Eine rote Leuchtreklame mit der Aufschrift SECURITY und einem leuchtenden Pfeil darunter weist nach rechts, was den dringenden Ton des KRITIS-Dachgesetzes 2026 widerspiegelt. Das Schild und der Pfeil spiegeln sich auf einer glänzenden Marmorwand; im Hintergrund steht auf einer weiteren Leuchtreklame BAGGAGE DEPT.

KRITIS-Dachgesetz 2026: Anforderungen, Pflichten und Audit-Readiness

Mit der nationalen Umsetzung der CER-Richtlinie gewinnt der Schutz kritischer Infrastrukturen in Deutschland 2026 deutlich an Bedeutung. Der aktuelle Referentenentwurf zum KRITIS-Dachgesetz zeigt klar: Betreiber kritischer Infrastrukturen müssen sich auf strengere Anforderungen, neue Meldepflichten und belastbare Nachweispflichten einstellen.

KRITIS-Dachgesetz 2026: Neue Anforderungen für Betreiber kritischer Infrastrukturen

Für KRITIS-Unternehmen geht es jetzt nicht mehr nur darum, gesetzliche Vorgaben zu erfüllen. Entscheidend ist, wie schnell und strukturiert die neuen Anforderungen operativ in belastbare Prozesse überführt werden.

Wer früh handelt, erreicht mehr als reine Compliance:

  • höhere organisatorische und technische Resilienz

  • bessere Audit- und Nachweisfähigkeit

  • stabilere kritische Prozesse

  • mehr Vertrauen bei Kunden, Partnern und Behörden

  • einen messbaren Wettbewerbsvorteil durch vorausschauende Vorbereitung

Eine ganzheitliche KRITIS-Strategie sorgt dafür, dass Risiken früh erkannt, Maßnahmen priorisiert und Vorfälle wirksam beherrscht werden.

QUICK CHECK

Mit wenigen Klicks zu unserer Einschätzung für Ihr Unternehmen
JETZT DURCHFÜHREN

Was ändert sich 2026 operativ durch das KRITIS-Dachgesetz?

Mit dem KRITIS-Dachgesetz steigen die Anforderungen an den Schutz kritischer Infrastrukturen deutlich. Besonders relevant sind dabei vier operative Handlungsfelder:

  • Risikoanalyse und Sicherheitskonzept

  • physischer Schutz und Schutzzonenkonzepte

  • Resilienzplanung

  • Melde- und Nachweispflichten gegenüber Behörden

Unternehmen müssen ihre Schutzmaßnahmen künftig nicht nur wirksam umsetzen, sondern diese auch strukturiert dokumentieren und im Prüfungsfall belastbar nachweisen können.

1. Risikoanalyse nach § 12 KRITIS-DachG: Grundlage für wirksamen Schutz

Die Risikoanalyse im Sicherheitskonzept nach § 12 KRITIS-DachG ist der zentrale Ausgangspunkt für den wirksamen Schutz kritischer Infrastrukturen. Sie bildet die Grundlage für eine risikobasierte Sicherheitsstrategie und zeigt auf, wo die größten Gefahren und Abhängigkeiten für Ihr Unternehmen bestehen.

Besonders wichtig ist dabei ein strukturierter All-Gefahren-Ansatz, wie er etwa im BSI-Standard 200-3 verankert ist. Dabei werden nicht nur Cyberrisiken betrachtet, sondern sämtliche relevanten Szenarien systematisch einbezogen.

 

Typische Risikoquellen im KRITIS-Umfeld

Dazu zählen unter anderem:

  • Naturereignisse und Umweltgefahren

  • technische Ausfälle und Infrastrukturschäden

  • organisatorische Fehler und Prozessversagen

  • Personalausfälle

  • Störungen in Lieferketten und Schnittstellen

  • Sabotage, Vandalismus und vorsätzliche Angriffe

  • hybride Bedrohungen und Kaskadeneffekte

Was eine belastbare Risikoanalyse leisten sollte

Eine gute Risikoanalyse schafft:

  • ein realistisches Gefahren- und Risikobild

  • eine Priorisierung der kritischsten Risiken

  • die Grundlage für gezielte Investitionen

  • bessere Entscheidbarkeit für Schutzmaßnahmen

  • eine höhere Nachweisfähigkeit gegenüber Aufsichtsbehörden

So wird aus einer gesetzlichen Pflicht ein strategisches Steuerungsinstrument für Resilienz und Betriebssicherheit.

2. Schutzzonenkonzept: Physischer Schutz kritischer Infrastrukturen

Neben organisatorischen und technischen Maßnahmen spielt der physische Schutz kritischer Infrastrukturen eine zentrale Rolle. Ein Schutzzonenkonzept dient dazu, sensible Bereiche abgestuft zu sichern – vom äußeren Perimeter bis zu den innersten Kernzonen.

Das Prinzip folgt einem Zwiebelschalenmodell: Mehrere aufeinander aufbauende Schutzebenen erschweren das Eindringen, verzögern Angriffe und verbessern die Detektion von Vorfällen.

Typische Bausteine eines Schutzzonenkonzepts

Ein wirksames Schutzzonenkonzept umfasst:

  • Perimeterschutz, z. B. Zäune, Tore, Sperren und Geländesicherung

  • gesicherte Gebäudehüllen, Türen und Fenster

  • Zutrittskontrollsysteme

  • Videoüberwachung und Detektion

  • Alarmierungs- und Interventionsprozesse

  • klare Zuständigkeiten und Eskalationswege

  • organisatorische Regeln für Besucher, Dienstleister und Mitarbeitende

Warum Schutzzonen operativ so wichtig sind

Ein abgestuftes Schutzzonenkonzept ist weit mehr als eine rein bauliche Sicherheitsmaßnahme. Es schafft die operative Grundlage dafür, Risiken frühzeitig zu reduzieren, sensible Bereiche wirksam voneinander zu trennen und unbefugte Zugriffe schneller zu erkennen. Gleichzeitig verbessert es die Reaktionsfähigkeit im Ereignisfall und trägt dazu bei, den sicheren Betrieb kritischer Infrastrukturen langfristig abzusichern. Seine volle Wirkung entfaltet ein solches Konzept allerdings nur dann, wenn bauliche, technische und organisatorische Maßnahmen eng aufeinander abgestimmt sind und in der Praxis nahtlos ineinandergreifen. Nur so entsteht ein belastbares und wirksames Sicherheitsniveau.

3. Fahrplan zu mehr Resilienz - Was beinhaltet der Resilienzplan nach §13 KRITIS DachG

Der Resilienzplan nach § 13 KRITIS-DachG ist der strukturierte Fahrplan, mit dem Betreiber kritischer Infrastrukturen ihre Widerstandsfähigkeit systematisch erhöhen. Ziel ist es, Störungen besser vorzubeugen, Auswirkungen zu begrenzen und den Wiederanlauf kritischer Prozesse zu beschleunigen.

Ein Resilienzplan ist kein isoliertes Dokument, sondern ein operatives Steuerungsinstrument für den laufenden Betrieb.

Was in einen Resilienzplan gehört

Ein praxistauglicher Resilienzplan sollte unter anderem folgende Elemente enthalten:

  • Bestandsaufnahme kritischer Prozesse und Anlagen

  • Risiko- und Abhängigkeitsanalyse

  • Betrachtung von Lieferketten, Schnittstellen und Kaskadeneffekten

  • Definition von Schutzzielen

  • Maßnahmen für Prävention, Detektion, Reaktion und Wiederanlauf

  • Notfallkapazitäten und Redundanzen

  • Krisenorganisation und Entscheidungsstrukturen

  • Kommunikations- und Meldewege

  • Übungs- und Testkonzepte

  • Monitoring, Review und kontinuierliche Verbesserung

Operativer Nutzen eines Resilienzplans

Ein belastbarer Resilienzplan schafft die Voraussetzung dafür, Schwachstellen frühzeitig zu erkennen und gezielt zu adressieren, bevor sie sich zu kritischen Störungen entwickeln. Er hilft dabei, die Auswirkungen von Ausfällen wirksam zu begrenzen, Wiederherstellungszeiten zu verkürzen und Verantwortlichkeiten im Ereignisfall klar zu regeln. Gleichzeitig sorgt er dafür, dass Anforderungen von Behörden strukturiert, nachvollziehbar und prüfbar erfüllt werden können. So wird Resilienz nicht als einmaliges Projekt verstanden, sondern als fester und dauerhaft gelebter Betriebsstandard in der Organisation verankert.

4. KRITIS-Dachgesetz 2026: Meldepflichten und Nachweispflichten - so werden Sie audit-sicher

Ein besonders wichtiger Punkt im KRITIS-Dachgesetz sind die neuen Meldepflichten und Nachweispflichten. Unternehmen müssen künftig nicht nur Vorfälle fristgerecht melden, sondern auch belegen können, dass ihre Resilienzmaßnahmen wirksam umgesetzt sind.

Welche Meldepflichten auf KRITIS-Unternehmen zukommen

Der Entwurf sieht insbesondere Meldungen bei Vorfällen an das BBK vor – über eine gemeinsame digitale Meldestelle von BBK und BSI.

Wesentliche Eckpunkte sind:

  • Erstmeldung unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis

  • Aktualisierungen bei andauernden Ereignissen

  • ausführlicher Bericht spätestens nach einem Monat

Die konkrete Ausgestaltung des Meldeverfahrens und die formalen Anforderungen werden durch die zuständige Aufsichtsbehörde weiter konkretisiert.

Ein hölzerner Schreibtisch mit zwei aufgeschlagenen weißen Aktenordnern, einem leeren Notizbuch mit einem Stift für Risikoanalysen, zwei kleinen Topfpflanzen und einer Tasse vor einem schwarzen Bürostuhl.

Welche Nachweise Unternehmen erbringen müssen

Für die Audit- und Nachweissicherheit ist entscheidend, dass Unternehmen die Umsetzung ihrer Resilienzanforderungen belastbar dokumentieren können.

Behörden können insbesondere folgende Nachweise anfordern:

  • Resilienzplan

  • Sicherheitskonzept

  • Ergebnisse interner oder externer Audits

  • Dokumentationen zu Maßnahmen und Umsetzungsständen

  • Nachweise zu Übungen und Tests

  • Beseitigungspläne bei festgestellten Mängeln

  • Umsetzungsnachweise nach Vor-Ort-Prüfungen

Wir machen Sie startklar. Setzen Sie auf das richtige Beratungsunternehmen mit der 3-core.

3-core unterstützt Sie dabei, die Anforderungen aus dem KRITIS-DachG pragmatisch und audit-sicher in den Betrieb zu überführen – von der Ausgestaltung von Melde- und Alarmierungsprozessen über die Erstellung des Resilienzplans bis hin zur Vorbereitung auf Audits, Zertifizierungen und Vor-Ort-Kontrollen von Aufsichtsbehörden. Zusätzlich stellen wir praxistaugliche Tools bereit, die sich systemoffen in Ihre bestehende Landschaft integrieren lassen – sowohl durch unsere Risikoanalyse Vorlage als auch für einen praxistauglichen Resilienzplan.

Und wir lassen Sie damit nicht allein: Unsere interdisziplinären Fachkräften begleiten die Einführung, passen Vorgehen und Templates an Unternehmen aller KRITIS Sektoren und Branchen an und unterstützen bei der Umsetzung, damit aus Werkzeugenwirksame Prozesse werden. So werden aus gesetzlichen Vorgaben klare Abläufe, belastbare Evidenzen – und echte Resilienz im Alltag.

FAQ zum KRITIS-Dachgesetz 2026

Das KRITIS-Dachgesetz ist die nationale Umsetzung der CER-Richtlinie in Deutschland. Es regelt Anforderungen an die Resilienz und den Schutz kritischer Infrastrukturen.

KRITIS-Unternehmen müssen sich auf strengere Anforderungen bei Risikoanalyse, Resilienzplanung, physischem Schutz sowie Melde- und Nachweispflichten einstellen.

Sie ist Teil des Sicherheitskonzepts und dient dazu, Gefahren, Abhängigkeiten und Schwachstellen systematisch zu identifizieren und geeignete Schutzmaßnahmen abzuleiten.

Ein Resilienzplan umfasst unter anderem Risiko- und Abhängigkeitsanalysen, Schutzziele, Maßnahmen für Prävention und Reaktion, Notfallorganisation, Übungen und Nachweise.

Audit-ready bedeutet, dass ein Unternehmen seine Maßnahmen, Prozesse und Nachweise so aufgebaut hat, dass es Anforderungen von Behörden oder Auditoren belastbar und strukturiert belegen kann.

Entdecken Sie mehr: Projekte & Artikel