Seit dem 16. März 2026 ist das KRITIS-Dachgesetz in Kraft. Zum ersten Mal regelt ein bundeseinheitliches Gesetz den physischen Schutz kritischer Infrastrukturen in Deutschland — nicht nur die IT-Sicherheit, sondern auch Zäune, Zutrittskontrolle, Bewachung und Krisenmanagement.

Für viele Betreiber kommt das Gesetz überraschend schnell. Die erste Frist — Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) — läuft bereits am 17. Juli 2026 ab.

Kurz zusammengefasst: Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Anlagen zu Risikoanalysen, physischen Schutzmaßnahmen und Meldepflichten. Bußgelder bis 10 Millionen Euro bei Verstößen. Registrierungsfrist: 17. Juli 2026. Der physische Schutz rückt neben der IT-Sicherheit erstmals gleichberechtigt in den Fokus.

Was regelt das KRITIS-Dachgesetz?

Das Gesetz setzt die EU-Richtlinie 2022/2557 (CER-Richtlinie) in deutsches Recht um. Der Kern: Betreiber kritischer Anlagen müssen nicht nur ihre IT absichern — das regelt das BSI-Gesetz — sondern auch den physischen Schutz ihrer Anlagen gewährleisten. Der Bundestag beschloss das Gesetz am 29. Januar 2026, der Bundesrat stimmte am 6. März zu (Bundesgesetzblatt, 16.03.2026).

Betroffen sind elf Sektoren: Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum und Lebensmittel. Wer eine „kritische Anlage“ betreibt, wird vom BBK identifiziert und informiert.

Welche Pflichten entstehen für Betreiber?

Drei zentrale Pflichtenbereiche treffen Betreiber kritischer Anlagen:

Registrierungspflicht: Alle betroffenen Betreiber müssen sich bis zum 17. Juli 2026 beim BBK registrieren. Eine zentrale Kontaktstelle muss benannt werden, die rund um die Uhr erreichbar ist.

Risikoanalyse und Resilienzmaßnahmen: Betreiber müssen mindestens alle vier Jahre eine umfassende Risikoanalyse durchführen — erstmals neun Monate nach der Registrierung. Daraus abgeleitet: angemessene Maßnahmen zur physischen Sicherheit, zum Krisenmanagement, zur Personalzuverlässigkeit und zur Aufrechterhaltung des Betriebs (Business Continuity Management).

Meldepflichten: Erhebliche Störungen und sicherheitsrelevante Ereignisse sind binnen 24 Stunden zu melden — über die gemeinsame Plattform von BSI und BBK. Das betrifft physische Vorfälle genauso wie Cyberangriffe.

Was bedeutet „physische Sicherheit“ konkret?

Das Gesetz spricht von „Maßnahmen zur Gewährleistung des physischen Schutzes“. In der Praxis bedeutet das: Perimeterschutz (Zäune, Beleuchtung, Barrieren), Zutrittskontrollsysteme, Videoüberwachung und Alarmsysteme, physische Bewachung durch Sicherheitspersonal und Notfall- und Evakuierungspläne.

Für viele Betreiber ist das keine Revolution — sie haben bereits Sicherheitsmaßnahmen. Neu ist, dass diese Maßnahmen jetzt gesetzlich vorgeschrieben, dokumentiert und regelmäßig überprüft werden müssen. Die Risikoanalyse muss nachweisen, dass die gewählten Maßnahmen dem tatsächlichen Risikoprofil entsprechen.

Welche Bußgelder drohen bei Verstößen?

Das KRITIS-Dachgesetz sieht Bußgelder bis zu 10 Millionen Euro vor — für Betreiber, die sich nicht registrieren, keine Risikoanalyse durchführen oder Meldepflichten verletzen. Die Höhe orientiert sich an der Schwere des Verstoßes und der Größe des Unternehmens.

Zum Vergleich: Das IT-Sicherheitsgesetz 2.0 sah bereits Bußgelder bis 2 Millionen Euro vor. Das KRITIS-Dachgesetz verschärft deutlich — und erweitert den Anwendungsbereich auf physische Sicherheit.

Was sollten betroffene Betreiber jetzt tun?

Drei Schritte mit sofortiger Priorität:

• Prüfen Sie, ob Sie betroffen sind: Das BBK wird Betreiber kritischer Anlagen identifizieren und benachrichtigen. Wer in einem der elf Sektoren tätig ist und definierte Schwellenwerte überschreitet, sollte proaktiv prüfen.
• Registrierung vorbereiten: Frist 17. Juli 2026. Kontaktstelle benennen, die 24/7 erreichbar ist.
• Risikoanalyse starten: Die erste Analyse ist neun Monate nach Registrierung fällig. Wer jetzt beginnt, hat Vorlauf. Physische Sicherheitsmaßnahmen — von Objektschutz bis Alarmverfolgung — gehören in jede KRITIS-Risikoanalyse.

Häufige Fragen zum KRITIS-Dachgesetz

Wer ist vom KRITIS-Dachgesetz betroffen?

Betreiber kritischer Anlagen in elf Sektoren — darunter Energie, Gesundheit, Transport, Wasser und Lebensmittel. Das BBK identifiziert betroffene Betreiber anhand definierter Schwellenwerte.

Bis wann müssen sich Betreiber registrieren?

Bis zum 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Eine 24/7 erreichbare Kontaktstelle muss benannt werden.

Was passiert bei Verstößen gegen das KRITIS-Dachgesetz?

Bußgelder bis 10 Millionen Euro — für fehlende Registrierung, fehlende Risikoanalyse oder Verletzung der Meldepflichten. Die Höhe richtet sich nach Schwere und Unternehmensgröße.