KRITIS-Dachgesetz 2026: Was Brandenburger Unternehmen jetzt wissen müssen

Von Sebastian Fürstmann · 5. Mai 2026 · Compliance

📅 Veröffentlicht: 5. Mai 2026🔄 Aktualisiert: 12. Juni 2026

Seit dem 17. März 2026 ist das KRITIS-Dachgesetz (KRITIS-DachG) in Kraft. Es ergänzt die NIS2-Richtlinie um eine bislang fehlende Dimension: die physische Resilienz kritischer Anlagen. Während NIS2 ausschließlich die Cybersicherheit adressiert, stellt das neue Gesetz sicher, dass Betreiber kritischer Infrastrukturen auch gegen physische Bedrohungen — Naturkatastrophen, Sabotage, Stromausfälle — gewappnet sind. Für Unternehmen in Brandenburg, die in einem der elf betroffenen Sektoren tätig sind, bedeutet das: konkreter Handlungsbedarf, enge Fristen und empfindliche Bußgelder bei Nichtbeachtung.

Was ist das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz ist die nationale Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie, EU 2022/2557). Die CER-Richtlinie verpflichtet die Mitgliedstaaten, einen Rahmen für die Stärkung der physischen Widerstandsfähigkeit kritischer Infrastrukturen zu schaffen. In Deutschland wurde dieser Rahmen mit dem KRITIS-DachG in bundeseinheitliches Recht gegossen.

Das Gesetz verfolgt einen ganzheitlichen Ansatz: Risiken sollen sektorübergreifend bewertet, Resilienzpläne erstellt und Vorfälle gemeldet werden. Die zuständige Bundesbehörde ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das eine zentrale Registrierungs- und Kommunikationsplattform betreibt. Im Zusammenspiel mit NIS2 entsteht so ein zweiteiliges Regelwerk — BBK für die physische Seite, BSI für die Cyberseite — das Betreiber kritischer Infrastrukturen künftig in beiden Dimensionen in die Pflicht nimmt.

Anders als frühere KRITIS-Regelungen im BSI-Gesetz gilt das KRITIS-DachG nicht nur für die größten Infrastrukturbetreiber. Der Gesetzgeber hat die Schwellenwerte bewusst so gesetzt, dass auch mittelständische Unternehmen erfasst werden können, sofern sie eine relevante Versorgungsfunktion für die Bevölkerung übernehmen.

Wer ist betroffen? Die elf Sektoren im Überblick

Das KRITIS-Dachgesetz gilt für Betreiber kritischer Anlagen in den folgenden elf Sektoren:

  • Energie (Strom, Gas, Fernwärme, Öl)
  • Verkehr (Straße, Schiene, Luft, Wasser)
  • Finanz- und Versicherungswesen
  • Gesundheit (Krankenhäuser, Labore, Arzneimittel)
  • Trinkwasser
  • Abwasser
  • Ernährung
  • Informationstechnologie und Telekommunikation
  • Weltraum
  • Siedlungsabfallentsorgung
  • Öffentliche Verwaltung

Der maßgebliche Schwellenwert für die Einstufung als „kritische Anlage" ist die Versorgung von mindestens 500.000 Personen. Dieser Regelschwellenwert kann durch rechtsverordnung sektorspezifisch nach unten abweichen. Kommunale Stadtwerke, regionale Wasserversorger, Krankenhäuser der Maximalversorgung oder größere Rechenzentren in Brandenburg können diesen Schwellenwert je nach Fallkonstellation erreichen oder überschreiten.

Für KMU bedeutet das: Eine direkte Betroffenheit ist vor allem dann wahrscheinlich, wenn das Unternehmen selbst Versorgungsinfrastruktur betreibt oder als kritischer Zulieferer in Lieferketten kritischer Anlagen eingebunden ist. Auch wenn Ihr Unternehmen selbst nicht direkt reguliert wird, sollten Sie die Anforderungen kennen — denn Auftraggeber aus dem KRITIS-Bereich werden künftig entsprechende Nachweise von ihren IT-Dienstleistern und Zulieferern verlangen.

Wichtige Termine und Fristen

Die zeitliche Abfolge des KRITIS-Dachgesetzes ist klar strukturiert:

  • 16. März 2026: KRITIS-Dachgesetz tritt in Kraft.
  • 17. Juli 2026: Die BBK-Registrierungsplattform geht online — ab diesem Datum können und müssen sich betroffene Betreiber registrieren.
  • 3 Monate nach Einstufung als „kritische Anlage": Registrierungspflicht beim BBK. Die Einstufung erfolgt durch die zuständige Behörde oder durch Selbsteinstufung anhand der veröffentlichten Kriterien.

Nach der Registrierung starten weitere Fristen: Die Risikoanalyse muss innerhalb von neun Monaten vorgelegt werden, der Resilienzplan innerhalb von zehn Monaten. Diese Fristen sind nicht verlängerbar und beginnen mit der formellen Registrierung beim BBK.

Wer jetzt noch zögert, riskiert, in Zeitnot zu geraten. Insbesondere die Erstellung eines belastbaren Resilienzplans erfordert eine gründliche Bestandsaufnahme aller physischen Schwachstellen — ein Prozess, der erfahrungsgemäß mehrere Monate in Anspruch nimmt.

Konkrete Pflichten für betroffene Betreiber

Risikoanalyse

Innerhalb von neun Monaten nach der Registrierung muss eine umfassende Risikoanalyse vorliegen. Sie umfasst die Identifikation aller relevanten Bedrohungen (physisch, klimatisch, technisch, menschlich), die Bewertung der Wahrscheinlichkeit und des Schadenpotenzials sowie die Dokumentation bestehender Schutzmaßnahmen. Die Analyse muss regelmäßig aktualisiert werden, mindestens alle vier Jahre.

Resilienzplan

Zehn Monate nach der Registrierung ist der Resilienzplan beim BBK einzureichen. Er beschreibt konkrete Maßnahmen zur Stärkung der physischen Widerstandsfähigkeit — von baulichen Schutzmaßnahmen über redundante Systeme bis hin zu Notfallplänen und Übungen. Der Resilienzplan ist kein theoretisches Dokument: Das BBK kann Umsetzungsnachweise und Prüfberichte anfordern.

Meldepflichten bei Vorfällen

Vorfälle, die die Kontinuität kritischer Dienstleistungen erheblich beeinträchtigen oder beeinträchtigen könnten, müssen innerhalb von 24 Stunden als Erstmeldung an das BBK übermittelt werden. Ein vollständiger Bericht folgt binnen 30 Tagen. Die Meldewege werden über die BBK-Plattform abgewickelt. Parallel dazu gelten — sofern einschlägig — weiterhin die NIS2-Meldepflichten gegenüber dem BSI für Cyberangriffe.

Personalsicherheit und Zugangskontrolle

Betroffene Betreiber müssen Konzepte zur Personalsicherheit und zur physischen Zugangskontrolle entwickeln und umsetzen. Das schließt Hintergrundüberprüfungen für Personen mit Zugang zu kritischen Bereichen, Zutrittsmanagementsysteme und klare Regelungen für externe Dienstleister ein.

Bußgelder und Haftung (§ 24 KRITIS-DachG)

Der Bußgeldkatalog des KRITIS-Dachgesetzes ist abgestuft und trifft gezielt unterschiedliche Verstöße:

  • Bis zu 1.000.000 € bei Nichtbefolgung von Anordnungen des BBK.
  • Bis zu 500.000 € bei Verstößen gegen Audit- und Meldepflichten.
  • Bis zu 200.000 € bei fehlendem oder unvollständigem Resilienzplan.
  • Bis zu 100.000 € bei verspäteter oder unterlassener Registrierung beim BBK.

Besonders relevant: Das Gesetz sieht eine persönliche Geschäftsleiterhaftung vor. Wer als Geschäftsführer oder Vorstand die gesetzlichen Pflichten nicht erfüllt oder deren Erfüllung nicht sicherstellt, kann persönlich in Regress genommen werden. Die Delegation an Mitarbeitende oder externe IT-Dienstleister entbindet nicht von der Verantwortung — die Überwachungspflicht bleibt beim Leitungsorgan.

Verhältnis zu NIS2: Zwei Gesetze, eine Anlage

Ein häufiges Missverständnis: KRITIS-DachG und NIS2 sind keine Alternativen, sondern Ergänzungen. Sie greifen für dasselbe Objekt — eine kritische Anlage — aus unterschiedlichen Blickwinkeln:

  • NIS2 / BSI: Cybersicherheit — Schutz der Informationssysteme und Netzwerke. Zuständige Behörde: Bundesamt für Sicherheit in der Informationstechnik (BSI). Die NIS2-Registrierungsfrist lief bereits am 6. März 2026 ab.
  • KRITIS-DachG / BBK: Physische Resilienz — Schutz der physischen Infrastruktur. Zuständige Behörde: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Wer also eine kritische Anlage betreibt, muss in der Regel beide Regelwerke beachten: beim BSI für NIS2 registriert sein und beim BBK für das KRITIS-Dachgesetz. Da die NIS2-Registrierungsfrist bereits verstrichen ist, sollten betroffene Unternehmen ihren NIS2-Status umgehend klären, bevor die BBK-Registrierungsplattform im Juli öffnet.

Was sollten Brandenburger KMU jetzt tun? — 5-Punkte-Checkliste

  1. Betroffenheit prüfen: Fällt Ihr Unternehmen in einen der elf Sektoren? Werden mindestens 500.000 Personen durch Ihre Leistung versorgt, oder könnten sektorspezifische Verordnungen niedrigere Schwellen festlegen? Klären Sie dies mit juristischem und technischem Beistand.
  2. NIS2-Status klären: Haben Sie sich bereits beim BSI als wesentliche oder wichtige Einrichtung registriert? Falls nicht, sollte dies unverzüglich nachgeholt werden.
  3. Vorbereitungen für die BBK-Registrierung treffen: Sammeln Sie alle Angaben zu Ihren kritischen Anlagen, zuständigen Ansprechpersonen und bestehenden Sicherheitsmaßnahmen, die für die Registrierung benötigt werden.
  4. Risikoanalyse beauftragen: Starten Sie jetzt mit der Bestandsaufnahme physischer Schwachstellen. Eine fundierte Risikoanalyse braucht Zeit — wer nach der Registrierung beginnt, kommt unter Zeitdruck.
  5. Resilienzplan vorstrukturieren: Legen Sie intern fest, wer für Teilbereiche des Resilienzplans verantwortlich ist. Externe IT-Dienstleister wie Fürstmann.IT können bei der technischen Dimension unterstützen.

Wie Fürstmann.IT Sie unterstützt

Fürstmann.IT begleitet Unternehmen in Brandenburg bei der Umsetzung der KRITIS-Anforderungen — vom ersten Betroffenheits-Check bis zur laufenden Begleitung nach der Registrierung. Unser Leistungsangebot umfasst:

  • Initiale Betroffenheitsanalyse und Einstufungsprüfung nach KRITIS-DachG und NIS2
  • Technische Schwachstellenanalyse physischer und digitaler Infrastrukturen
  • Unterstützung bei der Erstellung von Risikoanalysen und Resilienzplänen
  • Technische Umsetzung von Sicherheitsmaßnahmen: Zugangskontrolle, Netzwerksegmentierung, Monitoring
  • Einrichtung und Betrieb von Netzwerksicherheitslösungen nach BSI-Grundschutz-Methodik
  • Dokumentation und Berichterstattung für BBK und BSI

Das KRITIS-Dachgesetz ist neu und die zugehörigen Verordnungen befinden sich teilweise noch in der Abstimmung. Das bedeutet nicht, dass abgewartet werden sollte — die Grundpflichten stehen fest, und die Fristen laufen ab dem Zeitpunkt der Registrierung. Wer sich frühzeitig vorbereitet, verschafft sich den nötigen Spielraum, um die Anforderungen ohne Zeitdruck und ohne Bußgeldrisiko zu erfüllen.

Besonders für Brandenburger Unternehmen in den Bereichen Energie, Trinkwasser und Gesundheit empfehlen wir, nicht auf die Eröffnung der BBK-Registrierungsplattform im Juli 2026 zu warten, sondern die Vorarbeiten bereits jetzt anzugehen. Die Erfahrung aus der NIS2-Umsetzung zeigt: Wer zu spät beginnt, steht vor dem Problem, Risikoanalysen und Konzepte unter Zeitdruck erstellen zu müssen — mit entsprechend schlechterer Qualität und höheren Kosten. Ein strukturiertes Vorgehen jetzt ist die kostengünstigere und rechtssicherere Wahl.

Sprechen Sie uns an. Wir geben Ihnen eine ehrliche Einschätzung, ob und inwieweit Ihr Unternehmen betroffen ist — ohne unnötige Panikmache und ohne überdimensionierte Beratungsprojekte.

Fazit: Handeln, bevor die Fristen laufen

Das KRITIS-Dachgesetz bringt erstmals einen verbindlichen gesetzlichen Rahmen für die physische Resilienz kritischer Infrastrukturen in Deutschland. Für betroffene Unternehmen in Brandenburg bedeutet das: klare Pflichten, konkrete Fristen und persönliche Haftung der Geschäftsleitung bei Verstößen. Der entscheidende Unterschied zur NIS2-Situation ist, dass das KRITIS-DachG älter ist als oft angenommen: Die inhaltlichen Anforderungen an Risikoanalyse und Resilienzplan sind bereits jetzt bekannt. Wer jetzt mit der Vorbereitung beginnt, wird die Fristen nach der BBK-Registrierung komfortabel einhalten können. Wer wartet, riskiert nicht nur Bußgelder, sondern auch eine qualitativ minderwertige Umsetzung unter Zeitdruck.

Jetzt KRITIS-Betroffenheit prüfen lassen

Wir analysieren, ob Ihr Unternehmen unter das KRITIS-Dachgesetz fällt, und zeigen konkrete nächste Schritte auf — kostenlos und unverbindlich.

Jetzt kostenloses Erstgespräch anfragen