SecureStay

Regulatorik

KRITIS-Dachgesetz: Was sich am 17. Juli 2026 ändert

Das KRITIS-Dachgesetz harmonisiert physische Sicherheitspflichten in allen KRITIS-Sektoren. Registrierungsfrist, Pflichten und Verhältnis zu NIS2 erklärt.

Patrick Devosse
Co-CEO, SecureStay Solutions UG
3 Min. Lesezeit

Am 17. Juli 2026 tritt das KRITIS-Dachgesetz in Kraft. Es ist die deutsche Umsetzung der EU-CER-Richtlinie (Critical Entities Resilience Directive, Richtlinie (EU) 2022/2557). Für Tausende deutsche Unternehmen ändert sich mit diesem Datum nicht weniger als die Definition dessen, was “ausreichende Sicherheit” zu bedeuten hat.

Warum dieses Gesetz, und warum jetzt?

Seit 2015 regelt das BSI-Gesetz mit § 8a BSIG die IT-Sicherheit kritischer Infrastrukturen. Was bisher fehlte, war ein einheitlicher Rahmen für physische Resilienz über Sektoren hinweg. Die EU hat diese Lücke 2022 mit der CER-Richtlinie geschlossen. Mit dem KRITIS-Dachgesetz setzt Deutschland die Vorgaben um.

Die geopolitische Lage 2024 bis 2026 hat das Tempo erhöht. Drohnenüberflüge über Industrie- und Militärstandorten, hybride Bedrohungen aus Russland und Iran, gezielte Angriffe auf Energie- und Versorgungsinfrastruktur in Europa, das alles hat physische Sicherheit von der Compliance-Pflicht zur strategischen Notwendigkeit gemacht.

Was sich am 17. Juli 2026 konkret ändert

Vier Punkte sind in der Praxis entscheidend:

1. Registrierungspflicht

Jeder Betreiber kritischer Anlagen muss sich beim BBK registrieren. Die Frist endet am 17. Juli 2026 für bestehende Betreiber. Neue Betreiber, die die Schwelle nach diesem Datum erreichen, müssen sich innerhalb der gesetzlich definierten Zeit registrieren (in der Regel drei Monate).

Die Registrierung umfasst:

  • Name und Anschrift des Betreibers
  • Identifizierung der betroffenen Anlagen
  • Benennung einer Kontaktstelle, die für Behörden 24/7 erreichbar ist
  • Angabe einer Stellvertretung für die Kontaktstelle

2. Resilienz-Plan

Auf Aufforderung der zuständigen Behörde muss ein Resilienz-Plan vorgelegt werden. Der Plan enthält:

  • Bedrohungs- und Risikoanalyse (inkl. Naturgefahren, kriminelle Anschläge, hybride Bedrohungen)
  • Beschreibung der technischen und organisatorischen Vorkehrungen
  • Ablauf der Reaktion auf Vorfälle
  • Schnittstellen zu anderen Akteuren (Behörden, Versorger, Nachbarbetriebe)

3. Meldepflicht bei Vorfällen

Vorfälle mit erheblichen Auswirkungen sind unverzüglich zu melden, mit der gleichen Drei-Stufen-Logik wie unter NIS2 (Frühwarnung 24 Std., Vorfallsmeldung 72 Std., Abschlussbericht 30 Tage). Die Meldungen gehen an das BBK bzw, die sektorzuständige Behörde.

4. Nachweispflicht und Audits

Spätestens alle drei Jahre ist ein Nachweis zu erbringen. Die Nachweisform kann sein:

  • Audit durch eine anerkannte prüfende Stelle
  • Branchenspezifischer Sicherheitsstandard (B3S) mit Zertifizierung
  • Anerkannte Norm-Zertifizierung mit Erweiterungen (ISO 27001, ISO 22301 Business Continuity, etc.)

Die Behörden können anlasslose Inspektionen durchführen.

Verhältnis zu NIS2 und IT-Sicherheit

NIS2 und KRITIS-Dachgesetz wirken parallel. Wer in beide Geltungsbereiche fällt, hat zwei Aufsichtsregime und zwei Nachweispflichten. Das klingt nach Doppelarbeit, und ist es oft auch, wenn die Umsetzung unkoordiniert erfolgt.

Unsere klare Empfehlung: Behandeln Sie NIS2 und KRITIS-Dachgesetz als ein integriertes Vorhaben. Viele Maßnahmen erfüllen beide Regelwerke gleichzeitig:

  • Eine Risikoanalyse mit physischer und IT-Komponente bedient sowohl NIS2 als auch KRITIS-DachG
  • Eine Kontaktstelle reicht für beide Aufsichtsregime
  • Ein Vorfallsprozess kann beide Meldepflichten abdecken
  • Business-Continuity-Management dient beiden Zwecken

Sektor Transport und Logistik

Für Transport und Logistik, einen der größten Sektoren unter dem KRITIS-Dachgesetz, ist die Lage besonders. Die Sektoren-Definition umfasst:

  • Schienenverkehr (Eisenbahninfrastruktur, Schienenverkehrsunternehmen)
  • Straßenverkehr (intelligente Verkehrssysteme, Tunnel, Brücken hoher Bedeutung)
  • Luftverkehr (Luftfahrtgesellschaften, Flughäfen, Flugsicherung)
  • Schifffahrt (Reedereien, Häfen, Schifffahrtsmanagement)
  • Logistik (große Lager, Frachtumschlag, Multimodal-Knoten ab definierten Schwellenwerten)

Wer in diesen Bereichen am 17. Juli 2026 die Schwellenwerte überschreitet, ist registrierungspflichtig. Für viele mittelständische Logistiker ist das eine echte Premiere, bisher war Sicherheit eine Versicherungsfrage, jetzt ist sie eine Compliance-Frage mit Aufsichtsregime.

Unser KRITIS-Quick-Check Transport & Logistik ist genau für diese Lage gebaut: in fünf Werktagen klären wir, ob Sie über der Schwelle liegen, was zu tun ist und welche Maßnahmen Priorität haben.

Was Sie diese Woche prüfen sollten

Drei einfache Fragen, mit denen Sie heute starten können:

  1. Wer in Ihrem Haus weiß, dass Sie unter das KRITIS-Dachgesetz fallen könnten? Wenn die Antwort “niemand” ist, fangen Sie hier an.
  2. Wer wäre die Kontaktstelle, die 24 Stunden am Tag erreichbar ist? Diese Person muss benannt, geschult und in den Vorfallsprozess eingebunden sein.
  3. Wann läuft Ihre Frist? Für die meisten Bestandsbetreiber: 17. Juli 2026. Das sind, von heute aus gerechnet, weniger Werktage als ein durchschnittliches IT-Projekt dauert.

Quellen

  • KRITIS-Dachgesetz (deutsche Umsetzung der CER-Richtlinie)
  • CER-Richtlinie (Richtlinie (EU) 2022/2557)
  • BBK als nationale Behörde für physische Resilienz (www.bbk.bund.de)
  • UP KRITIS als Plattform für Betreiber und Behörden

Häufige Fragen

Was Sie noch wissen wollen

Wann tritt das KRITIS-Dachgesetz in Kraft?

Am 17. Juli 2026. Die Frist ergibt sich aus der Umsetzungspflicht der Critical Entities Resilience Directive der EU (CER-Richtlinie 2022/2557).

Wer muss sich bis 17. Juli 2026 registrieren?

Alle Betreiber kritischer Anlagen in den vom KRITIS-Dachgesetz erfassten Sektoren, sofern sie die sektorspezifischen Schwellenwerte erreichen. Das umfasst auch Sektoren, die bisher nicht unter § 8a BSIG fielen.

Was passiert, wenn ich die Frist verpasse?

Ordnungswidrigkeit, Bußgeld und im Wiederholungsfall persönliche Haftung der Geschäftsleitung. Die Registrierung ist nicht abwartbar, die Frist ist hart, eine generelle Übergangslösung nach dem 17. Juli 2026 ist nicht vorgesehen.

Wie unterscheidet sich das vom alten § 8a BSIG?

§ 8a BSIG regelt IT-Sicherheit für KRITIS-Betreiber (inzwischen abgelöst durch § 30 BSIG aus dem NIS2-Umsetzungsgesetz). Das KRITIS-Dachgesetz regelt zusätzlich die physische Resilienz, also Schutz vor Angriffen, Sabotage, Naturkatastrophen, Versorgungsausfällen jenseits der IT.

Welche physischen Schutzmaßnahmen werden konkret gefordert?

Risiko- und Bedrohungsanalyse, Resilienz-Plan, technische und organisatorische Vorkehrungen zum Schutz vor Naturgefahren, terroristischen und sonstigen kriminellen Anschlägen, hybriden Bedrohungen und Industrieunfällen. Die konkrete Ausgestaltung folgt branchenspezifischen Sicherheitsstandards (B3S).

Über den Autor

Patrick Devosse

Co-CEO, SecureStay Solutions UG

Über zehn Jahre Felderfahrung in Sicherheits-Auditierung und Compliance-Beratung. Co-Entwickler der S3-Methode und der zugehörigen Software-Werkzeuge Gemba Walk und S3:Analytics.

LinkedIn-Profil →

Passender Quick-Check

01 · Transport · Logistik

KRITIS Logistik

Begehung, Schwachstellen-Analyse und priorisierter Maßnahmenplan für KRITIS-pflichtige Logistikbetriebe.

2.900 € Quick-Check ansehen →

Weiterlesen