Der Bundesrat hat dem KRITIS-Dachgesetz zugestimmt, das die Resilienz kritischer Infrastrukturen stärken soll. Damit werden wichtige Sektoren wie Energie und Gesundheit einheitlich geschützt. Doch mit dem aktuellen Entwurf sind nicht alle glücklich.
Nachdem der Bundestag das KRITIS-Dachgesetz noch einmal angepasst hatte, hat der Bundesrat nun zugestimmt. Nun stehen einem finalen Gesetzesbeschluss nur noch Formsachen im Weg.
(Bild: mixmagic - stock.adobe.com)
Das Wichtigste in Kürze
Der Bundesrat hat am 6. März 2026 dem KRITIS-Dachgesetz zugestimmt, das die Resilienz kritischer Infrastrukturen, wie Energie und Gesundheit, stärken soll. Sobald der Bundespräsident zustimmt und das Gesetz verkündet wird, ist damit die EU-CER-Richtlinie (EU) 2022/2557 umgesetzt.
Einige Länder sind unzufrieden mit dem Entwurf des KRITIS-Dachgesetzes, weil die Absenkung des Schwellenwerts für kritische Infrastrukturen von 500.000 auf 150.000 versorgte Einwohner nicht berücksichtigt wurde. Der Digitalverband Bitkom begrüßt den Verzicht auf eine Öffnungsklausel, warnt aber vor Unsicherheiten in der praktischen Umsetzung.
Der VKU unterstützt den Beschluss des Bundesrats, sieht aber weiteren Handlungsbedarf, insbesondere in Bezug auf die nationale Risikoanalyse, neue Meldepflichten und Anpassungen der Transparenzpflichten.
Am Freitag, den 6. März 2026, hat der Bundesrat über den aktuellen Entwurf zum KRITIS-Dachgesetz debattiert – und ihm zugestimmt. Damit fehlen nur noch die Unterzeichnung des Bundespräsidenten Frank-Walter Steinmeier (SPD) sowie die Verkündigung im Bundesgesetzblatt, damit das KRITIS-Dachgesetz gilt.
Mit der Zustimmung des Bundesrates werden erstmalig die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung in einer EU-Richtlinie zusammengefasst. Das KRITIS-Dachgesetz ist die Umsetzung der europäischen CER-Richtlinie in deutsches Recht. Ziel ist es, die Resilienz kritischer Anlagen von Betrieben dieser Sektoren zu stärken, dazu gehören auch Maßnahmen im Bereich der IT-Sicherheit. Damit werden einheitliche Mindeststandards für den Schutz wichtiger Infrastrukturen in ganz Europa eingeführt. Zudem wird die Zusammenarbeit zwischen den Ländern verbessert, was die Versorgungssicherheit in Deutschland und Europa erhöhen soll.
Kernelemente des KRITIS-Dachgesetzes sind:
1. Wichtigste KRITIS in Deutschland identifizieren: Zuerst müssen die wichtigsten KRITIS-Betreiber in Deutschland identifiziert werden. Hierbei handelt es sich um kritische Infrastrukturen, ohne die das Funktionieren der Wirtschaft insgesamt und folglich die Versorgungssicherheit der Bevölkerung im Bundesgebiet gefährdet ist.
2. Risikobewertung: Für die einzelnen kritischen Dienstleistungen werden nationale Risikobewertungen durchgeführt, auf deren Grundlage die Betreiber eigene Risikobewertungen durchführen sollen.
3. Mindestanforderungen: Das KRITIS-Dachgesetz legt Mindestanforderungen fest, die für alle Sektoren gelten. Dabei gilt der All-Gefahren-Ansatz. Das bedeutet, dass jedes denkbare Risiko berücksichtigt werden muss, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Die Betreiber müssen außerdem Vorfälle melden.
Am 6. März lag dem Bundesrat ein Entwurf des KRITIS-Dachgesetzes vor, welches durch den Deutschen Bundestag angepasst wurde. So erhalten Länder im aktuellen Entwurf mit der Öffnungsklausel die Möglichkeit, weitere kritische Anlagen für kritische Dienstleistungen, die allein in ihrer Zuständigkeit liegen, zu identifizieren. Das Bundesinnenministerium erhält die Ermächtigung, die entsprechenden Kriterien und Verfahren per Rechtsverordnung festzulegen, die der Zustimmung des Bundesrates bedarf. Zudem sollen Erwägungen zu Transparenzpflichten für kritische Infrastrukturen berücksichtigt werden, und eine Evaluierung des KRITIS-Dachgesetzes soll bereits in zwei Jahren und nicht erst in fünf Jahren erfolgen.
Der Bundesrat hat die Möglichkeit, den Vermittlungsausschuss einzuberufen, abgelehnt. Dies wäre ein mögliches Vorgehen gewesen, wenn sich Bundesrat und Bundestag nicht auf einen Gesetzesentwurf hätten einigen können. Zum Beispiel stand im Raum, dass einzelne Bundesländer nach eigenem Ermessen den Schwellenwert für die Anwendbarkeit des KRITIS-Dachgesetzes von 500.000 auf 150.000 zu versorgende Einwohner abzusenken. Dass diese Möglichkeit vom Tisch ist, bemängeln die Länder. Dadurch würden zahlreiche essentielle Infrastruktureinrichtungen nicht erfasst, insbesondere im ländlichen Raum. Auch mit Blick auf die praktische Umsetzung der Öffnungsklausel erwarten die Bundesländer Unklarheiten. Gerade im Energiebereich könne die Regelung zu Problemen führen, denn Strom- und Gasnetze seien als Verbundsysteme ausgestaltet, deren Stabilität nicht an Landesgrenzen haltmache.
Der Digitalverband Bitkom hatte sich vor der Plenarsitzung am 6. März gegen die Öffnungsklausel ausgesprochen. „Eine pauschale Absenkung des Schwellenwerts von 500.000 auf 150.000 versorgte Einwohner würde den Kreis der betroffenen Unternehmen schlagartig massiv vergrößern und insbesondere auch kleinere Betreiber betreffen, ohne dass diese eine ausreichende Vorbereitungszeit haben. Ein breiterer Anwendungsbereich bedeutet nicht automatisch mehr Sicherheit“, wurde Bitkom-Präsident Dr. Ralf Wintergerst in einer Pressemeldung zitiert. Eine Anrufung des Vermittlungsausschusses hätte weitere monatelange Verzögerungen bei der Stärkung der Abwehr von hybriden Angriffen bedeutet. „Gerade in der aktuell angespannten Sicherheitslage brauchen wir zügig einen praxistauglichen Rechtsrahmen für den Schutz kritischer Infrastrukturen.“
Dies sieht auch der Verband kommunaler Unternehmen (VKU) so und begrüßt in einer Stellungnahme den Beschluss des Bundesrats. VKU-Hauptgeschäftsführer Ingbert Liebing sagt: „Das jahrelange Warten hat ein Ende. Die Einigung ist ein wichtiger Schritt für den Schutz kritischer Infrastrukturen. Die Unternehmen haben damit endlich Rechts- und Planungssicherheit für ihre Investitionen.“ Die Zustimmung des Bundesrats sei überfällig. Dennoch sehe der VKU noch weiteren Handlungsbedarf. Die Bundesregierung müsse nun schnell die Nationale Risikoanalyse und -bewertung vorlegen. Auch neue Meldepflichten, etwa für kritische Komponenten, müssten praxistauglich ausgestaltet werden. Zudem spricht sich der VKU ebenfalls für eine Neubewertung und Anpassung von Transparenzpflichten, wie sie der Bundestag im aktuellen Entwurf erwägt hat. Darüber hinaus macht der Verband folgende Vorschläge für einen besseren Schutz kritischer Infrastrukturen:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Schutz kritischer Infrastrukturen zum überragenden öffentlichen Interesse erklären, um Abwägungen zu beschleunigen und Sicherheitsinteressen zu priorisieren
Nationale Gesamtstrategie und Risikoanalyse vorlegen, wie es die CER‑Richtlinie bereits seit Januar 2026 verlangt.
Nationale Notfallreserve aufbauen, unter anderem mit Großgeräten für Inselnetzversorgung binnen 24 Stunden
Finanzierung sichern, unteranderem über die Ausnahme von der Schuldenbremse (Art. 109 GG) und dem Sondervermögen Infrastruktur und Klimaneutralität (SVIK)
Laut Bundesministerium des Innern (BMI) hängt die Betroffenheit des KRITIS-Dachgesetzes von quantitativen und qualitativen Kriterien ab. Ist eine Einrichtung essenziell für die Gesamtversorgung in Deutschland und versorgt mehr als 500.000 Personen, zählt sie zur kritischen Infrastruktur im Sinne des Gesetzentwurfs. Darüber hinaus soll auch berücksichtigt werden, wie die verschiedenen kritischen Infrastrukturen miteinander verbunden sind. Einige Sektoren, wie der Energiesektor, sind für das Funktionieren anderer Sektoren unerlässlich. Wasser- und Transportinfrastrukturen sind ebenso unverzichtbar für die Versorgung und Funktionsfähigkeit aller anderen Bereiche. Diese wechselseitigen Abhängigkeiten verdeutlichen, dass nicht nur die Größe oder Bedeutung einer einzelnen Einrichtung entscheidend ist, sondern auch deren Rolle im Zusammenspiel mit anderen kritischen Infrastrukturen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/3d/a03d38a6d09f4ed77d67e25d0b85d0db/0129965652v2.jpeg "Nachdem der Bundestag das KRITIS-Dachgesetz noch einmal angepasst hatte, hat der Bundesrat nun zugestimmt. Nun stehen einem finalen Gesetzesbeschluss nur noch Formsachen im Weg. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/62/32620eb62e7bf8901adb3e3c64e6a101/0129882648v1.jpeg "Ransomware-Angriffe auf OT-Systeme stiegen 2025 um 64 Prozent bei 3.300 betroffenen Organisationen. Dragos identifizierte drei neue Angreifergruppen, die industrielle Prozesse analysieren, um physische Schäden zu verursachen. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cd/22/cd221e0a638fcb236dbc04b8c0510c9f/0129879317v2.jpeg "TrustConnect ist eine neue Malware-as-a-Service, die sich als legitimes Remote-Management-Tool tarnt. Für 300 Dollar monatlich erhalten Cyberkriminelle Zugriff auf ein professionelles C2-Dashboard mit vorkonfigurierten Installern. (Bild: © James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/ed/82ed8e528452a616405d60e5233468b5/0129895942v2.jpeg "Protected Users härtet privilegierte AD-Konten durch technische Einschränkungen auf Clients und Domänencontrollern. Die Sicherheitsgruppe reduziert Angriffsflächen messbar, verlangt aber Betriebsdisziplin. (Bild: © Alexej - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/8d/d98d7787e5351a5674cf0cd94cee8e5a/0129910237v2.jpeg "Für Android-Nutzer bedeutet die Zero-Day-Schwachstelle bei Qualcomm, dass Daten offenlegt werden oder Systeme abstürzen könnten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/34/94/34947a712dc7940127c21632028d998e/0129945344v2.jpeg "Kurz vor Ende der Registrierungsfrist haben sich circa 6.600 Unternehmen beim BSI-Portal angemeldet, um ihren Pflichten nach NIS 2 nachzukommen. (Bild: alphaspirit - stock.ad)")
:quality(80)/p7i.vogel.de/wcms/7f/1e/7f1eab63567ec9a081efe5e9933eac42/0129346618v1.jpeg "Netzkomponenten wie Router bilden das Rückgrat von Telekommunikationsnetzen. Der Austausch von Hardware „hochriskanter“ Anbieter adressiert Lieferkettenrisiken, lässt aber Fragen nach prüfbarer Firmware und Management-Software offen. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/95/9b95467aad0c6c19529d9ccb0edb0ce5/0129748679v2.jpeg "Ein Cyberkrimineller konnte 150 Gigabyte an Daten von mexikanischen Behörden stehlen. Darunter Informationen zu Steuerzahlungen, Ausweisdaten, Registerdaten, Mitarbeiterzugangsdaten sowie Betriebsdaten. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/06/8306e6732e1cdfca7c3c5f7667d0a31a/0129631503v2.jpeg "Das aktuelle Ransomware-Ökosystem zeichnet sich durch einen kontinuierlichen Anstieg an Angriffen in der DACH-Region aus, der durch eine arbeitsteilige Struktur unter Cyberkriminellen und Millionen kompromittierter Accounts im Darknet gefördert wird. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/81/0d81f7414f52130803e1a8f78882fa6a/0129861540v1.jpeg "NIS-2 und das KRITIS-Dachgesetz betreffen besonders die Lebensmittelindustrie, wenn Produktionsanlagen oder Logistikzentren als kritische Infrastruktur gelten. (Bild: © Daniel & Halfpoint - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/d3/c9d3abcd7b9acd136cf55ee3f4b63e8e/0127602760v2.jpeg "Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen, digitale und physische Schutzmaßnahmen zu verzahnen um mehr Resilienz und Stabilität zu erreichen. (Bild: © danheighton - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/83/fc83bba1b67d90af1745e8328b971468/0121432866v2.jpeg "KRITIS-Betreiber sollen gemäß BSI bei Systemen zur Angriffserkennung den Umsetzungsgrad der Stufe 4 erreichen, hier ist aber oft noch sehr viel zu tun. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/ca/f2caeff6d3d3110297c88f5b46e78f50/0126729662v2.jpeg "Das BMI hat die Schwerpuntke des nun beschlossenen Entwurfs zum KRITIS-Dachgesetz zusammengefasst. (Bild: XaMaps - stock.adobe.com)")