KRITIS-Dachgesetz beschlossen – Einordnung und Bedeutung für Unternehmen
Blog
Am 29. Januar 2026 hat der Deutsche Bundestag das KRITIS-Dachgesetz (KRITIS-DachG) beschlossen. Deutschland schafft damit erstmals einen einheitlichen, sektorübergreifenden Rechtsrahmen zum Schutz kritischer Infrastrukturen. Das Gesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) in nationales Recht um und stellt erstmals physische Sicherheit, organisatorische Resilienz und strukturelle Schutzmaßnahmen in den Mittelpunkt.
Welche Branchen sind betroffen?
Das KRITIS-Dachgesetz definiert klar, welche Anlagen und Betreiber zu den kritischen Infrastrukturen gehören. Betroffen sind Einrichtungen, deren Ausfall oder Beeinträchtigung gravierende Auswirkungen auf Versorgung, Sicherheit und gesellschaftliche Funktionen hätte:
Die wichtigsten Neuerungen im Überblick
Registrierungspflicht
Betreiber müssen ihre Anlagen registrieren, wenn sie bestimmte Schwellenwerte erfüllen. Diese Registrierung ist die Grundlage für alle weiteren Pflichten.
Risikoanalysen
Verbindliche Risikobewertungen sind erforderlich. Betreiber müssen systematisch Gefährdungen identifizieren und strategische Schutzpläne entwickeln.
Physische Schutzmaßnahmen
Neben IT-Sicherheit sind nun auch physische Vorkehrungen wie Zugangskontrollen, Objektschutz und bauliche Maßnahmen vorgeschrieben.
Meldepflichten
Sicherheitsrelevante Vorfälle müssen innerhalb klarer Fristen gemeldet werden, damit Behörden koordinierte Maßnahmen ergreifen können.
5 praktische Schritte zur Umsetzung
Frühzeitig handeln, nicht abwarten
Viele mittelständische Unternehmen verfügen weder über spezialisierte Sicherheitsabteilungen noch über internes Know-how zum KRITIS-Dachgesetz. Setzen Sie deshalb frühzeitig auf externe Partner, die sowohl strategisch beraten als auch operative Maßnahmen umsetzen können. Sicherheitskrisen gewinnt man nicht in der Eskalation – sondern durch Vorsorge in ruhigen Zeiten.
Risikoanalyse als Fundament
Eine professionelle Risikoanalyse bildet die Grundlage, um besonders gefährdete Bereiche zu erkennen. Wer diesen Schritt ernst nimmt, erkennt nicht nur Schwachstellen, sondern kann daraus gezielte Maßnahmen ableiten und den Betrieb wappnen – bevor das Gesetz greift.
Mitarbeiter sensibilisieren
Neben technischen Vorkehrungen ist die Sensibilisierung der Mitarbeiter entscheidend. Schulungen schaffen das nötige Bewusstsein für potenzielle Gefahren. Führungskräfte tragen dazu bei, eine aufmerksame Unternehmenskultur zu etablieren, in der Sicherheit selbstverständlich mitgedacht wird.
Konzepte in die Praxis umsetzen
Konzepte auf dem Papier schützen nicht vor Strafen. Das KRITIS-Dachgesetz verlangt konkret überprüfbare Maßnahmen. Nur wenn Sicherheitsvorgaben in der Praxis angewandt werden – durch Wachschutz, Zutrittskontrolle oder Kontrollgänge – entsteht wirksamer Schutz.
Monitoring und kontinuierliche Verbesserung
Sicherheit ist kein einmaliges Projekt. Angriffe auf kritische Infrastrukturen werden oft systematisch vorbereitet. Etablieren Sie Frühwarnsysteme und überprüfen Sie regelmäßig die Wirksamkeit Ihrer Maßnahmen. Nutzen Sie Erkenntnisse aus Vorfällen zur kontinuierlichen Verbesserung.
WSD permanent security & BLUE RISK IQ – Ihr Partner für KRITIS-Compliance
Blue Risk IQ bündelt als spezialisiertes Competence Center innerhalb der WSD permanent security Gruppe die strategische Expertise für KRITIS-Compliance, Sicherheitsrisikobewertungen und Resilience Management. Die WSD permanent security GmbH ergänzt diesen Ansatz durch operative Sicherheitsdienstleistungen und übernimmt die praxisnahe Umsetzung der definierten Maßnahmen vor Ort. Security muss ganzheitlich gedacht werden – physisch, digital, organisational.
Unsere Leistungen mit BLUE RISK IQ:
Strukturierte Risikoerfassung und Szenarioanalysen schaffen Transparenz – ein zentraler Baustein für gesetzliche Compliance.
Integrierte Strategien, die physische Schutzmaßnahmen, organisatorische Prozesse und digitale Sicherheit verbinden.
Von der Beratung bis zur praktischen Implementierung vor Ort – alles aus einer Hand.
Langfristige Resilienz aufbauen und gesetzliche Vorschriften in strategische Vorteile verwandeln.
Warum betrifft das auch Zulieferer und Dienstleister?
Obwohl das KRITIS-Dachgesetz primär Betreiber kritischer Infrastrukturen verpflichtet, reichen die Auswirkungen weit:
Unternehmen, die Dienstleistungen oder Zulieferleistungen für KRITIS-Betreiber erbringen, müssen verstehen, wie gesetzliche Anforderungen ihre eigenen Prozesse beeinflussen. Die zunehmende Verknüpfung von physischer Sicherheit, IT-Sicherheit und organisatorischer Resilienz verlangt ganzheitliche Strategien.
Das bedeutet: Sicherheit wird Teil der gesetzlichen Risiko- und Resilienzlandschaft in Deutschland – und damit für alle relevanten Akteure zur Pflicht.
Unterstützung bei KRITIS-Compliance benötigt?
Unsere Experten beraten Sie zu allen Anforderungen des KRITIS-Dachgesetzes und entwickeln mit Ihnen maßgeschneiderte Lösungen – von der Risikoanalyse bis zur operativen Umsetzung.
Jetzt Beratungsgespräch vereinbaren