Eine Person, die einen weißen Schutzhelm und eine gelbe Warnweste trägt, steht im Freien in der Nähe eines Zauns, mit Industriegebäuden, die möglicherweise dem Kritis Dachgesetz unterliegen, und einem blauen Himmel mit vereinzelten Wolken im Hintergrund.

Was das KRITIS Dachgesetz für Unternehmen bedeutet

Das KRITIS Dachgesetz ist seit dem 17. März 2026 in Kraft und schafft erstmals bundeseinheitliche sowie sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen in Deutschland. Für betroffene Unternehmen bedeutet das: Der Schutz kritischer Anlagen wird nicht mehr nur unter IT-Sicherheitsaspekten betrachtet, sondern deutlich breiter entlang von Resilienz, physischem Schutz, Risikoanalysen und Meldeprozessen.

Jetzt den kostenlosen KRITIS-Download herunterladen

DOWNLOAD

Was wird im KRITIS Dachgesetz geregelt

Mit dem KRITIS Dachgesetz werden kritische Anlagen und ihre Betreiber in einen klaren rechtlichen Rahmen eingebunden. Im Mittelpunkt stehen dabei vor allem:

  • bundeseinheitliche Mindeststandards für den physischen Schutz
  • ein sektorenübergreifender Resilienzansatz
  • Risikoanalysen und Risikobewertungen
  • konkrete Resilienzmaßnahmen und Resilienzpläne
  • Meldepflichten bei Vorfällen
  • behördliche Nachweise, Audits und Anordnungen

Zusätzlich sieht das Gesetz vor, dass sektorenübergreifende Mindestanforderungen per Rechtsverordnung konkretisiert werden können. Betreiber und Branchenverbände können außerdem branchenspezifische Resilienzstandards entwickeln, die vom BBK als geeignet festgestellt werden können.

Mehr in unserem Video…

Wer ist vom KRITIS Dachgesetz betroffen

Die Identifikation von KRITIS-Anlagen und damit auch die Feststellung der Betroffenheit liegt bei den Unternehmen selbst, sofern sie zu den KRITIS-Sektoren gehören. Die KRITIS-Sektoren umfassen:

Energie

Wasser

Gesundheit

Transport und Verkehr

Digitale Infrastruktur

Sozialversicherung

Weltraum

Staat

Verarbeitendes Gewerbe

Ernährung

Entsorgung

Chemie

Finanzwesen

Digitale Dienste

Forschung

Post und Kurier

Eine Orientierung ist dabei, dass eine Einrichtung für die Gesamtversorgung in Deutschland essenziell sein und mehr als 500.000 Personen versorgen muss. Gleichzeitig wurde im parlamentarischen Verfahren ergänzt, dass die Länder weitere kritische Anlagen für bestimmte kritische Dienstleistungen identifizieren können, wenn diese allein in ihrer Zuständigkeit liegen.

Welche Pflichten das KRITIS Dachgesetz für Unternehmen vorsieht

Das KRITIS Dachgesetz bleibt nicht auf abstrakter Ebene, sondern nennt konkrete Maßnahmenfelder, die Betreiber berücksichtigen sollten. Dazu zählen unter anderem:

  • Notfallvorsorge
  • Objektschutz, etwa durch bauliche und technische Sicherung
  • Überwachung der Umgebung
  • Detektionsgeräte und Zugangskontrollen
  • Risiko- und Krisenmanagementverfahren
  • vorgegebene Abläufe im Alarmfall
  • Maßnahmen zur Aufrechterhaltung des Betriebs, zum Beispiel Notstromversorgung
  • alternative Lieferketten
  • Personalsicherheit
  • Informationsmaterialien, Schulungen und Übungen

Damit wird deutlich: Das KRITIS Dachgesetz verlangt nicht nur Schutzmaßnahmen auf dem Papier, sondern belastbare organisatorische und operative Vorkehrungen für Prävention, Reaktion und Wiederherstellung.

Zwei Personen in Geschäftskleidung sitzen an einem Bürotisch und sehen sich einen Gefahrenabwehrplan auf ihrem Computerbildschirm an. Der eine deutet mit der Hand auf wichtige Punkte in den Tabellen, während er dem anderen wichtige Details erklärt.

Wie das Meldewesen aktuell ausgestaltet ist

Auch das Meldewesen wurde im KRITIS Dachgesetz klar geregelt. Vorfälle müssen unverzüglich, spätestens innerhalb von 24 Stunden gemeldet werden. Bei andauernden Vorfällen ist die Erstmeldung zu aktualisieren, und spätestens einen Monat nach Kenntnis muss ein ausführlicher Bericht übermittelt werden. Die Meldung erfolgt über eine gemeinsame Meldestelle von BBK und BSI, sodass physische und digitale Vorfälle nicht getrennt über unterschiedliche Wege abgewickelt werden müssen.

KRITIS Dachgesetz in 3 Schritten umsetzen

Unternehmen, die potenziell unter das KRITIS Dachgesetz fallen, sollten jetzt nicht mehr auf einen späteren Gesetzgebungsstand warten.

Eine fette rote Zahl 1 ist in einem dicken roten Kreis auf weißem Hintergrund zentriert und erinnert an die Klarheit und Dringlichkeit eines Sicherheitskonzepts Baustelle.

Betroffenheit prüfen

Zunächst sollten Unternehmen klären, ob sie unter das KRITIS Dachgesetz fallen und welche konkreten Anforderungen sich daraus ergeben.

Eine große rote Zahl 2 in der Mitte eines dicken roten Kreises auf weißem Hintergrund wird häufig in einem Sicherheitskonzept Baustelle verwendet, um bestimmte Zonen oder Sicherheitshinweise anzuzeigen.

Schutzmaßnahmen bewerten

Im nächsten Schritt sollten vorhandene technische, organisatorische und physische Schutzmaßnahmen mit den aktuellen gesetzlichen Anforderungen abgeglichen werden.

Eine große rote Zahl 3 steht in der Mitte eines dicken roten Kreises auf weißem Hintergrund und erinnert an die Klarheit und Ordnung einer gut durchdachten Sicherheitsbaustelle.

Umsetzung aufbauen und starten

Anschließend sollten Unternehmen belastbare Strukturen für Risikoanalyse, Resilienzmaßnahmen, Nachweise und Meldeprozesse schaffen und die Umsetzung gezielt starten. Da das Gesetz bereits gilt und weitere Konkretisierungen per Rechtsverordnung folgen können, ist es sinnvoll, diesen Schritt nicht aufzuschieben.

Wie 3-core Unternehmen bei der Umsetzung unterstützt

Mit 3-core setzen Unternehmen auf einen erfahrenen Partner für die strukturierte Umsetzung der Anforderungen aus dem KRITIS Dachgesetz. Wir unterstützen bei der Einordnung der Betroffenheit, bei Risikoanalysen, bei der Entwicklung geeigneter Resilienzmaßnahmen und bei der Erstellung belastbarer Nachweise und Resilienzpläne.

Darüber hinaus unterstützen wir Unternehmen nicht nur mit fachlicher Expertise, sondern auch mit einem passenden Tool, mit dem sich Maßnahmen, Zuständigkeiten, Nachweise und Weiterentwicklungen strukturiert und nachvollziehbar abbilden lassen. So wird die Umsetzung des KRITIS Dachgesetzes nicht nur dokumentiert, sondern auch im Arbeitsalltag effizient steuerbar.

Entdecken Sie mehr: Projekte & Artikel