Nachdem am 29. Januar 2026 der Bundestag das KRITIS-Dachgesetz verabschiedet hatte, ist nunmehr am 6. März 2026 auch die Zustimmung durch den Bundesrat erfolgt. Ziel dieses Gesetzes: Die kritische Infrastruktur in Deutschland (KRITIS) widerstandsfähiger gegen Störfälle zu machen. Betroffen sind Unternehmen, die kritische Anlagen betreiben und in Sektoren wie Energie, Verkehr, Gesundheitswesen oder Ernährung tätig sind – maßgeblich ist die Versorgung von mindestens 500.000 Personen.
Betroffene Unternehmen müssen zunächst ihre Betroffenheit prüfen und sich im Anschluss binnen 3 Monaten – frühestens jedoch ab dem 17. Juli 2026 – digital beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren. Danach folgt eine Vielzahl weiterer Pflichten: Innerhalb von neun Monaten ist eine umfassende Risikoanalyse der Gefährdungslagen durchzuführen. Innerhalb von zehn Monaten sind zahlreiche Resilienzmaßnahmen umzusetzen und in einem Resilienzplan zu dokumentieren. Zugangskontrollen, Krisenreaktionspläne sowie Schutzmaßnahmen gegen Angriffe durch eigenes oder Fremdpersonal sind hier nur einige Beispiele der umzusetzenden Pflichtmaßnahmen. Verstöße können mit Bußgeldern bis zu 1.000.000 Euro geahndet werden, auch eine persönliche Haftung der Geschäftsleitung ist vorgesehen.
Fazit und Empfehlung: Es ist damit zu rechnen, dass das KRITIS-Dachgesetz nunmehr kurzfristig verkündet wird. Unternehmen, die potenziell betroffen sind, sollten daher kurzfristig prüfen, ob das KRITIS-Dachgesetz auf sie Anwendung findet, den Registrierungsprozess rechtzeitig anstoßen und ein Umsetzungskonzept für die neuen Pflichten entwickeln. Frühzeitige Vorbereitung schützt nicht nur vor Sanktionen, sondern sichert den Geschäftsbetrieb nachhaltig ab.
