Artikel

  • www.fkt.de

KRITIS-Dachgesetz: Zügiges Handeln ist gefordert

Am 10. September 2025 hat das Bundeskabinett den Gesetzentwurf zum KRITIS-Dachgesetz beschlossen. Ziel ist, bundesweit einheitliche Mindestanforderungen für den Schutz kritischer Infrastrukturen festzulegen – sowohl im Bereich der IT-Sicherheit als auch beim physischen Schutz. Betroffen sind elf Sektoren, darunter Energie, Gesundheit, Wasser, Ernährung, Transport und Finanzwesen.

Die vorgesehenen Maßnahmen umfassen:

  • verpflichtende Risikoanalysen für Betreiber und Behörden,
  • ein zentrales Störungsmonitoring mit Meldepflichten,
  • die Erstellung und Umsetzung von Resilienzplänen (z. B. Notfallteams, Objektschutz, Ausfallsicherheit).

Nach Abschluss des parlamentarischen Verfahrens soll das KRITIS-Dachgesetz Ende 2025 oder Anfang 2026 in Kraft treten. Damit würde der gesetzliche Rahmen geschaffen, um einheitliche Sicherheitsstandards für alle betroffenen Sektoren verbindlich festzulegen.

Die Übergangsfristen sind dabei klar geregelt:

  • Ab dem 1. Januar 2026: Beginn der wesentlichen Betreiberpflichten (Registrierung, Risikoanalysen, Resilienzpläne, Meldepflichten).
  • Ab dem 1. Januar 2027: Inkrafttreten der Bußgeld- und Sanktionsregelungen bei Verstößen.

Betreibern bleibt damit nur ein begrenztes Zeitfenster, um interne Prozesse anzupassen, Strukturen aufzubauen und Nachweise für die Einhaltung der neuen Standards vorzubereiten.

Was ist zu tun?

Mit dem KRITIS-Dachgesetz werden Betreiber in die Pflicht genommen, ihre Organisation und Abläufe deutlich zu professionalisieren und auf Resilienz auszurichten. Konkret bedeutet das:

  • Registrierungspflicht: Betreiber müssen sich offiziell erfassen lassen und ihre Strukturen transparent machen.
  • Risikobewertungen: Regelmäßige Analysen möglicher Bedrohungen, inklusive Naturkatastrophen, technischer Störungen und menschlicher Einwirkungen.
  • Resilienzpläne: Erstellung konkreter Maßnahmenkataloge, die auch die Zusammenarbeit mit Behörden, Notfallteams und Dienstleistern einschließen.
  • Physischer Schutz: Betreiber müssen bauliche und organisatorische Maßnahmen umsetzen, z. B. Zutrittskontrollen, Objektschutz, Redundanzen in der Versorgung oder Notstromkonzepte.
  • Meldepflichten: Störungen und Sicherheitsvorfälle sind zeitnah an die zuständigen Stellen zu berichten, damit ein übergreifendes Lagebild entsteht.
  • Organisatorische Verantwortung: Geschäftsleitungen tragen die Verantwortung für die Umsetzung – bei Pflichtverletzungen drohen Sanktionen.

Diese Anforderungen bedeuten, dass Betreiber bereits heute interne Projekte starten sollten, um Strukturen, Abläufe und Sicherheitsmaßnahmen rechtzeitig an die neuen Vorgaben anzupassen. Besonders wichtig ist die Integration von IT-Sicherheit und physischem Schutz zu einem ganzheitlichen Sicherheitskonzept.

Widerstandsfähigkeit erhöhen

Mit dem Kabinettsbeschluss vom 10. September 2025 wurde der Startpunkt für ein neues Regelwerk zum Schutz kritischer Infrastrukturen gesetzt. Betreiber stehen vor der Aufgabe, ihre Systeme und Prozesse bis spätestens 2026 umfassend zu stärken. Das KRITIS-Dachgesetz schafft damit einen verbindlichen Rahmen, der nicht nur gesetzliche Pflichten bringt, sondern auch die Widerstandsfähigkeit gegen Krisen und Angriffe erheblich erhöhen soll.

Gerhard Link, Leiter des FKT-Projektes Sicherheit im Gesundheitswesen