Nachdem der Bundesrat dem KRITIS-Dachgesetz zugestimmt hat, wurde es am 16. März 2026 im Bundesgesetzblatt verkündet. Demnach trat das Gesetz am 17. März 2026 in Kraft. Doch einige Bundesländer sind damit nicht glücklich.
Das KRITIS-Dachgesetz gilt nun auch in Deutschland.
(Bild: mixmagic - stock.adobe.com)
Das Wichtigste in Kürze
Der Bundesrat hat am 6. März 2026 dem KRITIS-Dachgesetz zugestimmt, das die Resilienz kritischer Infrastrukturen, wie Energie und Gesundheit, stärken soll. Am 16. März 2026 wurde das Gesetz im Bundesgesetzblatt verkündet und gilt seit dem 17. März 2026. Damit ist die EU-CER-Richtlinie (EU) 2022/2557 in nationales Recht umgesetzt worden.
Einige Länder sind unzufrieden mit dem Entwurf des KRITIS-Dachgesetzes, weil die Absenkung des Schwellenwerts für kritische Infrastrukturen von 500.000 auf 150.000 versorgte Einwohner nicht berücksichtigt wurde. Der Digitalverband Bitkom begrüßt den Verzicht auf eine Öffnungsklausel, warnt aber vor Unsicherheiten in der praktischen Umsetzung.
Der VKU unterstützt den Beschluss des Bundesrats, sieht aber weiteren Handlungsbedarf, insbesondere in Bezug auf die nationale Risikoanalyse, neue Meldepflichten und Anpassungen der Transparenzpflichten.
Am Freitag, den 6. März 2026, hat der Bundesrat über den aktuellen Entwurf zum KRITIS-Dachgesetz debattiert – und ihm zugestimmt. Nachdem das Gesetz am 16. März 2026 im Bundesgesetzblatt verkündet wurde, gilt es seit dem 17. März 2026.
Mit dem Inkrafttreten des KRITIS-Dachgesetzes werden erstmalig die Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Öffentliche Verwaltung in einer EU-Richtlinie zusammengefasst. Das KRITIS-Dachgesetz ist die Umsetzung der europäischen CER-Richtlinie in deutsches Recht. Ziel ist es, die Resilienz kritischer Anlagen von Betrieben dieser Sektoren zu stärken, dazu gehören auch Maßnahmen im Bereich der IT-Sicherheit. Damit werden einheitliche Mindeststandards für den Schutz wichtiger Infrastrukturen in ganz Europa eingeführt. Zudem wird die Zusammenarbeit zwischen den Ländern verbessert, was die Versorgungssicherheit in Deutschland und Europa erhöhen soll.
Kernelemente des KRITIS-Dachgesetzes sind:
1. Wichtigste KRITIS in Deutschland identifizieren: Zuerst müssen die wichtigsten KRITIS-Betreiber in Deutschland identifiziert werden. Hierbei handelt es sich um kritische Infrastrukturen, ohne die das Funktionieren der Wirtschaft insgesamt und folglich die Versorgungssicherheit der Bevölkerung im Bundesgebiet gefährdet ist.
2. Risikobewertung: Für die einzelnen kritischen Dienstleistungen werden nationale Risikobewertungen durchgeführt, auf deren Grundlage die Betreiber eigene Risikobewertungen durchführen sollen.
3. Mindestanforderungen: Das KRITIS-Dachgesetz legt Mindestanforderungen fest, die für alle Sektoren gelten. Dabei gilt der All-Gefahren-Ansatz. Das bedeutet, dass jedes denkbare Risiko berücksichtigt werden muss, von Naturkatastrophen bis hin zu Sabotage, Terroranschlägen und menschlichem Versagen. Die Betreiber müssen außerdem Vorfälle melden.
Am 6. März lag dem Bundesrat ein Entwurf des KRITIS-Dachgesetzes vor, welcher durch den Deutschen Bundestag angepasst und nun als Gesetz verkündet wurde. So erhalten Länder mit der Öffnungsklausel die Möglichkeit, weitere kritische Anlagen für kritische Dienstleistungen, die allein in ihrer Zuständigkeit liegen, zu identifizieren. Das Bundesinnenministerium erhält die Ermächtigung, die entsprechenden Kriterien und Verfahren per Rechtsverordnung festzulegen, die der Zustimmung des Bundesrates bedarf. Zudem sollen Erwägungen zu Transparenzpflichten für kritische Infrastrukturen berücksichtigt werden, und eine Evaluierung des KRITIS-Dachgesetzes soll bereits in zwei Jahren und nicht erst in fünf Jahren erfolgen.
Der Bundesrat hat die Möglichkeit, den Vermittlungsausschuss einzuberufen, abgelehnt. Dies wäre ein mögliches Vorgehen gewesen, wenn sich Bundesrat und Bundestag nicht auf einen Gesetzesentwurf hätten einigen können. Zum Beispiel stand im Raum, dass einzelne Bundesländer nach eigenem Ermessen den Schwellenwert für die Anwendbarkeit des KRITIS-Dachgesetzes von 500.000 auf 150.000 zu versorgende Einwohner abzusenken. Dass diese Möglichkeit vom Tisch ist, bemängeln die Länder. Dadurch würden zahlreiche essentielle Infrastruktureinrichtungen nicht erfasst, insbesondere im ländlichen Raum. Auch mit Blick auf die praktische Umsetzung der Öffnungsklausel erwarten die Bundesländer Unklarheiten. Gerade im Energiebereich könne die Regelung zu Problemen führen, denn Strom- und Gasnetze seien als Verbundsysteme ausgestaltet, deren Stabilität nicht an Landesgrenzen haltmache.
Der Digitalverband Bitkom hatte sich vor der Plenarsitzung am 6. März gegen die Öffnungsklausel ausgesprochen. „Eine pauschale Absenkung des Schwellenwerts von 500.000 auf 150.000 versorgte Einwohner würde den Kreis der betroffenen Unternehmen schlagartig massiv vergrößern und insbesondere auch kleinere Betreiber betreffen, ohne dass diese eine ausreichende Vorbereitungszeit haben. Ein breiterer Anwendungsbereich bedeutet nicht automatisch mehr Sicherheit“, wurde Bitkom-Präsident Dr. Ralf Wintergerst in einer Pressemeldung zitiert. Eine Anrufung des Vermittlungsausschusses hätte weitere monatelange Verzögerungen bei der Stärkung der Abwehr von hybriden Angriffen bedeutet. „Gerade in der aktuell angespannten Sicherheitslage brauchen wir zügig einen praxistauglichen Rechtsrahmen für den Schutz kritischer Infrastrukturen.“
Dies sieht auch der Verband kommunaler Unternehmen (VKU) so und begrüßt in einer Stellungnahme den Beschluss des Bundesrats. VKU-Hauptgeschäftsführer Ingbert Liebing sagt: „Das jahrelange Warten hat ein Ende. Die Einigung ist ein wichtiger Schritt für den Schutz kritischer Infrastrukturen. Die Unternehmen haben damit endlich Rechts- und Planungssicherheit für ihre Investitionen.“ Die Zustimmung des Bundesrats sei überfällig. Dennoch sehe der VKU noch weiteren Handlungsbedarf. Die Bundesregierung müsse nun schnell die Nationale Risikoanalyse und -bewertung vorlegen. Auch neue Meldepflichten, etwa für kritische Komponenten, müssten praxistauglich ausgestaltet werden. Zudem spricht sich der VKU ebenfalls für eine Neubewertung und Anpassung von Transparenzpflichten, wie sie der Bundestag im aktuellen Entwurf erwägt hat. Darüber hinaus macht der Verband folgende Vorschläge für einen besseren Schutz kritischer Infrastrukturen:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Schutz kritischer Infrastrukturen zum überragenden öffentlichen Interesse erklären, um Abwägungen zu beschleunigen und Sicherheitsinteressen zu priorisieren
Nationale Gesamtstrategie und Risikoanalyse vorlegen, wie es die CER‑Richtlinie bereits seit Januar 2026 verlangt.
Nationale Notfallreserve aufbauen, unter anderem mit Großgeräten für Inselnetzversorgung binnen 24 Stunden
Finanzierung sichern, unteranderem über die Ausnahme von der Schuldenbremse (Art. 109 GG) und dem Sondervermögen Infrastruktur und Klimaneutralität (SVIK)
Laut Bundesministerium des Innern (BMI) hängt die Betroffenheit des KRITIS-Dachgesetzes von quantitativen und qualitativen Kriterien ab. Ist eine Einrichtung essenziell für die Gesamtversorgung in Deutschland und versorgt mehr als 500.000 Personen, zählt sie zur kritischen Infrastruktur im Sinne des Gesetzentwurfs. Darüber hinaus soll auch berücksichtigt werden, wie die verschiedenen kritischen Infrastrukturen miteinander verbunden sind. Einige Sektoren, wie der Energiesektor, sind für das Funktionieren anderer Sektoren unerlässlich. Wasser- und Transportinfrastrukturen sind ebenso unverzichtbar für die Versorgung und Funktionsfähigkeit aller anderen Bereiche. Diese wechselseitigen Abhängigkeiten verdeutlichen, dass nicht nur die Größe oder Bedeutung einer einzelnen Einrichtung entscheidend ist, sondern auch deren Rolle im Zusammenspiel mit anderen kritischen Infrastrukturen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/a7/a0a79477237ee3716f931a9d4cdaf779/0130103223v2.jpeg "Die Zahl der registrierten IT-Sicherheitsvorfälle in der Landesverwaltung Sachsen-Anhalt stieg von 45 im Jahr 2024 auf 73 im Jahr 2025, während der Energiekonzern Eon von einer Verzehnfachung der täglichen Angriffe auf seine Netzinfrastruktur innerhalb von fünf Jahren berichtet. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/07/f607736290a30a40b0876cf3e1de5424/0130167213v2.jpeg "Die DarkSword-Exploit-Kette nutzt mehrere Schwachstellen in iOS aus, um vollständige Kernelrechte zu erlangen, Sandbox-Beschränkungen zu umgehen und daraufhin Malware zu installieren, wodurch sensible Daten exfiltriert werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/0e/0d0e94ef36ab18908daf271ce57c5b6e/0130083847v2.jpeg "Ältere Sicherheitslücken sind für Hacker besonders interessant, da sie häufig in vielen Organisationen ungesichert bleiben, was die Wahrscheinlichkeit ihrer Ausnutzung erhöht. DIes führt zu oftmals sehr hohen EPSS-Scores. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4f/40/4f404cccff308914c8284689fd16153f/0130070733v2.jpeg "Die KI von Codewall wählte selbstständig McKinsey als Ziel, da sie auf eine öffentlich zugängliche Richtlinie zur verantwortungsvollen Offenlegung und die kürzlich durchgeführten Updates zu „Lilli“ stieß. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/63/92635bb91f1886ceef05e9c41e0532c3/0130004208v2.jpeg "Die Reaktionszeit ist bei Cyberangriffen entscheidend. Je schneller Security-Teams Bedrohungen erkennen und abwehren können, desto geringer der Schaden. (Bild: © Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/fb/79fb569f08e89e72c83e2dd670d2d2df/0130010051v2.jpeg "Cyberversicherung oder Incident Response Retainer: Beide Ansätze haben Vor- und Nachteile. Eine sorgfältige Prüfung der eigenen Anforderungen ist entscheidend. (Bild: © Sarfraz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/a4/4ca48ee3de835f32513f2df9448470c5/0130022845v2.jpeg "Hardwarebasierte Enklaven schützen Daten während der Verarbeitung. Quantencomputer bedrohen aber die zugrundeliegende Verschlüsselung langfristig. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/fb/91fbab616893b3905c110fff8e911abe/0130017674v2.jpeg "Bevor Unternehmen quantensichere Kryptografie einsetzen können, müssen sie wissen, wo entsprechende Zertifikate und Schlüssel überhaupt im Einsatz sind. (Bild: © PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/cd/2bcd55b5227bc3a23f2045b7dc01bfef/0130018097v2.jpeg "Karsten Redenius ist seit 2019 Mitglied des msg-Vorstands und verantwortet die msg-Branchen Life Sciences & Chemicals, Travel & Transport, Consumer Products, Telecommunications und Utilities. (Bild: MSG Systems AG)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/81/0d81f7414f52130803e1a8f78882fa6a/0129861540v1.jpeg "NIS-2 und das KRITIS-Dachgesetz betreffen besonders die Lebensmittelindustrie, wenn Produktionsanlagen oder Logistikzentren als kritische Infrastruktur gelten. (Bild: © Daniel & Halfpoint - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/d3/c9d3abcd7b9acd136cf55ee3f4b63e8e/0127602760v2.jpeg "Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen, digitale und physische Schutzmaßnahmen zu verzahnen um mehr Resilienz und Stabilität zu erreichen. (Bild: © danheighton - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/83/fc83bba1b67d90af1745e8328b971468/0121432866v2.jpeg "KRITIS-Betreiber sollen gemäß BSI bei Systemen zur Angriffserkennung den Umsetzungsgrad der Stufe 4 erreichen, hier ist aber oft noch sehr viel zu tun. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/ca/f2caeff6d3d3110297c88f5b46e78f50/0126729662v2.jpeg "Das BMI hat die Schwerpuntke des nun beschlossenen Entwurfs zum KRITIS-Dachgesetz zusammengefasst. (Bild: XaMaps - stock.adobe.com)")