Kritische Infrastruktur wurde lange vor allem als IT-Thema verhandelt. Im Zentrum standen Firewalls, Netzwerke und die Abwehr digitaler Angriffe. Mit dem KRITIS-Dachgesetz verschiebt sich dieser Blick. Entscheidend ist nicht mehr nur, ob Systeme digital abgesichert sind, sondern ob Anlagen, Standorte und Abläufe auch dann funktionieren, wenn die Lage unübersichtlich wird. Der Bundesrat hat dem Gesetz am 6. März 2026 zugestimmt. Damit gelten erstmals bundeseinheitliche und sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen in Deutschland.
Mehr als Cybersicherheit
Gemeint ist keine Abkehr vom bisherigen IT-Sicherheitsrecht, sondern seine Erweiterung. Die NIS2-Richtlinie schärft die Cybersicherheitsanforderungen, die CER-Richtlinie richtet den Fokus auf die Resilienz kritischer Einrichtungen. Gemeint ist damit die Fähigkeit, wesentliche Dienstleistungen nicht nur vor Angriffen zu schützen, sondern sie auch bei Störungen aufrechtzuerhalten und nach Vorfällen wiederherzustellen. Genau an dieser Schnittstelle setzt das KRITIS-Dachgesetz an: Es ergänzt die bestehenden Regeln zur IT-Sicherheit um Vorgaben für den physischen Schutz und die Belastbarkeit des Betriebs.
Wer unter das Gesetz fällt
Greifbar wird das dort, wo der Staat den Kreis der betroffenen Einrichtungen neu bestimmt. Erfasst werden kritische Anlagen aus elf Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie die öffentliche Verwaltung. Eine Einrichtung gilt dabei nur dann als kritisch, wenn sie für die Gesamtversorgung essenziell ist und mehr als 500 000 Personen versorgt. Das zeigt: Es geht nicht um wenige Hochsicherheitsbereiche, sondern um die Versorgung des Alltags – vom Stromnetz bis zur Verwaltung.
Vom Schutz einzelner Systeme zum Schutz des Betriebs
Die eigentliche Neuerung liegt weniger in der Liste der Sektoren als in der Logik des Gesetzes. Geschützt werden soll nicht mehr nur die digitale Infrastruktur eines Betriebs, sondern seine Handlungsfähigkeit insgesamt. Die Bundesregierung nennt dafür konkrete Beispiele: Notfallteams, stärkerer Objektschutz und Maßnahmen zur Ausfallsicherheit. Hinzu kommen Risikoanalysen und Risikobewertungen, die staatliche Stellen erarbeiten und den Betreibern zur Verfügung stellen, sowie eine Meldepflicht für Vorfälle. Sicherheit wird damit nicht nur daran gemessen, ob ein Angriff abgewehrt wird, sondern auch daran, ob ein Betrieb Ausfälle abfangen, Störungen einordnen und zentrale Leistungen weiterführen kann.
Das BSI beschreibt die IT-Sicherheitslage in Deutschland 2025 weiterhin als angespannt.
Diese Verschiebung trägt einer Realität Rechnung, die in vernetzten Infrastrukturen längst Alltag ist. Fällt Energie aus, geraten Kommunikation und Verkehr unter Druck. Werden Kommunikationswege unterbrochen, wird Krisenkoordination schwieriger. Stockt Verwaltung, verlangsamt sich oft auch die Reaktion auf Störungen in anderen Bereichen. Die CER-Richtlinie stellt deshalb bewusst nicht nur auf Verhinderung ab, sondern auf Vorsorge, Reaktion und Wiederherstellung. Resilienz meint in diesem Sinne die Fähigkeit, Belastungen zu absorbieren, sich anzupassen und den Betrieb zurück in einen stabilen Zustand zu führen.
Neue Pflichten, neue Verantwortung
Für Betreiber kritischer Infrastruktur bleibt das nicht folgenlos. Im parlamentarischen Verfahren wurde das Gesetz noch ergänzt: Die Bundesländer können zusätzliche kritische Anlagen identifizieren, wenn die betreffenden Dienstleistungen allein in ihre Zuständigkeit fallen. Zudem soll das Gesetz bereits nach zwei Jahren evaluiert werden. Das spricht dafür, dass der Rechtsrahmen nicht als starres Endprodukt gedacht ist, sondern als Instrument, das auf neue Risiken und neue Abhängigkeiten reagieren muss.
Parallel dazu verschärft NIS2 die organisatorische Verantwortung. Das BSI beschreibt die Umsetzung als Projekt für das gesamte Unternehmen und betont, dass die Geschäftsleitung die rechtlichen Anforderungen umsetzen und überwachen muss. Sicherheit wird damit zur Führungsaufgabe – nicht nur in der IT, sondern auch im Betrieb, in der Krisenkommunikation und in der Organisation von Zuständigkeiten. Gerade darin liegt der tiefere Wandel: Resilienz entsteht nicht durch eine einzelne Schutzmaßnahme, sondern durch das Zusammenspiel aus Technik, Prozessen, Vorbereitung und klarer Verantwortung.
Ein Gesetz für eine verletzliche Gegenwart
Dass dieser breitere Ansatz gerade jetzt kommt, ist kein Zufall. Das BSI beschreibt die IT-Sicherheitslage in Deutschland 2025 weiterhin als angespannt. Zugleich wächst die Einsicht, dass sich kritische Dienstleistungen nicht allein durch digitale Schutzschichten absichern lassen. Wer Strom, Wasser, Gesundheit, Kommunikation oder Verwaltung schützen will, muss das Ganze in den Blick nehmen: Systeme, Standorte, Personal, Meldewege und die Fähigkeit, auch unter Druck handlungsfähig zu bleiben. Genau darin liegt die eigentliche Aussage des KRITIS-Dachgesetzes. Es verschiebt den Fokus vom reinen IT-Schutz hin zu einer umfassenderen Resilienzlogik – und macht Widerstandsfähigkeit damit zur neuen Leitidee kritischer Infrastruktur.
Schreibe einen Kommentar