CII zu neuem Referentenentwurf zum KRITIS-Dachgesetz

Das sogenannte KRITIS-Dachgesetz stellt einen aktuellen Gesetzgebungsentwurf des Bundesministeriums des Innern dar, der auf die Umsetzung der europäischen Richtlinie EU 2022/2557, der sogenannten CER-Richtlinie („Critical Entities Resilience“), abzielt. Mit diesem Vorhaben soll ein einheitlicher und sektorübergreifender Rechtsrahmen geschaffen werden, der die Resilienz kritischer Einrichtungen in Deutschland stärkt. Gemeint sind dabei Unternehmen und Organisationen, die für die Grundversorgung der Bevölkerung unverzichtbar sind und deren Ausfall oder Beeinträchtigung erhebliche Folgen für die Gesellschaft hätte. Als Maßstab für die Einstufung dient die Versorgung von mindestens 500.000 Personen. Anders als frühere nationale Regelungen, die stark auf den Bereich der IT-Sicherheit ausgerichtet waren, legt das KRITIS-Dachgesetz den Schwerpunkt auf physische Sicherheit und umfassende Resilienz im Sinne eines All-Gefahren-Ansatzes. Es adressiert daher nicht nur Risiken aus dem Bereich der Cyberkriminalität, sondern auch Bedrohungen durch Naturereignisse, Terrorakte, Sabotage oder menschliches Versagen. Vorgesehen sind unter anderem Meldepflichten bei Störungen, die Durchführung nationaler und betreiberspezifischer Risikoanalysen, die Erarbeitung von Resilienzplänen sowie der Nachweis von Vorsorgemaßnahmen, etwa durch Zugangskontrollen, Notstromversorgung oder Krisenmanagement. Zuständig für die Koordination und Umsetzung soll in erster Linie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sein, unterstützt durch die Länderbehörden. Bei Verstößen gegen die im Gesetz vorgesehenen Pflichten drohen Bußgelder.

Das Gesetzesvorhaben hat seit 2023 mehrere Stationen durchlaufen. Mit dem ersten Referentenentwurf im Sommer 2023 wurde das Gesetzgebungsverfahren eröffnet, wobei die Fassung aufgrund unklarer Definitionen und mangelnder Kohärenz mit bestehenden Regelungen erhebliche Kritik hervorrief. Im Dezember 2023 folgte eine überarbeitete Version, die zwar systematischer aufgebaut war, jedoch weiterhin kleine Schwächen erkennen ließ. Ein Regierungsentwurf, der im November 2024 vom Kabinett beschlossen wurde, scheiterte schließlich im Januar 2025 im Bundestag. Am 27. August 2025 hat das Bundesinnenministerium nun einen weiteren Referentenentwurf veröffentlicht, der erneut die Diskussion über Zielsetzung, Wirksamkeit und Ausgestaltung des Gesetzes entfacht hat. Wesentliche Kernpunkte wie die nationalen Risikoanalysen, die Betreiberpflichten und die Anforderungen an Resilienzmaßnahmen sind gegenüber früheren Fassungen nahezu unverändert geblieben.

Research Director Prof. Dr. Dennis-Kenji Kipker betont seine grundsätzliche Befürwortung des neuen Referentenentwurfs. Positiv zu bewerten sei, dass die branchenspezifischen Resilienzstandards künftig öffentlich zugänglich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe verfügbar sein sollen, was die Transparenz erhöht und den Betreibern die Orientierung erleichtert. Gleichwohl bleibt laut Kritikern die Harmonisierung mit dem parallel laufenden NIS-2-Umsetzungsgesetz unklar. Ebenso als unklar kann die Abgrenzung der Zuständigkeiten zwischen den beteiligten Aufsichtsbehörden sowie die nicht hinreichend bezifferte Belastung für Kommunen, Länder und Betreiber begriffen werden. Insgesamt zeige die Entwicklung des KRITIS-Dachgesetzes seit 2023, dass ein politischer Wille zur Schaffung eines kohärenten Rahmens für den Schutz kritischer Infrastrukturen bestehe. Kleineren Schwächen im Entwurf könnten im Laufe dieses Gesetzgebungsverfahrens entgegen gewirkt werden.