Jetzt bewerben
Kontakt

KRITIS-Dachgesetz 2026: Pflichten für Betreiber kritischer Infrastrukturen

Der Bundestag hat am 29. Januar 2026 das KRITIS-Dachgesetz beschlossen. Damit werden erstmals umfassende Anforderungen an die physische Sicherheit kritischer Infrastrukturen gesetzlich verankert. Betreiber von Energieanlagen, Wasserwerken, Krankenhäusern oder Verkehrsknotenpunkten müssen jetzt handeln – die Registrierungsfrist endet am 17. Juli 2026.

Was ist das KRITIS-Dachgesetz und warum gibt es das?

Das KRITIS-Dachgesetz (Gesetz zur Stärkung der Resilienz kritischer Anlagen) setzt die europäische CER-Richtlinie (Critical Entities Resilience) in deutsches Recht um.

Ziel: Kritische Infrastrukturen sollen widerstandsfähiger gegen alle Arten von Bedrohungen werden – von Sabotage über Naturkatastrophen bis zu technischen Ausfällen.

Das Besondere: Anders als bisherige Regelungen (z.B. NIS2 für Cybersicherheit) fokussiert sich das KRITIS-Dachgesetz auf physische Resilienz – also Werkschutz, Objektsicherung, bauliche Maßnahmen und Krisenmanagement.

Der All-Gefahren-Ansatz bedeutet: Betreiber müssen sich nicht nur gegen einzelne Risiken wappnen, sondern ganzheitlich denken – Sabotage, Brand, Hochwasser, Stromausfall, Einbruch.

Die wichtigsten Punkte

  • Das KRITIS-Dachgesetz macht physische Sicherheit zur gesetzlichen Pflicht

  • Wichtige Frist: 17. Juli 2026 für Registrierung beim BBK

  • Danach: 9 Monate Zeit für Risikobewertung, 10 Monate für Umsetzung aller Maßnahmen

  • Betreiber müssen Werkschutz, Perimeterschutz und Resilienzpläne implementieren

  • Bei Nichteinhaltung drohen ab 2027 empfindliche Bußgelder

Das Gesetz gilt für Anlagen, deren Ausfall mindestens 500.000 Menschen betreffen würde.

SektorBeispiele
EnergieKraftwerke, Umspannwerke, Gaspipelines, Stromnetze
WasserWasserwerke, Kläranlagen, Talsperren
GesundheitGroße Krankenhäuser, Blutbanken, Rettungsleitstellen
VerkehrFlughäfen, Bahnhöfe, Häfen, Leitzentralen
TelekommunikationRechenzentren, Mobilfunkknotenpunkte
ErnährungGroßlager, zentrale Verteilzentren

Wichtig: Bundesländer können niedrigere Schwellenwerte festlegen. Das bedeutet: Auch regional wichtige Stadtwerke, kleinere Krankenhäuser oder lokale Verkehrsbetriebe können betroffen sein.

Checkliste: So prüfen Sie Ihre Betroffenheit

  • Würde ein Ausfall unserer Anlage mehr als 500.000 Menschen treffen?
  • Hat unser Bundesland niedrigere Schwellenwerte definiert?
  • Wurden wir vom Bundesamt für Bevölkerungsschutz (BBK) kontaktiert?
  • Betreiben wir Anlagen in einem der genannten Sektoren?

1. Registrierung beim BBK

Alle betroffenen Betreiber müssen ihre kritischen Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren.

Was Sie tun müssen:

  • Online-Registrierung über das BBK-Portal

  • Angabe von Standort, Sektor, Versorgungsbereich

  • Benennung eines Ansprechpartners

Deadline: 17. Juli 2026

2. Risikobewertung erstellen

Basierend auf der Risikobewertung müssen Sie dokumentieren:

  • Welche Schutzmaßnahmen Sie ergreifen

  • Wie Sie im Krisenfall reagieren

  • Wie Sie den Betrieb wiederherstellen

  • Wer wofür verantwortlich ist

Wichtig: Sie müssen nicht nur einen Plan erstellen, sondern alle darin beschriebenen Schutzmaßnahmen innerhalb von 10 Monaten nach Registrierung umsetzen.

Praxis-Tipp: Der Plan muss getestet werden. Führen Sie mindestens jährlich Notfallübungen durch.

Frist: 10 Monate nach Registrierung

3. Resilienzplan entwickeln und umsetzen

Sie müssen alle Bedrohungen für Ihre Anlage systematisch analysieren.

Wichtig: Die Frist beginnt ab Ihrer Registrierung. Wer sich am 17. Juli 2026 registriert, hat bis April 2027 Zeit für die Risikobewertung.

Diese Risiken müssen Sie bewerten:

Vorsätzliche Bedrohungen:

  • Sabotage und Terrorismus

  • Einbruch und Diebstahl

  • Vandalismus

  • Innentäter und Spionage

Nicht-vorsätzliche Bedrohungen:

  • Naturkatastrophen (Hochwasser, Sturm, Erdbeben)

  • Brand und Explosion

  • Stromausfall

  • Technisches Versagen

  • Menschliches Versagen

Frist: 9 Monate nach Registrierung

4. Physische Schutzmaßnahmen umsetzen

Das Gesetz fordert Sicherheit nach „Stand der Technik“. Das bedeutet in der Praxis:

Perimeterschutz

- Robuste Zäune (mind. 2,5 m Höhe)

- Kontrollierte Zugangstore mit Identifikationsprüfung

- Beleuchtung aller Außenbereiche

- Sichtbare Beschilderung

Zutrittskontrollsysteme

- Elektronische Schließsysteme mit Protokollierung

- Chipkarten oder biometrische Verfahren

- Vier-Augen-Prinzip für hochsensible Bereiche

- Besuchermanagement mit Registrierung

Videoüberwachung

- Lückenlose Kameraabdeckung kritischer Bereiche

- Aufzeichnung für mind. 72 Stunden

- Intelligente Alarmierung bei Auffälligkeiten

- DSGVO-konforme Datenspeicherung

Alarmsysteme

- Einbruchmeldeanlage nach VdS-Standard

- Brandmeldeanlage mit automatischer Feuerwehr-Alarmierung

- Überfallmelder für Personal

- 24/7-Aufschaltung auf Leitstelle

Professioneller Werkschutz

Das ist neu: Menschliche Sicherheitspräsenz wird zur gesetzlichen Pflicht.

Mindestanforderungen an Sicherheitspersonal:

  • Sachkundeprüfung nach § 34a GewO

  • Werkschutz-Qualifikation für besonders kritische Anlagen

  • Brandschutzhelfer-Ausbildung

  • Erste-Hilfe-Zertifizierung

  • Schulung zu anlagenspezifischen Risiken

Was Werkschutz konkret leistet:

  • Zugangskontrollen mit Identitätsprüfung

  • Regelmäßige Objektrundgänge

  • Überwachung von Sicherheitssystemen

  • Erste Reaktion bei Alarmen

  • Evakuierung im Krisenfall

  • Lückenlose Dokumentation

5. Lieferketten absichern

Sie müssen sicherstellen, dass kritische Zulieferungen nicht unterbrochen werden:

  • Verträge mit garantierten Lieferzeiten

  • Alternative Lieferanten als Backup

  • Notvorräte kritischer Ersatzteile (z.B. Pumpen, Filter, Steuerungstechnik)

KRITIS-Dachgesetz Compliance Roadmap

Schritt 1: Bestandsaufnahme (Gap-Analyse)

Prüfen Sie ehrlich:

  • Welche Schutzmaßnahmen haben wir bereits?

  • Wo sind die größten Lücken?

  • Welches Budget brauchen wir?

Kostenlos-Tipp: Viele Sicherheitsdienstleister bieten eine kostenlose Erstberatung und Gap-Analyse an.

Schritt 2: Risikobewertung mit Experten durchführen

Beauftragen Sie erfahrene Sicherheitsberater, die Ihre Branche kennen.

Sie bringen:

  • Kenntnis aktueller Bedrohungslagen

  • Bewertungsmethoden (z.B. Risikomatrix)

  • Branchenspezifische Best Practices

Zeitplan: Planen Sie 4-8 Wochen für eine professionelle Risikobewertung ein.

Schritt 3: Quick Wins umsetzen

Einige Maßnahmen lassen sich schnell realisieren:

  • Verbesserung der Außenbeleuchtung (1-2 Wochen)

  • Zusätzliche Kameras installieren (2-4 Wochen)

  • Schulung vorhandenen Personals (sofort)

  • Besuchermanagement-System einführen (1 Monat)

Schritt 4: Langfristige Maßnahmen planen

Andere brauchen mehr Vorlauf:

  • Aufbau 24/7-Werkschutz (2-3 Monate)

  • Elektronische Zutrittskontrolle (3-4 Monate)

  • Bauliche Verstärkungen (6-12 Monate)

Wichtig: Sie haben maximal 10 Monate nach Registrierung Zeit. Starten Sie daher sofort nach der Registrierung.

Schritt 5: Professionellen Werkschutz etablieren

Eigener Werkschutz vs. Sicherheitsdienstleister?

KriteriumEigener WerkschutzExterner Dienstleister
VerfügbarkeitLange RekrutierungszeitSofort einsatzbereit
KostenHohe FixkostenFlexible Anpassung
QualifikationEigenverantwortungZertifiziertes Personal
VertretungMuss selbst organisiert werdenÜbernimmt Dienstleister
ComplianceEigenverantwortungDokumentation inklusive

Empfehlung für KRITIS-Betreiber: Externe Dienstleister wie Pond Security, die über KRITIS-Erfahrung verfügen, bieten in der Regel das bessere Kosten-Nutzen-Verhältnis.

Schritt 6: B3S-Standards nutzen

Pond-Insider-Tipp: Wer anerkannte branchenspezifische Sicherheitsstandards (B3S) umsetzt, erfüllt automatisch die gesetzlichen Anforderungen.

Vorteil: Keine Doppelprüfungen, standardisierte Nachweise, Akzeptanz durch Behörden.

Prüfen Sie, ob für Ihre Branche B3S-Standards existieren (z.B. für Energieversorger, Wasserwerke).

Wie Pond Security Sie bei KRITIS-Compliance unterstützt

Als Sicherheitsdienstleister für kritische Infrastrukturen fokussieren wir uns auf physische Sicherheit:

Kostenlose Erstberatung

- Betroffenheitsprüfung

- Gap-Analyse Ihrer aktuellen Sicherheit

- Individuelle Handlungsempfehlungen

Jetzt beraten lassen!

Risikobewertung & Sicherheitskonzepte

- Professionelle Risikoanalyse nach All-Gefahren-Ansatz

- Entwicklung compliance-konformer Resilienzpläne

- Unterstützung bei Behördenkommunikation

Zertifizierter Werkschutz

- Sachkundeprüfung § 34a GewO

- Werkschutz-Qualifikationen

- Brandschutz & Erste Hilfe

- 24/7-Verfügbarkeit

Maßgeschneiderte Sicherheitslösungen

- Objektschutz und Zugangskontrollen

- Mobile Patrouillen

- Leitstellenanbindung

- Krisenmanagement

Compliance-Dokumentation

- Audit-fähige Berichte

- Schulungsnachweise

- Vorfallsdokumentation

Inhaltsverzeichnis

Social Media Awareness
KRITIS Dachgesetz 2026 Header 3
  • FAQ

Häufige Fragen zum KRITIS - Dachgesetz

NIS2 regelt Cybersicherheit (digitale Bedrohungen), das KRITIS-Dachgesetz physische Sicherheit (Sabotage, Brand, Einbruch). Viele Unternehmen fallen unter beide Gesetze.

Grundsätzlich Sie selbst durch Selbsteinschätzung. Das BBK kann aber auch Betreiber identifizieren und kontaktieren.

Sie verstoßen gegen geltendes Recht und riskieren Bußgelder ab 2027. Registrieren Sie sich daher rechtzeitig.

Nein, ISO 27001 deckt nur IT-Sicherheit ab. Das KRITIS-Dachgesetz fordert physische Sicherheitsmaßnahmen zusätzlich.

Nein, aber Sie brauchen qualifiziertes Sicherheitspersonal. Viele Betreiber setzen auf externe Dienstleister wie Pond Security auf Grund von Kosten und Flexibilität.

Frage stellen
Logo of the Bundeswehr
nato blue compass e1725528855832
Department of the Army 1030x1030 1 e1725528878430
Department of the Air Force e1725528885266
Global Switch Logo
Alle Referenzen

Ihr vertrauenswürdiger Sicherheitspartner.

Führende Unternehmen und Institutionen vertrauen auf Pond Security. Unsere Sicherheitslösungen schützen Bundesweit namhafte Organisationen in Industrie, Handel und dem öffentlichen Sektor.

Ihr vertrauenswürdiger Sicherheitspartner.

Führende Unternehmen und Institutionen vertrauen auf Pond Security. Unsere Sicherheitslösungen schützen Bundesweit namhafte Organisationen in Industrie, Handel und dem öffentlichen Sektor.

Bundeswehr Logo
NATO Logo
U.S. Department of the Army Siegel
United States Department of the Air Force Siegel
Global Switch Logo
Alle Referenzen
  • Kontaktieren Sie uns

Gemeinsam stark, gemeinsam sicher.

Wir sind für Sie da! Kontaktieren Sie uns gerne telefonisch, per E-Mail oder ganz bequem über unser Kontaktformular.

Rückinger Strasse 12, 63526 Erlensee

Unsere Zentrale

+ 49 (0) 61 83 / 806 – 0

Rufen Sie uns an

[email protected]

Schreiben Sie uns eine E-Mail

Ihr direkter Kontakt zu uns

Zu unseren Jobs
  • Sicher informiert

Entdecken Sie weitere Updates von Pond Security.

Zwei Personen und eine kleine Person vor einem großen blauen Schild mit Vorhängeschloss, darüber der Text 'ISO 27001:2022', umgeben von Zahnrädern und Verbindungslinien.
Ratgeber

ISO 27001:2022 bei Pond Security

Informationssicherheit ist bei uns kein Projekt, sondern gelebter Alltag. Mit der ISO 27001:2022 Zertifizierung weisen wir nach, dass unser Informationssicherheitsmanagementsystem zuverlässig funktioniert, regelmäßig geprüft wird und sich kontinuierlich verbessert.

Weiterlesen »