Am 29. Januar 2026 hat der Deutsche Bundestag ein weiteres Gesetz verabschiedet, das die Sicherheitsrisiken kritischer Infrastrukturen in der analogen Welt adressiert. Neben der bereits erfolgten Umsetzung der NIS-2-Richtlinie, mit der die Sicherheit informationstechnischer Systeme adressiert wird, steht nun mit dem Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz) ein weiterer Baustein zur Reduzierung von Sicherheitsrisiken. Das Gesetz wird am Tag nach seiner Veröffentlichung im Bundesgesetzblatt in Kraft treten.

Durch diesen Legislativakt soll die EU-Richtlinie (EU) 2022/2557 (CER-Richtlinie) in nationales Recht umgesetzt werden. Damit wird erstmals ein einheitlicher und sektorenübergreifender Rechtsrahmen zur Stärkung der Resilienz und zum Schutz der physischen Bestandteile kritischer Infrastrukturen geschaffen.

Unter kritischer Infrastruktur sind dabei grundsätzlich Anlagen zu verstehen, die Dienstleistungen zur Versorgung der Allgemeinheit erbringen, unter anderem in den Sektoren Energie, Wasser, Transport und Verkehr sowie Finanzwesen, und die einen Versorgungsgrad von mindestens 500.000 Einwohnern aufweisen.

Zu den vorgesehenen Maßnahmen, die für Betreiber kritischer Infrastrukturen im Sinne des Gesetzes verpflichtend sind, zählen unter anderem:

• Gemäß § 8 KRITIS-Dachgesetz die Registrierung kritischer Anlagen spätestens drei Monate nach dem Zeitpunkt, seit dem eine Anlage als kritische Anlage gilt, frühestens jedoch zum 17. Juli 2026. Mit der Registrierung sind u. a. Informationen zu Kontaktdaten, dem Versorgungsgrad und dazu, in welchen Ländern der Europäischen Union wesentliche Dienste im Sinne des EU-Rechts erbracht werden, zu übermitteln.
• Nach Maßgabe des § 12 KRITIS-Dachgesetz ist mindestens alle vier Jahre die Durchführung einer Risikoanalyse auf Grundlage der nationalen Risikoanalysen und Bewertungen erforderlich, wobei das Gesetz neben Risiken aus Naturereignissen auch bspw. solche einbezieht, die sich aus grenzüberschreitender wirtschaftlicher Abhängigkeit und Terrorismus ergeben.
• In diesem Zusammenhang wird dem Betreiber kritischer Anlagen die Erstellung und Etablierung sogenannter Resilienzpläne auferlegt, die gewährleisten sollen, dass entsprechende Vorfälle verhindert werden bzw. im Ernstfall entsprechende Reaktions- und Abwehrleitlinien vorhanden sind, um die Auswirkungen zu minimieren (§ 13 KRITIS-Dachgesetz).
• Zum Monitoring sind die Erfüllung entsprechender Pflichten zu melden oder nachzuweisen (§ 16 ff. KRITIS-Dachgesetz).

Inwieweit bereits bestehende Veröffentlichungspflichten über Einrichtungen der kritischen Infrastruktur künftig reduziert werden, ist noch nicht Gegenstand des vorliegenden Gesetzes. In einem gemeinsam mit dem Gesetzesentwurf beschlossenen Entschließungsantrag fordern die Koalitionsfraktionen die Bundesregierung jedoch ausdrücklich zur kritischen Prüfung der Transparenz- und Veröffentlichungspflichten auf.