

Jan. 28, 2026

Statement von Sebastian Hornung* In einem aktuellen LinkedIn Post bezieht Sebastian Hornung klar Stellung zur Debatte um Videoüberwachung im öffentlichen Raum. Ausgangspunkt ist eine regelmäßig wiederkehrende öffentliche Reaktion: Sobald bekannt wird, dass Polizei...

Share This