Das Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS-Dachgesetz ) ist am 17.3.2026 in Kraft getreten. Das Gesetz hat zum Ziel, den phyischen Schutz kritischer Infrastrukturen (KRITIS) deutlich zu verbessern. Das bedeutet, die Widerstandsfähigkeit zentraler Versorgungsbereiche gegenüber Krisen, Störungen und Angriffen zu erhöhen.
Im Fokus stehen Sektoren wie Energie, Wasser, Gesundheit, Transport, Informationstechnik und Telekommunikation. Betreiber solcher kritischen Anlagen werden verpflichtet, umfassende Maßnahmen zur Risikovorsorge und zum Schutz ihrer Systeme zu treffen.
In diesen Beitrag werden die wichtigsten Punkte für Netzbetreiber und Anlagenbetreiber in der elektrischen Energieversorgung kann mit den folgenden Punkten zusammengefasst.
Wer fällt darunter?
- Das Bundesministerium des Innern kann nach §5 via Rechtsverordnungen die Kategorien von Anlagen und entscheidende Schwellwerte bestimmen, welche kritischen Anlagen registrierpflichtig werden. Der angesetzte Schwellwert liegt bei 500.000 Einwohner, die von den Anlagen betroffen wären. Als weitere Grundlage kann man die Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz verwenden. Dort sind Schwellwerte für die durch Letztverbraucher und Weiterverteiler entnommene Jahresarbeit in GWh, Grundlage sind aber auch da die 500.000 Einwohner. Zudem werden Erzeugungsanlagen mit 104 MW Nettonennleistung als KRITIS-Anlagen bewertet.
- Bei Feststellung der Einordnung als KRITIS Anlage teilt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) dem Betreiber der kritischen Anlagen mit, ob er den Verpflichtungen dieses Gesetzes unterliegt. Nach der Feststellung des BBK hat der Betreiber 3 Monate Zeit, sich und seine Anlagen zu registrieren (siehe §8).
Was muss getan werden?
Nach §12 Absatz 1 wird der Betreiber kritischer Anlagen dazu verpflichtet, auf Grundlage der nationalen Risikoanalysen und Risikobewertungen und anderer vertrauenswürdiger Informationsquellen im Bedarfsfall, mindestens jedoch alle vier Jahre, eine Risikoanalyse und Risikobewertung durchzuführen. Die erste Analyse muss neun Monate nach der Registrierung erfolgen.
Dabei müssen alle naturbedingte, technische oder menschlich verursachte Risiken, die geeignet sein können, die Verfügbarkeit der kritischen Dienstleistungen entscheidend zu beeinträchtigen, mit einbezogen werden (siehe auch §11 Absatz 2 Nummer 1). Darunter
- soweit bekannt, sektorenübergreifende und grenzüberschreitende Risiken,
- Extremereignisse durch Unfälle, Naturgefahren und gesundheitliche Notlagen sowie
- hybride Bedrohungen, sicherheitsgefährdende oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten gemäß der Richtlinie
Außerdem wird der Betreiber kritischer Anlagen nach §13 Absatz 1 dazu verpflichtet (ab zehn Monate nach der Registrierung), nach Maßgabe der Absätze 2 und 3 Maßnahmen zur Gewährleistung seiner Resilienz zu treffen, um
- das Auftreten von Vorfällen zu verhindern,
- einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten,
- auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und
- nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten.
Weiter wird in §13 Absatz 2 ausgeführt, dass zur Erreichung der Ziele auf Grundlage der nationalen Risikoanalysen und Risikobewertungen sowie der Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zu treffen sind. Der Stand der Technik soll eingehalten werden, teilweise muss dieser noch festgelegt werden (siehe §14).
Es wird dazu folgendes angemerkt: „Insgesamt ist ein Verhältnismäßigkeitsmaßstab anzuwenden. Dabei ist eine Zweck-Mittel-Relation vorzunehmen, bei der insbesondere der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls gegen das Risiko eines Vorfalls abzuwägen ist. Wirtschaftliche Aspekte, darunter die Leistungsfähigkeit des Betreibers, sind zu berücksichtigen.“
In §13 Absatz 3 werden mögliche Maßnahmen zur Erreichung der Ziele nach Absatz genannt
- Maßnahmen zur Notfallvorsorge
- Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente
- Instrumente und Verfahren für die Überwachung der Umgebung
- der Einsatz von Detektionsgeräten
- Zugangskontrollen
- Risiko- und Krisenmanagementverfahren und -protokolle
- vorgegebene Abläufe im Alarmfall
- Maßnahmen zur Aufrechterhaltung des Betriebs, darunter die Notstromversorgung
- Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen
- Einführung eines angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden, einschließlich des Personals externer Dienstleister
- Unterweisung von Personal für die genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen.
Schlussendlich muss der Betreiber kritischer Anlagen nach §13 Absatz 4 die Maßnahmen nach Absatz 1 in einem Resilienzplan dokumentieren und diesen auch anwenden. Es wird ausgeführt: „Aus dem Resilienzplan müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen. Auf die Risikoanalyse und Risikobewertung des Betreibers ist Bezug zu nehmen. Der Resilienzplan ist bei Bedarf sowie nach Durchführung einer Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen zu aktualisieren.“
Es ist geplant, dass das BKK Vorlagen und Muster für die Erstellung der Resilienzplänen auf deren Internetseite bereitstellt.
Letztendlich ist noch wichtig zu wissen, dass die Betreiber nach §18 verpflichtet sind, dem BBK unverzüglich, spätestens 24 Stunden nach Kenntnis von relevanten Vorfälle diese zu melden. Spätestens einen Monat nach Kenntnis des Vorfalls ist ein ausführlicher Bericht zu übermitteln.
Am Ende soll das BBK aber auch nach §19 den Betreibern kritischer Anlagen Vorlagen, Muster und Leitlinien zur Umsetzung der Verpflichtungen zur Verfügung stellen. Zu diesem Zweck können Beratungen, Schulungen und Übungen angeboten wrden.