Zum Hauptinhalt springen
Zur Wissensdatenbank

Deutsche Regulierung

KRITIS-Dachgesetz: Physische Resilienz kritischer Anlagen — Pflichten, Fristen und Personalbedarf

Das KRITIS-Dachgesetz (KRITISDachG) ist das erste bundeseinheitliche Gesetz für den physischen Schutz kritischer Infrastrukturen in Deutschland. Es setzt die europäische CER-Richtlinie (Richtlinie (EU) 2022/2557) um und ist damit das physische Pendant zur Cyber-Regulierung durch NIS2 und BSI-Gesetz. Nach einem langen Gesetzgebungsverfahren wurde es am 16. März 2026 im Bundesgesetzblatt verkündet und ist seit dem 17. März 2026 in Kraft. Betreiber kritischer Anlagen müssen sich nun registrieren, Risiken nach einem Allgefahrenansatz analysieren, Resilienzmaßnahmen umsetzen und Vorfälle binnen 24 Stunden melden — eine Aufgabe, die ohne qualifiziertes Resilienz- und Sicherheitspersonal nicht zu leisten ist.

Stand: Juni 2026Zuletzt aktualisiert: 10. Juni 2026

Was ist das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz setzt die CER-Richtlinie (Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen, veröffentlicht im Amtsblatt der EU am 27. Dezember 2022) in deutsches Recht um. Während NIS2 die Cybersicherheit regelt, adressiert die CER-Richtlinie die physische Widerstandsfähigkeit: Schutz vor Naturgefahren, Sabotage, Terrorismus, Innentätern und hybriden Bedrohungen. Beide Richtlinien wurden bewusst als Paket erlassen — Cyber- und physische Resilienz gelten als zwei Seiten derselben Schutzaufgabe.

Kern des Gesetzes ist ein Allgefahrenansatz: Betreiber müssen naturbedingte, technische und vom Menschen verursachte Risiken einschließlich hybrider und feindlicher Bedrohungen systematisch betrachten (§ 11 KRITISDachG). Damit schließt das Gesetz eine lange kritisierte Lücke: Für die IT-Sicherheit kritischer Infrastrukturen gab es seit Jahren Pflichten im BSI-Gesetz, für den physischen Schutz dagegen nur sektorale Einzelregelungen und freiwillige Standards. Das Dachgesetz schafft erstmals sektorübergreifende, verbindliche Mindestvorgaben.

Langer Weg ins Gesetzblatt: das Verfahren bis März 2026

Die Umsetzungsfrist der CER-Richtlinie lief bereits am 17. Oktober 2024 ab — Deutschland hat sie deutlich verfehlt. Ein erster Regierungsentwurf der Ampel-Koalition vom November 2024 verfiel mit dem vorzeitigen Ende der Wahlperiode der Diskontinuität. Die neue Bundesregierung brachte 2025 einen überarbeiteten Entwurf ein (Bundestagsdrucksache 21/2510), den der Bundestag am 6. November 2025 in erster Lesung beriet.

Am 29. Januar 2026 beschloss der Bundestag das Gesetz in der vom Innenausschuss geänderten Fassung mit den Stimmen von CDU/CSU und SPD; der Bundesrat stimmte am 6. März 2026 zu. Verkündet wurde das KRITIS-Dachgesetz vom 11. März 2026 am 16. März 2026 im Bundesgesetzblatt (BGBl. 2026 I Nr. 66); in Kraft ist es seit dem 17. März 2026. Wichtig für die Praxis: Die Rechtsverordnung, die kritische Anlagen über konkrete Schwellenwerte bestimmt, stand zum Redaktionsstand Juni 2026 noch aus — die Identifizierung der Betreiber läuft damit erst an. Dieser Guide ordnet die Rechtslage redaktionell ein und ersetzt keine Rechtsberatung im Einzelfall.

Wer ist betroffen? Sektoren und die 500.000er-Regel

Das Gesetz benennt in § 4 zehn Sektoren kritischer Infrastrukturen: Energie, Transport und Verkehr, Finanzwesen, Sozialversicherung und Grundsicherung, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung. Für Teilbereiche gelten allerdings Ausnahmen von den materiellen Resilienzpflichten, weil speziellere EU-Regelwerke vorgehen — im Finanzwesen etwa DORA.

Welche Anlagen konkret als kritisch gelten, legt eine Rechtsverordnung des Bundesinnenministeriums fest (§ 5 KRITISDachG). Als Regelschwellenwert gilt dabei die aus dem BSI-Recht bekannte Logik: kritisch ist eine Anlage grundsätzlich, wenn sie für die Versorgung von 500.000 oder mehr Einwohnern erheblich ist. Die CER-Richtlinie verpflichtet die Mitgliedstaaten, kritische Einrichtungen bis zum 17. Juli 2026 zu identifizieren. Fachanalysen rechnen mit einer Größenordnung von etwa 1.300 betroffenen Betreibern — deutlich weniger als die rund 30.000 Einrichtungen unter NIS2, dafür mit den jeweils kritischsten Anlagen des Landes.

Kernpflichten: Registrierung, Risikoanalysen, Resilienzmaßnahmen, Meldungen

Betreiber kritischer Anlagen müssen sich registrieren, sobald ihre Anlage die Kriterien erfüllt (§ 8 KRITISDachG), und anschließend regelmäßig Risiken bewerten: Die betreibereigene Risikoanalyse ist erstmals innerhalb von neun Monaten nach der Registrierung und danach mindestens alle vier Jahre durchzuführen (§ 12); sie baut auf staatlichen Risikoanalysen und -bewertungen auf. Auf dieser Grundlage sind geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Resilienzmaßnahmen umzusetzen und in einem Resilienzplan zu dokumentieren (§ 13) — von Zutritts- und Objektschutz über Notfall- und Krisenmanagement bis zur Personalsicherheit.

Vorfälle, die die Erbringung der kritischen Dienstleistung erheblich stören oder stören könnten, sind unverzüglich zu melden — spätestens 24 Stunden nach Kenntnis (§ 18). Die Geschäftsleitung ist ausdrücklich für die Umsetzung der Resilienzpflichten verantwortlich. Die im früheren Entwurfsstadium diskutierten Regelungen zum Einsatz kritischer Komponenten haben es nicht in die verkündete Fassung geschafft. Der Bußgeldrahmen (§ 24) ist mit gestaffelten Sätzen bis zu 1 Mio. Euro spürbar, bleibt aber deutlich unter den umsatzbezogenen NIS2-Sanktionen.

Zuständigkeiten und Verhältnis zu NIS2 und BSI-Gesetz

Zentrale Aufsichtsbehörde für die physische Resilienz ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK); es nimmt insbesondere Registrierungen und Vorfallsmeldungen entgegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bleibt für die Cybersicherheit nach dem BSI-Gesetz zuständig, übernimmt aber Aufgaben im Sektor Informationstechnik und Telekommunikation; daneben wirken sektorale Fachbehörden und für einzelne Bereiche die Länder mit. Für Betreiber ist eine gemeinsame Registrierung über die beim BSI eingerichtete Stelle möglich, damit nicht zwei getrennte Verfahren laufen.

Inhaltlich gilt eine klare Arbeitsteilung: Das KRITIS-Dachgesetz regelt die physische Resilienz, NIS2 beziehungsweise das BSI-Gesetz die Cybersicherheit. Betreiber kritischer Anlagen sind dabei regelmäßig doppelt betroffen — sie gelten nach dem BSI-Gesetz zugleich als besonders wichtige Einrichtungen und müssen beide Pflichtenkataloge parallel erfüllen. Sinnvoll ist deshalb ein integriertes Resilienz-Management, das beide Regime gemeinsam aufsetzt, statt zwei getrennte Compliance-Silos zu bauen.

// recruiting-bezug

Was das KRITIS-Dachgesetz für Hiring und Arbeitsmarkt bedeutet

Mit dem Inkrafttreten im März 2026 entsteht ein Stellenmarkt, den es in dieser Form in Deutschland bisher kaum gab: Resilienz- und Sicherheitsmanager, die Risikoanalysen nach dem Allgefahrenansatz erstellen und Resilienzpläne verantworten; Business-Continuity- und Krisenmanager, die Ausfallszenarien von Hochwasser bis Sabotage durchplanen; Physical-Security-Experten für Objektschutz, Zutrittskontrolle und Detektion; sowie Meldeverantwortliche, die die 24-Stunden-Frist gegenüber dem BBK operativ absichern. Anders als in der IT-Security gibt es für diese Profile kaum etablierte Ausbildungspfade — der Markt speist sich aus Werkschutz, Bevölkerungsschutz, Bundeswehr- und Behördenlaufbahnen sowie dem BCM-Umfeld.

Besonders gefragt sind Schnittstellenprofile, die physische und Cyber-Resilienz zusammen denken: Wer als Betreiber ohnehin NIS2-pflichtig ist, braucht Verantwortliche, die beide Pflichtenkataloge in ein integriertes Managementsystem überführen, statt parallele Strukturen aufzubauen. Da die Identifizierung kritischer Anlagen 2026 anläuft und die ersten Risikoanalysen neun Monate nach der Registrierung fällig werden, sollten Betreiber Schlüsselrollen jetzt besetzen — der Pool erfahrener Resilienz-Fachkräfte ist klein, und die Konkurrenz um sie wächst mit jeder Registrierungswelle.

// faq

Häufige Fragen

Ja. Nach einem langen Verfahren — der erste Regierungsentwurf von 2024 verfiel der Diskontinuität — hat der Bundestag das KRITIS-Dachgesetz am 29. Januar 2026 beschlossen, der Bundesrat stimmte am 6. März 2026 zu. Das Gesetz vom 11. März 2026 wurde am 16. März 2026 im Bundesgesetzblatt verkündet (BGBl. 2026 I Nr. 66) und ist seit dem 17. März 2026 in Kraft. Praktisch wichtig: Die Rechtsverordnung, die über Schwellenwerte konkret bestimmt, welche Anlagen kritisch sind, stand im Juni 2026 noch aus. Betreiber, die nach der 500.000er-Logik absehbar betroffen sind, sollten die Wartezeit nutzen, um Verantwortlichkeiten, Risikoanalyse-Methodik und Meldeprozesse vorzubereiten — die Fristen laufen ab der Registrierung.

Das Gesetz erfasst Betreiber kritischer Anlagen in zehn Sektoren: Energie, Transport und Verkehr, Finanzwesen, Sozialversicherung und Grundsicherung, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung. Kritisch ist eine Anlage grundsätzlich, wenn sie für die Versorgung von 500.000 oder mehr Einwohnern erheblich ist; die genauen Schwellenwerte legt eine Rechtsverordnung fest, die noch aussteht. Fachanalysen erwarten rund 1.300 betroffene Betreiber — also die größten Kraftwerke, Netze, Kliniken, Wasserwerke und Logistikknoten des Landes. Für Teilbereiche wie das Finanzwesen gelten Ausnahmen, weil speziellere EU-Regelwerke wie DORA vorgehen. Wer unsicher ist, sollte die eigene Versorgungsrelevanz früh prüfen und die Rechtsverordnung im Blick behalten.

Der Pflichtenkatalog folgt einer klaren Kette: Betreiber müssen sich registrieren, sobald ihre Anlage die Kriterien erfüllt. Innerhalb von neun Monaten nach der Registrierung ist die erste eigene Risikoanalyse fällig, danach mindestens alle vier Jahre — nach einem Allgefahrenansatz, der Naturgefahren, technisches Versagen, Sabotage und hybride Bedrohungen einschließt. Auf dieser Basis sind verhältnismäßige Resilienzmaßnahmen umzusetzen und in einem Resilienzplan zu dokumentieren, von Objektschutz und Zutrittskontrolle bis zu Notfall- und Krisenmanagement. Vorfälle, die die kritische Dienstleistung erheblich stören oder stören könnten, sind unverzüglich, spätestens 24 Stunden nach Kenntnis, zu melden. Die Geschäftsleitung trägt die Verantwortung für die Umsetzung; Verstöße können mit gestaffelten Bußgeldern bis zu 1 Mio. Euro geahndet werden.

Beide Regelwerke schützen kritische Infrastrukturen, aber aus unterschiedlichen Richtungen: NIS2 — in Deutschland umgesetzt im BSI-Gesetz — adressiert die Cybersicherheit von rund 30.000 Einrichtungen, das KRITIS-Dachgesetz die physische Resilienz einer deutlich kleineren Gruppe von Betreibern kritischer Anlagen. Zuständig sind entsprechend zwei Behörden: das BSI für Cyber, das BBK für die physische Seite, mit der Möglichkeit einer gemeinsamen Registrierung. Betreiber kritischer Anlagen sind in der Regel doppelt betroffen, weil sie nach dem BSI-Gesetz zugleich als besonders wichtige Einrichtungen gelten. In der Praxis bewährt sich daher ein integriertes Resilienz-Management, das Risikoanalysen, Notfallplanung und Meldewege für beide Regime gemeinsam aufsetzt — und Personal, das beide Welten versteht.

Das Gesetz schreibt keine Stellenprofile vor, aber die Pflichten definieren den Bedarf: einen Resilienz- oder Sicherheitsmanager als Gesamtverantwortlichen für Risikoanalysen und Resilienzplan, Business-Continuity- und Krisenmanager für Ausfallszenarien und Übungen, Physical-Security-Experten für Objektschutz und Detektion sowie klar benannte Meldeverantwortliche für die 24-Stunden-Frist gegenüber dem BBK. Wer zugleich NIS2-pflichtig ist, profitiert von Schnittstellenrollen — etwa einem CISO oder GRC-Manager, der physische und Cyber-Resilienz in einem Managementsystem zusammenführt. Erfahrene Resilienz-Fachkräfte sind rar, weil etablierte Ausbildungspfade fehlen. NOBA Experts besetzt Sicherheits-, GRC- und Resilienz-Positionen in Festanstellung und kennt die Verfügbarkeiten und Gehaltsbänder in diesem jungen Marktsegment.

// quellen

Quellen

  1. 01KRITIS-Dachgesetz vom 11. März 2026 (Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen), BGBl. 2026 I Nr. 66 vom 16.3.2026
  2. 02Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen (CER-Richtlinie), ABl. L 333 vom 27.12.2022
  3. 03KRITISDachG im Volltext auf gesetze-im-internet.de (abgerufen Juni 2026)
  4. 04Deutscher Bundestag: Bundestag beschließt Gesetz zur Stärkung kritischer Anlagen, 29.1.2026 (Drucksachen 21/2510, 21/3906)
  5. 05Bundesrat: 1062. Sitzung am 6. März 2026 — Zustimmung zum KRITIS-Dachgesetz
  6. 06OpenKRITIS: KRITIS-Dachgesetz — Analyse zu Sektoren, Pflichten, Fristen und Betroffenenzahlen (abgerufen Juni 2026)

// verwandte rollen

Verwandte Rollenprofile

CISO (Chief Information Security Officer)

Was macht ein CISO? Aufgaben, Gehaltsspannen in Deutschland, geforderte Zertifizierungen wie CISSP/CISM und die wichtigsten Interviewfragen im Überblick.

Zum Rollenprofil

GRC-Manager (Governance, Risk & Compliance)

Was macht ein GRC-Manager? Aufgaben rund um ISO 27001, NIS2 und DORA, Gehaltsspannen in Deutschland, geforderte Skills und typische Interviewfragen.

Zum Rollenprofil

SOC-Analyst (Security Operations Center)

Was macht ein SOC-Analyst? Aufgaben von Alert-Triage bis Threat Hunting, Gehälter nach Level (L1–L3) in Deutschland, Skills und typische Interviewfragen.

Zum Rollenprofil

// verwandte themen

Verwandte Themen

EU-Regulierung

NIS2-Richtlinie: Pflichten, deutsche Umsetzung und Personalbedarf

NIS2 verpflichtet 18 Sektoren zu Risikomanagement, 24h-Meldungen und Governance. Pflichten, Stand der deutschen Umsetzung und Personalbedarf im Überblick.

Zum Themen-Guide

EU-Regulierung

DORA: Digitale operationale Resilienz im Finanzsektor — Pflichten, Aufsicht und Personalbedarf

DORA verpflichtet Finanzunternehmen zu IKT-Risikomanagement, Vorfallsmeldungen und Resilienztests. Pflichten, Aufsichtspraxis und Personalbedarf im Überblick.

Zum Themen-Guide

Die passenden Köpfe für dieses Thema?

NOBA Experts besetzt die Rollen, die KRITIS-Dachgesetz: Physische Resilienz kritischer Anlagen — Pflichten, Fristen und Personalbedarf im Unternehmen tragen — mit KI-gestütztem Matching und persönlicher technischer Vorabprüfung, DACH-weit.

Cybersecurity-Personalberatung von NOBA ExpertsAls Kandidat:in bewerben