Die Sicherheit kritischer Infrastruktur ist in den vergangenen Monaten verstärkt in den Fokus von Politik und Öffentlichkeit gerückt. Sabotageverdachtsfälle an Energie- und Kommunikationsnetzen, zunehmende Extremwetterereignisse sowie eine angespannte geopolitische Lage haben die Verwundbarkeit zentraler Versorgungssysteme deutlich gemacht. Vor diesem Hintergrund treibt die Bundesregierung mit dem KRITIS-Dachgesetz - vom Bundestag beschlossen am 29. Januar 2026 - die Regulierung physischer Sicherheitsanforderungen voran und verpflichtet Betreiber zu umfassenden Resilienzmaßnahmen.
Das Gesetz verfolgt einen sogenannten „All-Gefahren-Ansatz“ und ergänzt bestehende Regelwerke zur Cybersicherheit, insbesondere das BSI-Gesetz (BSIG) und die europäische NIS2-Richtlinie. Für viele Unternehmen entstehen dadurch neue Anforderungen – von Registrierungs- und Meldepflichten über Risikoanalysen bis hin zu umfassenden Präventionsmaßnahmen.
Unternehmen sollten sich daher frühzeitig mit den neuen Vorgaben beschäftigen und prüfen, ob sie unter das KRITIS-Dachgesetz fallen und welche Maßnahmen rechtzeitig umgesetzt werden müssen.
Taylor Wessing berät Unternehmen umfassend bei der Analyse der Betroffenheit, der rechtssicheren Umsetzung der gesetzlichen Anforderungen und der Integration der neuen Vorgaben in bestehende Compliance- und Governance-Strukturen.
Das KRITIS-Dachgesetz (KRITIS-DachG) ist ein zentrales Regulierungsvorhaben der Bundesregierung zur Stärkung der Resilienz kritischer Infrastruktur in Deutschland. Ziel des Gesetzes ist es, Betreiber besonders wichtiger Anlagen besser auf physische Gefahren vorzubereiten und die Versorgungssicherheit für Bevölkerung und Wirtschaft zu gewährleisten.
Das Gesetz verfolgt einen sektorübergreifenden Ansatz und verpflichtet Betreiber kritischer Anlagen dazu, geeignete organisatorische und technische Schutzmaßnahmen zu ergreifen.
Dabei geht es insbesondere um den Schutz vor:
Damit ergänzt das Gesetz bestehende Regelwerke zur Cybersicherheit, insbesondere das BSIG und die europäische NIS2-Richtlinie, die sich primär auf digitale Risiken konzentrieren.
Das Gesetzgebungsverfahren zum KRITIS-Dachgesetz befindet sich derzeit auf der Zielgeraden. Nach Abschluss des parlamentarischen Verfahrens erhalten betroffene Unternehmen voraussichtlich eine Übergangsfrist, um die neuen Anforderungen umzusetzen.
Für viele Unternehmen bedeutet dies, dass sie bereits jetzt prüfen sollten:
Ein frühzeitiges Verständnis der gesetzlichen Anforderungen kann entscheidend sein, um Umsetzungsrisiken und regulatorische Sanktionen zu vermeiden.
Betreiber kritischer Anlagen müssen sich künftig bei den zuständigen Behörden registrieren und einen jederzeit erreichbaren Ansprechpartner benennen.
Die Registrierung erfolgt über ein gemeinsames Portal der zuständigen Behörden.
Ein zentraler Bestandteil des Gesetzes ist die Pflicht zur Durchführung regelmäßiger Risikoanalysen. Unternehmen müssen mögliche Gefahren für ihre Anlagen systematisch identifizieren und geeignete Schutzmaßnahmen implementieren.
Zu den möglichen Maßnahmen gehören etwa:
Die Einhaltung der gesetzlichen Anforderungen wird von den zuständigen Behörden risikobasiert überprüft.
Bestehende Sicherheitsprüfungen – etwa im Bereich der IT-Sicherheit – können teilweise berücksichtigt werden, um Doppelprüfungen zu vermeiden.
Verstöße gegen die Anforderungen des KRITIS-Dachgesetzes können erhebliche rechtliche und finanzielle Konsequenzen haben.
Unternehmen müssen insbesondere beachten:
Die Verantwortung für die Einhaltung der gesetzlichen Vorgaben liegt dabei in vielen Fällen unmittelbar bei der Unternehmensleitung.
Sie benötigen Unterstützung bei der Umsetzung des KRITIS-Dachgesetzes?
Unsere Experten-Anwälte begleiten Sie und Ihr Unternehmen gerne umfassend bei der rechtssicheren Umsetzung des KRITIS-Dachgesetzes in Ihrem Unternehmen.
Jetzt Kontakt aufnehmen!Optimale Vorbereitung sicherstellen
Auch wenn einzelne Details der gesetzlichen Umsetzung noch konkretisiert werden, sollten Unternehmen bereits jetzt prüfen, ob sie potenziell unter das KRITIS-Dachgesetz fallen.
Zu den wichtigsten ersten Schritten gehören:
Eine frühzeitige Vorbereitung kann helfen, Umsetzungsrisiken zu reduzieren und regulatorische Anforderungen effizient umzusetzen.
Taylor Wessing unterstützt als erfahrene, internationale Wirtschaftskanzlei und European Powerhouse Unternehmen wie Ihres bei der rechtssicheren Umsetzung der neuen Anforderungen aus dem KRITIS-Dachgesetz.
Unsere Beratung umfasst insbesondere:
Prüfung der Betroffenheit als Betreiber kritischer Infrastruktur
rechtliche Analyse der gesetzlichen Pflichten
Unterstützung bei Risikoanalysen und Compliance-Strukturen
Arbeitsrechtliche Beratung zu Sicherheits- und Organisationsmaßnahmen
Unterstützung bei Behördenkommunikation und regulatorischen Verfahren
Durch unseren interdisziplinären Ansatz verbinden wir öffentliches Recht, Compliance, IT-Regulierung und Arbeitsrecht, um Unternehmen bei der Umsetzung der neuen regulatorischen Anforderungen ganzheitlich zu begleiten.
Das Gesetzgebungsverfahren befindet sich derzeit im parlamentarischen Prozess. Nach Inkrafttreten wird Unternehmen voraussichtlich eine Übergangsfrist eingeräumt, um die neuen Anforderungen umzusetzen.
Als Betreiber kritischer Infrastruktur gelten Unternehmen, deren Anlagen für die Versorgung der Bevölkerung mit essenziellen Dienstleistungen besonders wichtig sind. Maßgeblich sind unter anderem sektorbezogene Kriterien und Versorgungs-Schwellenwerte.
Betroffen sein können Unternehmen aus verschiedenen Sektoren, darunter Energie, Verkehr, Gesundheitswesen, Wasser, IT-Infrastruktur oder öffentliche Verwaltung.
Bei Verstößen gegen das KRITIS-Dachgesetz können unter anderem Bußgelder von bis zu 1 Million Euro verhängt werden. Zudem kann eine persönliche Verantwortung der Geschäftsleitung bestehen.
Unternehmen sollten prüfen, ob sie kritische Anlagen betreiben und ob ihre Anlagen die relevanten Schwellenwerte erreichen. Eine rechtliche Analyse kann helfen, regulatorische Risiken frühzeitig zu erkennen.
Aktuelle News & Insights zum KRITIS-Dachgesetz
Alle News und Insights finden Sie nachfolgend.