Euro Security logo white
Kritis-Dachgesetz beschlossen: Neue Sicherheitsanforderungen für Deutschlands kritische Infrastruktur

Januar 29, 2026

Kritische Infrastrukturen

Angesichts zunehmender hybrider Bedrohungen, geopolitischer Spannungen und wachsender Abhängigkeiten von funktionierender Infrastruktur hat der Bundestag das Kritis-Dachgesetz verabschiedet. Mit dem Gesetz zur Stärkung der Resilienz kritischer Anlagen setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) um und schafft erstmals einen umfassenden Sicherheitsrahmen für den Schutz zentraler Versorgungsfunktionen.

Ziel ist es, kritische Dienstleistungen auch bei Cyberangriffen, Sabotageakten, Naturereignissen oder technischen Störungen aufrechtzuerhalten und die Auswirkungen von Sicherheitsvorfällen für Bevölkerung, Wirtschaft und Staat zu begrenzen.

Sicherheit im Fokus: Von der Prävention bis zur Krisenreaktion

Das Kritis-Dachgesetz verlagert den Schwerpunkt von reiner Vorsorge hin zu einem ganzheitlichen Sicherheitsansatz. Betreiber kritischer Anlagen werden verpflichtet, ihre Einrichtungen systematisch auf physische, organisatorische und digitale Risiken zu überprüfen und entsprechende Schutzmaßnahmen umzusetzen.

Konkret sieht das Gesetz unter anderem vor:

  • eine verbindliche Identifizierung und Registrierung sicherheitsrelevanter Anlagen,
  • die Umsetzung strukturierter Resilienzmaßnahmen zur Vermeidung und Begrenzung von Schadensereignissen,
  • Meldepflichten für sicherheitsrelevante Vorfälle, um Lagebilder schneller zu konsolidieren,
  • sowie regelmäßige Risikoanalysen für kritische Dienstleistungen.

Damit rückt die Fähigkeit zur frühzeitigen Erkennung, Eindämmung und Wiederherstellung in den Mittelpunkt der gesetzlichen Anforderungen.

Schwellenwerte und Schutzlücken aus sicherheitlicher Sicht

Ein zentraler sicherheitspolitischer Streitpunkt bleibt der Regelschwellenwert von 500.000 versorgten Personen. Anlagen unterhalb dieser Grenze unterliegen grundsätzlich nicht den neuen Pflichten – obwohl auch kleinere Versorger in regionalen Kontexten systemrelevant sein können.

Sicherheitsfachleute warnen, dass diese Regelung potenzielle Schutzlücken erzeugen könnte, insbesondere in ländlichen Räumen oder bei hochvernetzten Lieferketten. Zwar eröffnen die Regelungen den Ländern Handlungsspielräume, doch bleibt offen, wie konsequent diese genutzt werden.

Kritische Rolle der öffentlichen Verwaltung

Aus sicherheitlicher Perspektive stößt vor allem die begrenzte Einbeziehung staatlicher Stellen auf Kritik. Während private Betreiber verbindlichen Resilienzanforderungen unterliegen, sind große Teile der Bundesverwaltung ausgenommen, Landesverwaltungen werden gar nicht adressiert.

Angesichts zunehmender Angriffe auf staatliche IT-Systeme und Verwaltungsprozesse sehen Experten hierin ein erhebliches Risiko: Sicherheitsniveaus entlang kritischer Wertschöpfungsketten könnten auseinanderdriften, was Angreifern neue Ansatzpunkte eröffnet.

Stimmen aus Wirtschaft und Sicherheitsforschung

Der Digitalverband Bitkom begrüßte das Gesetz grundsätzlich als notwendigen Schritt zur Verbesserung des nationalen Schutzniveaus. Gleichzeitig forderte Präsident Dr. Ralf Wintergerst, die Umsetzung dürfe nicht allein den Betreibern überlassen werden. Sicherheitsmaßnahmen dieser Tragweite erforderten gezielte staatliche Unterstützung, etwa durch Förderprogramme und klare Leitlinien.

Auch aus der Sicherheitsforschung kommt Zustimmung mit Vorbehalten. Prof. Dr. Dennis-Kenji Kipker vom Cyber Intelligence Institute spricht von einem überfälligen Einstieg in eine strukturierte Resilienzpolitik. Entscheidend sei jedoch, ob das Gesetz der zunehmenden Professionalisierung hybrider Angriffe standhalte. Einheitliche Standards und eine enge Verzahnung von staatlichen und privaten Akteuren seien hierfür unerlässlich.

Umsetzung als sicherheitsrelevante Bewährungsprobe

Aus Sicht der Sicherheitsarchitektur markiert das Kritis-Dachgesetz einen Paradigmenwechsel: Weg von punktuellen Schutzmaßnahmen, hin zu systemischer Resilienz. Ob dieser Ansatz greift, wird sich jedoch erst in der praktischen Umsetzung zeigen.

Besonders relevant sind dabei:

  • die Qualität der Risikoanalysen,
  • die Wirksamkeit von Melde- und Reaktionsmechanismen,
  • sowie die Fähigkeit, Sicherheitsmaßnahmen kontinuierlich an neue Bedrohungslagen anzupassen.

Fazit: Mehr Sicherheit – aber kein geschlossenes Schutzsystem

Mit dem Kritis-Dachgesetz schafft Deutschland eine dringend benötigte Grundlage für den Schutz kritischer Infrastruktur in einem zunehmend unsicheren Umfeld. Das Gesetz stärkt Prävention, Transparenz und Reaktionsfähigkeit – lässt jedoch aus sicherheitlicher Sicht noch relevante Angriffsflächen offen.

Für eine wirklich belastbare Resilienz wird es darauf ankommen, Schwellenwerte kritisch zu überprüfen, staatliche Strukturen konsequent einzubinden und hybride Risiken ganzheitlich zu adressieren. Das Kritis-Dachgesetz ist damit weniger ein Endpunkt als ein Sicherheitsfundament, auf dem weiter aufgebaut werden muss.

Related Articles

Karneval im Gigabyte-Rausch

Feb. 17, 2026

Rekord-Datenverbrauch im Mobilfunk – 5G und KI sichern Netzstabilität Ob Straßenkarneval, Festzelt oder Altstadtkneipe – der Karneval 2026 war nicht nur analog ausgelassen, sondern auch digital intensiver denn je. Im Mobilfunknetz der Deutsche Telekom wurden zwischen...

Brandenburg startet KI-Pilot für digitale Ausländeranträge

Feb. 15, 2026

Das Ministerium des Innern und für Kommunales Brandenburg erweitert sein bundesweit genutztes Online-System „Aufenthalt Digital“ um eine neue Komponente auf Basis Künstlicher Intelligenz. Ziel des Pilotprojekts ist es, die Qualität digital eingereichter Anträge zu...

Share This