von FLORIAN KRIENER
Das KRITIS-Dachgesetz soll im Kontext der sicherheitspolitischen „Zeitenwende“ die Resilienz kritischer Infrastrukturen durch verbindliche Pflichten, Mindeststandards, Meldeprozesse und eine gestärkte Aufsicht systematisch erhöhen. Nun liegt es am Bundesinnenministerium, die erforderliche Konkretisierung durch Rechtsverordnungen vorzunehmen und dabei stringente Standards zu setzen. Andernfalls droht, dass aus gut gemeintem Schutz ein „Bürokratiemonster“ wird.
Ende Januar 2026 verabschiedete der Bundestag das Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen. Das auch als KRITIS Dachgesetz bezeichnete Gesetz trat Mitte März nach Zustimmung des Bundesrats in Kraft. Es ist das zentrale Gesetzesvorhaben zur Stärkung der kritischen Infrastruktur in Deutschland. Entsprechend bezeichnete Bundesinnenminister Dobrindt dieses Vorhaben als „Zeitenwende in der inneren Sicherheit“.
Auf den ersten Blick markiert das KRITIS DachG ein wichtiges Umdenken. Kritische Infrastrukturbetreiber unterliegen fortan einer Resilienzpflicht (§ 13), die staatlich festgelegten Mindeststandards entsprechen muss (§ 14). Betreiber müssen alle vier Jahre Resilienzpläne erstellen (§ 12) und eventuelle Funktionsstörungen unmittelbar dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe melden (§ 18). Die Umsetzung der Resilienzpflicht soll durch mehrere Bundes- und Landesbehörden überwacht werden (§ 4), die mit entsprechend Eingriffskompetenzen ausgestattet wurden (§ 16).
Ob das KRITIS DachG eine Verbesserung des Schutzniveaus bewirkt, ist noch weitestgehend offen. Schließlich müssen die wichtigsten Aspekte des Gesetzes noch durch Rechtsverordnungen ausgestaltet werden (§ 14). Das Bundesinnenministerium ist nun dazu berufen, stringente und einheitliche Resilienzstandards zu setzen. Diese sind notwendig, um in einem weitestgehend privatisierten und dem Wettbewerb unterliegenden Sektor, ein hohes Schutzniveau zu erreichen.
Kritische Infrastruktur im öffentlichen Recht
Der Begriff „kritische Infrastruktur“ wurde erstmals durch Richtlinie 2008/1114/EG in das öffentliche Recht eingeführt. Die Richtline wurde in den Folgejahren durch die Netzwerk- und Informationssysteme-Richtlinie (NIS1-RL) und vereinzelte auf nationaler Ebene ergänzt (§ 2 Abs. 2 Nr. 3 ROG, § 55a Abs. 1 Nr. 1, 2 AWV, KRITIS-VO). Diese Instrumente sollten jedoch primär eine Sensibilisierung für Aspekte der kritischen Infrastruktur bewirken. Besondere staatliche Kompetenzen oder Verpflichtungen für Betreiber waren hiermit nicht verbunden.
Erst die Covid-19-Pandemie und die russische Aggression gegen die Ukraine machten die Vulnerabilität kritischer Infrastrukturen unübersehbar, woraufhin der EU-Gesetzgeber im Dezember 2022 die CER-Richtlinie und die NIS2-Richtlinie verabschiedete, die eine engere mitgliedstaatliche Kooperation und ein höheres Schutzniveau vorschreiben. Die Umsetzung dieser Richtlinien in deutsches Recht gestaltete sich jedoch schleppend: Das NIS2-Umsetzungsgesetz folgte 2025 mit 14 Monaten Verspätung, das KRITIS DachG tritt mit 17 Monaten Verspätung in Kraft. Diese Verzögerung ist nicht allein dem vorzeitigen Ende der Ampel-Regierung geschuldet ist, sondern Resultat struktureller Spannungen zwischen dem regulatorischen Anspruch und den Interessen der betroffenen Marktteilnehmer.
Die strukturelle Herausforderung
Kritische Infrastrukturen sind Anlagen aus zehn Sektoren „deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde“ (§ 2 KRITIS DachG) – typischerweise Anlagen, die mehr als 500.000 Menschen versorgen. 80% aller kritischen Infrastrukturanlagen in Deutschland werden von privaten Anbietern betrieben, sodass ca. 1700 Unternehmen dem Gesetz unterfallen.
Bis 2022 war dieser Wirtschaftssektor durch eine sukzessive Privatisierung und Liberalisierung – also einen Rückzug des Staates – gekennzeichnet. Der Staat trat weniger als Leistungsgeber auf, sondern vielmehr als Regulierer: Er setzte allgemeine Rahmenbedingungen (etwa Anschlusspflichten, Vergabe- und Kartellrecht), überließ jedoch die konkrete Ausgestaltung und das Risikomanagement weitgehend dem privaten Sektor. Das KRITIS DachG soll diese Logik ändern. Durch eine Resilienzpflicht und staatliche Mindeststandards macht der Staat nun unmittelbar Vorgaben für die Betriebsführung. Dies ist notwendig, da die aktuellen Marktlogiken keine hinreichenden Anreize setzen, um hohe Sicherheitsstandards einführen (Becker, Infrastruktur Recht 2024, 273). Entsprechende Investitionen schaffen bisher keinen hinreichend monetarisierbaren Wettbewerbsvorteile, solange Anbieter am Markt tätig sind, die geringere Sicherheitsstandards anwenden dürfen. Einheitliche Mindeststandards für alle Betreiber sind daher unerlässlich, um dieser Fehlsteuerung zu begegnen.
Was bedeutet Verhältnismäßigkeit?
Ob dies erfolgen wird, ist noch ungeklärt. Der Gesetzeswortlaut gibt bisher wenig Aufschluss über die eigentlichen Pflichten der Betreiber. Zur Ausgestaltung der Resilienzpflicht heißt es in § 13 Abs. 2:
„Insgesamt ist ein Verhältnismäßigkeitsmaßstab anzuwenden. Dabei ist eine Zweck-Mittel-Relation vorzunehmen, bei der insbesondere der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls gegen das Risiko eines Vorfalls abzuwägen ist. Wirtschaftliche Aspekte, darunter die Leistungsfähigkeit des Betreibers, sind zu berücksichtigen.“
Eine einzelfallgerechte und individuell verhältnismäßige Resilienzpflicht widerspricht dem Erfordernis einer bundeseinheitlichen Regelung, die den diesbezüglichen Markt grundlegend neu aufstellt. Soweit jedes einzelne Unternehmen individuell festlegen kann, welche Resilienzmaßnahmen für sich verhältnismäßig sind, müsste stets eine umfassende staatliche Prüfung erfolgen, ob die individuell festgelegten Standards tatsächlich genügend sind. Dies würde die Erstellung von umfassenden Berichten durch die Betreiber erfordern und deren tiefgehende Gegenprüfung durch das Bundesamt für Bevölkerungsschutz und Katastrophenvorsorge – einer noch recht kleinen Behörde mit ca. 700 Mitarbeitenden. Dieser Prozess kann zwar stringent und effizient gestaltet werden. Jüngere Erfahrungen mit vergleichbaren Berichtsprozessen unter Aufsicht des Bundesamts für Wirtschaft und Ausfuhrkontrolle haben allerdings gezeigt, dass in Abwesenheit von klaren und einheitlichen Standards eine effiziente Aufsicht schwierig ist. Uneinheitliche Standards bergen daher einerseits die Gefahr langwieriger Verwaltungsverfahren, die viele Ressourcen binden. Zudem ist es unwahrscheinlich, dass eine grundlegende Veränderung der Marktlogiken erfolgt, wenn jeder Bertreiber individuell festlegen kann, wie er sich schützen soll. Diese Festlegungen würden schlicht den aktuell bestehenden Anreizen folgen, die das derzeit defizitäre Schutzniveau hervorgebracht haben.
Hürden im anstehenden regulatorischen Prozess
Die Verordnungen des Innenministeriums werden daher entscheidend sein. In deren Erarbeitung sind sowohl die Betreiber wie die Länder eingebunden. Infrastrukturbetreiber und ihre Verbände sollen branchenspezifische Standards vorschlagen, die in den weiteren regulatorischen Prozess einfließen sollen. Zudem haben die Länder ihre fortgesetzte Beteiligung gesichert: anders als im Kabinettsentwurf vorgesehen, bedürfen die wichtigsten Verordnungen nach dem Gesetz der Zustimmung des Bundesrats. Aus einer Länderlogik ergibt dies Sinn. Schließlich berühren Fragen der kritischen Infrastruktur Länderkompetenzen wie die Gefahrenabwehr sowie Aspekte der konkurrierende Gesetzgebung, wie das Recht der Lebensmittel, des Straßen- und Schienenverkehrs, der Abfallwirtschaft und des Wasserhaushalts (Art. 74 Nr. 20, 22, 23, 24, 32 GG).
Das Innenministerium ist daher gefordert. Es muss zwischen den verschiedenen Parteien und ihren konkurrierenden Interessen vermitteln, dabei aber nicht außer Acht lassen, dass eine effiziente Umsetzung von hohen Schutzstandards eine stringente Regelung erfordert.
Zudem müssen Bund und Länder ihre Rolle in der Sicherung der kritischen Infrastruktur klären, welches unter anderem die Grünen im Gesetzgebungsprozess monierten. Einerseits betreibt der Staat ca. 20% der kritischen Infrastrukturanlage selbst. Zudem ist eine gezielte Aufgabenteilung mit den privaten Infrastrukturbetreibern notwendig, um Gefahren effektiv abzuwehren. Der Einsatz von Polizei und Bundeswehr wie auch des Sondervermögens Infrastruktur sollte auf die neuen Standards abgestimmt werden. Diese Aufgabenteilung kann im Prozess zu einer neuen Kritischen geklärt werden. Zudem bieten das geplante Seesicherheitsgesetz und das Weltraumgesetz in diesen Sektoren die Möglichkeit, dass der Staat seine eigenen Beiträge zum Schutz von kritischer Infrastruktur festlegt.
Zitiervorschlag: Kriener, Florian, Das neue KRITIS DachG – der große Wurf steht noch aus, JuWissBlog Nr. 34/2026 v. 14.04.2026, https://www.juwiss.de/34-2026/.
Dieses Werk ist unter der Lizenz CC BY-SA 4.0 lizenziert.
