Skip to content

KRITIS-Dachgesetz (KRITIS-DachG)

Das KRITIS-Dachgesetz (offiziell: Gesetz zur Umsetzung von Maßnahmen zur Verbesserung der Resilienz kritischer Anlagen) ist das deutsche Umsetzungsgesetz zur CER-Richtlinie (EU 2022/2557) und ergänzt das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Es überführt die europäischen Vorgaben zur physischen und betrieblichen Resilienz kritischer Infrastrukturen in deutsches Recht und schafft eine einheitliche, sektorübergreifende Grundlage für den Schutz kritischer Anlagen in Deutschland.

Überblick

  • Segment: Resilienz und Schutz kritischer Infrastrukturen (KRITIS) in Deutschland
  • Verabschiedet / Veröffentlicht: Verabschiedet im Bundestag am 12. Juli 2024, in Kraft seit August 2024
  • Gültig ab:
  • Die meisten Pflichten gelten ab sofort für neu eingestufte KRITIS-Betreiber
  • Übergangsfristen für Registrierung und Risikoanalysen: i.d.R. 1 Jahr nach Einstufung
  • Resilienzpläne: 2 Jahre nach Einstufung
  • Gültig für:
  • Betreiber kritischer Anlagen in Deutschland aus den Sektoren: Energie, Wasser, Ernährung, Verkehr, Gesundheit, Finanzen, digitale Infrastruktur, Abfall, Rüstung, Weltraum, öffentliche Verwaltung und Sicherheitsbehörden
  • Schwellenwerte je Sektor werden in der KRITIS-Anlagenverordnung (KritisAnlV) festgelegt
  • Auch Unternehmen, die nicht dem bisherigen BSIG-Regime (IT-Sicherheitsgesetz 2.0) unterlagen, können nun erfasst sein
  • Nicht gültig für:
  • Betreiber, die die jeweiligen Sektorschwellenwerte unterschreiten
  • Behörden der nationalen Sicherheit und Streitkräfte (eigene Regelungen)
  • Grauzone:
  • Abgrenzung zwischen KRITIS-DachG (physische Resilienz) und NIS2UmsuCG (Cybersicherheit) — beide können auf denselben Betreiber zutreffen
  • Einstufungskriterien in der noch ausstehenden KritisAnlV (Schwellenwerte)
  • Zusammenspiel mit bestehenden sektorspezifischen Regelungen (EnWG, TKG, etc.)

Zentrale Forderungen

Registrierungspflicht (§ 6 KRITIS-DachG)

  • Betreiber kritischer Anlagen müssen sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren
  • Meldung einer Kontaktstelle (24/7 erreichbar) für Behördenkommunikation

Risikoanalyse und Risikomanagement (§ 8, § 9)

  • Durchführung einer sektorübergreifenden Risikoanalyse, die physische, betriebliche und Cyberrisiken umfasst
  • Die Analyse muss Abhängigkeiten von anderen kritischen Einrichtungen und grenzüberschreitende Abhängigkeiten berücksichtigen
  • Ergebnisse sind zu dokumentieren und dem BBK auf Anfrage vorzulegen

Resilienzmaßnahmen und Resilienzplan (§ 10, § 11)

  • Auf Basis der Risikoanalyse müssen geeignete, verhältnismäßige Maßnahmen zur Steigerung der Resilienz ergriffen werden, darunter:
  • Physische Sicherheitsmaßnahmen (Zugangskontrollen, Perimeterschutz)
  • Redundanzen und Backup-Systeme
  • Sicherung von Lieferketten und Abhängigkeiten von Drittanbietern
  • Personalmaßnahmen (Vetting, Schulungen)
  • Krisenmanagement und Business Continuity Management (BCM)
  • Erstellung eines Resilienzplans, der alle Maßnahmen dokumentiert und regelmäßig aktualisiert wird

Vorfallmeldung (§ 13)

  • Erhebliche Störungen kritischer Anlagen sind unverzüglich, spätestens jedoch innerhalb von 24 Stunden, dem BBK zu melden
  • Definition einer erheblichen Störung: Beeinträchtigung, die sich auf die Erbringung wesentlicher Dienste auswirkt oder auswirken könnte
  • Folgebericht innerhalb von 1 Monat nach Behebung der Störung

Koordination und Kooperation (§ 14 ff.)

  • Betreiber müssen an Übungen und Krisentests teilnehmen, die durch BBK oder Sektorbehörden angeordnet werden
  • Informationsaustausch mit dem BBK und nationalen Behörden ist sicherzustellen
  • Grenzüberschreitende Koordination über das BBK im EU-Rahmen (CER-Kontaktstellen)

Verhältnis zu NIS2 / NIS2UmsuCG (Cybersicherheit)

  • Das KRITIS-DachG regelt physische und betriebliche Resilienz — Cybersicherheitsanforderungen werden parallel durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) und das BSIG adressiert
  • Für Betreiber, die unter beide Regelwerke fallen, gelten kumulativ beide Pflichtenkataloge
  • Das BBK und das BSI koordinieren ihre Aufsicht, um Doppelbelastungen zu minimieren

Aufsicht und Sanktionen (§ 16 ff.)

  • Zuständige Aufsichtsbehörde: BBK (übergeordnet), sektorspezifische Behörden (z.B. Bundesnetzagentur, BaFin)
  • Bußgelder bei Verstößen bis zu 500.000 Euro; bei schwerwiegenden oder wiederholten Verstößen höhere Sanktionen möglich

Lösungsansätze & Hilfestellungen

  • Das BBK stellt Leitfäden und Mustervorlagen für Risikoanalyse und Resilienzpläne bereit
  • Das BSI (für Cybersicherheitsaspekte) und sektorspezifische Behörden bieten Beratung und Empfehlungen an
  • Bestehende ISO 22301 (Business Continuity Management) und ISO 31000 (Risikomanagement) Frameworks eignen sich als methodische Grundlage für Risikoanalyse und Resilienzplanung
  • Für Betreiber, die bereits unter das IT-Sicherheitsgesetz 2.0 fallen: Prüfen, welche Maßnahmen bereits erfüllt sind und was durch KRITIS-DachG neu hinzukommt
  • KRITIS-Navigator des BBK: Werkzeug zur Selbsteinschätzung, ob die eigene Anlage als kritisch einzustufen ist

Tools & Werkzeuge

Business Continuity Management (BCM)

Tool Lizenz Problem / Zweck Regulatorische Relevanz
OpenBCM Open Source (GPL) Strukturierte BCM-Planung, BIA (Business Impact Analysis), Notfallpläne BCM-Pflicht gem. § 10 KRITIS-DachG, ISO 22301

Risikoanalyse & Risikomanagement

Tool Lizenz Problem / Zweck Regulatorische Relevanz
OpenRMF Open Source (GPL-3.0) Digitale RMF-Dokumentation, STIG-Checklisten, Compliance-Tracking IT-Risikomanagement, unterstützt NIST RMF
MONARC Open Source (AGPL) Strukturierte Risikoanalyse nach ISO 27005; entwickelt von CASES Luxemburg NIS2, KRITIS-DachG § 8–9
Eramba Open Source (AGPL, Community Edition) GRC-Plattform: Risikoregister, Controls, Compliance-Mapping NIS2, ISO 27001, KRITIS-DachG

Incident Management / ITSM

Tool Lizenz Problem / Zweck Regulatorische Relevanz
TheHive Open Source (AGPL) Security Incident Response Plattform; Case Management, kollaborative Vorfallbearbeitung Vorfallmeldung gem. § 13 KRITIS-DachG (24h-Frist), NIS2
MISP Open Source (AGPL) Threat Intelligence Sharing; automatisierter Austausch von Indicators of Compromise (IoC) Informationsaustausch gem. § 14 KRITIS-DachG, NIS2
Zabbix Open Source (GPL-2.0) IT-Monitoring und Alerting für Netzwerke, Server und OT/SCADA-Umgebungen Frühwarnung bei Störungen, Betriebskontinuität
Nagios Open Source (GPL) Infrastruktur-Monitoring, Verfügbarkeitsüberwachung Betriebsstabilität, Störungserkennung
GLPI Open Source (GPL) ITSM mit Incident/Problem/Change-Management und CMDB Betriebliche Resilienz, Asset- und Vorfallverwaltung
Deming Open Source (GPL) Web-basiertes ITSM- und IT-Sicherheits-Audit-Management nach ISO 27001; Maßnahmen-Tracking und Compliance-Nachweise Betriebliche Resilienz; Vorfallverfolgung und Audit-Dokumentation gem. § 8–9 KRITIS-DachG

Asset Management für kritische Infrastrukturen

Tool Lizenz Problem / Zweck Regulatorische Relevanz
NetBox Open Source (Apache-2.0) IT-Infrastruktur- und Netzwerk-Asset-Management (DCIM/IPAM) Inventarisierung kritischer Assets, Basis für Risikoanalyse
Ralph Open Source (Apache-2.0) Asset- und DCIM-Management für physische und Cloud-Assets Vollständige Asset-Inventarisierung als KRITIS-Grundlage
Snipe-IT Open Source (AGPL) IT Asset Management, Lizenz- und Geräteverwaltung Asset-Tracking für KRITIS-Betreiber