NIS-2 trifft KRITIS-Dachgesetz: Was Betreiber kritischer Anlagen jetzt wissen müssen

Die heutige Konstellation ist das Ergebnis einer rund zehnjährigen Regulierungsentwicklung, die fast ausschließlich auf Cyber- und IT-Sicherheit fokussiert war.

• IT-Sicherheitsgesetz 1.0 (2015): Erstmalige Verankerung des KRITIS-Rahmens im BSIG. Hier entstand auch die bis heute prägende Schwellenwertlogik der 500.000 versorgten Personen je Anlage.
• IT-Sicherheitsgesetz 2.0 (2021): Spürbare Erweiterung des BSIG — Einführung der Kategorie "Unternehmen im besonderen öffentlichen Interesse" (UBI), Pflicht zum Einsatz von Systemen zur Angriffserkennung (SzA), Vertrauenswürdigkeitserklärung für kritische Komponenten und deutlich ausgeweitete BSI-Befugnisse.
• NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (06.12.2025): Vollständige Neufassung und heute gültige Version des BSIG zur Umsetzung der NIS-2-Richtlinie. Statt der 1.179 KRITIS-Betreiber werden nun rund 29.500 Adressaten mit den Kategorien "besonders wichtige" und "wichtige Einrichtungen" erfasst.
• KRITIS-Dachgesetz (17.03.2026): Erstes eigenständiges Bundesgesetz speziell für die physische Resilienz kritischer Anlagen — Umsetzung der EU-CER-Richtlinie 2022/2557. Es schließt eine Lücke, die alle bisherigen Gesetze offengelassen hatten: den bundeseinheitlichen Schutz vor nicht-digitalen Bedrohungen.

Mit dieser letzten Stufe ist aus einem im Kern IT-getriebenen Regelwerk ein zweispaltiges System geworden: NIS-2 für die digitale, KRITISDachG für die physische Schutzdimension.

Der Gesetzgeber hat diesen doppelten Anspruch immerhin durch zwei wichtige Synergie-Mechanismen entschärft:

• Anerkennung von IT-Sicherheitsaudits (§ 16 KRITISDachG): Nachweise nach BSIG/NIS-2 werden über das BBK gegenseitig anerkannt. Doppelprüfungen sollen möglichst vermieden werden ("Once-Only-Prinzip" bei der Registrierung).
• Branchenspezifische Standards: Die etablierten branchenspezifischen Sicherheitsstandards (B3S) nach § 30 Abs. 8 BSIG sollen ausdrücklich Grundlage für die zu entwickelnden branchenspezifischen Resilienzstandards (§ 14 Abs. 2 KRITISDachG) sein. Wer hier bereits investiert hat, baut nicht bei Null auf.

Die Synergie endet aber dort, wo KRITISDachG eigenständige Schutzziele verfolgt: Objektschutz, Personalsicherheit, alternative Lieferketten oder Notfallübungen sind klassische Resilienz-Themen, die ein reines ISMS nicht abdeckt — selbst dann nicht, wenn es ISO-27001-zertifiziert ist.

Die BSI-Kritisverordnung (BSI-KritisV) konkretisiert über Sektoren, Anlagenkategorien und den 500.000-Personen-Schwellenwert, welche Anlagen als kritisch gelten. Unter dem alten BSIG war sie das maßgebliche Bestimmungsinstrument für KRITIS-Betreiber. Und daran wird sich auch unter dem neuen KRITIS-Dachgesetz nicht viel ändern. Sie gilt unverändert weiter, bis die neue Rechtsverordnung nach § 4 Abs. 3 und § 5 Abs. 1 KRITISDachG in Kraft tritt — und wird dann automatisch abgelöst.

Diese neue Dach-RVO wird inhaltlich erwartungsgemäß eng an der bisherigen BSI-KritisV bleiben; der 500.000-Schwellenwert ist bereits unverändert in § 5 Abs. 2 S. 2 KRITISDachG übernommen worden.

Politischen Druck zur Verschärfung gibt es allerdings: Der Bundesrat hatte einen Schwellenwert von 150.000 Personen gefordert, eine Protokollerklärung der Bundesregierung kündigt eine Novelle binnen zwei Jahren an, und die Evaluierung nach § 25 KRITISDachG erfolgt erstmals bereits nach zwei Jahren — nicht wie sonst üblich nach fünf.

Daumenregel für die Praxis: Wer heute KRITIS ist, wird es mit hoher Wahrscheinlichkeit bleiben. Was er dann zu tun hat, ist allerdings spürbar mehr.

Mit dem KRITIS-Dachgesetz tritt erstmals eine zweite Bundesoberbehörde gleichberechtigt neben das BSI: das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) wird zentrale Anlaufstelle für die physischen Resilienzthemen des KRITISDachG. Die Aufsicht ist damit klarer geteilt, aber auch komplexer geworden:

• BSI: zuständig für die IT-Sicherheit nach BSIG (NIS-2). Zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen, Adressat aller Cyber-Sicherheitsvorfallsmeldungen.
• BBK: zentrale Anlaufstelle für die physische Resilienz nach KRITISDachG. Betreibt gemeinsam mit dem BSI die Registrierungsplattform, koordiniert Resilienznachweise und ist Adressat physischer Vorfallsmeldungen.
• Sektorbehörden bleiben aktiv: Bundesnetzagentur (Energie, Telekommunikation), BaFin (Finanzwesen) sowie sektorspezifische Bundes- und Landesbehörden behalten ihre Zuständigkeiten. Im Energiesektor etwa konkretisiert ein neuer § 5f EnWG die Resilienzpflichten und überträgt der BNetzA die operative Aufsicht.

Bemerkenswert: Für die abschließende Definition des Anwendungsbereichs der neuen Dach-RVO müssen elf Bundesministerien Einvernehmen erteilen (§ 4 Abs. 4 KRITISDachG). Realistisch werden insbesondere BMWE, BMG und BMV in ihren Sektoren noch nachschärfen wollen — was zur zeitlichen Unwägbarkeit der RVO beiträgt.

Im Kern bleibt das Prüfverfahren auf der NIS-2-Seite den bisherigen KRITIS-Auditverfahren ähnlich: Betreiber kritischer Anlagen müssen alle drei Jahre einen Nachweis über die Erfüllung ihrer IT-Sicherheitspflichten erbringen (§ 39 BSIG). 

Auf der Resilienzseite kommt ein neues Verfahren hinzu. Nach § 16 KRITISDachG sind Resilienznachweise turnusmäßig gegenüber dem BBK zu erbringen; sektorspezifische Spezialregelungen (etwa § 5f EnWG) können die Detailvorgaben präzisieren. Der Gesetzgeber prüft im Rahmen der Evaluierung nach § 25 ausdrücklich, ob hierfür ein eigenes Zertifizierungssystem geschaffen werden soll — derzeit gibt es das noch nicht.

Das wichtigste Datum für die meisten Betreiber ist der 17.07.2026: Ab diesem Tag beginnt das Registrierungsfenster nach KRITIS-Dachgesetz. Die eigentlichen Resilienzpflichten, also Risikoanalyse, physische Schutzmaßnahmen, Resilienzplan, Meldewesen und Geschäftsleitungsverantwortung, werden damit etwa Mitte 2027 vollständig wirksam. Wer das Programm dann noch nicht aufgesetzt hat, wird unter Zeitdruck geraten.