Schalast | News

Das KRITIS-Dachgesetz (KRITIS-DachG) - Gesetzesentwurf der Bundesregierung zur Umsetzung der sog. CER-Richtlinie (EU) 2022/2557

02.10.2025

Die schwarz-rote Bundesregierung beschloss Ende Juli 2025 mit dem KRITIS-Dachgesetz (KRITIS-DachG-E) einen Gesetzesentwurf zur Umsetzung der EU-Richtlinie zum Schutz kritischer Einrichtungen 2022/2557 (sog. CER-Richtlinie).

Potenziell Betroffene, insbesondere Energie- und Wasserversorgungsunternehmen, sollten sich bereits jetzt – schon vor einer endgültigen Konkretisierung des Anwendungsbereichs durch entsprechende Rechtsverordnungen - mit dem Gesetzesentwurf auseinandersetzen.

Der Gesetzesentwurf sieht umfassende Pflichten für Betreiber kritischer Anlagen vor, deren Beachtung und Umsetzung umfassende Expertise und Zeitaufwand erfordert.

Ziel und Anwendungsbereich

Ziel der Richtlinie und des Umsetzungsgesetzes ist es, durch europaweit einheitliche Mindeststandards den physischen Schutz kritischer Infrastrukturen zu gewährleisten und die Versorgungssicherheit in Europa und in Deutschland zu gewährleisten und zu erhöhen.

Erstmals wird ein bundeseinheitlicher, sektorenübergreifender Ansatz zum physischen Schutz kritischer Infrastrukturen verfolgt. Bisher lag der Fokus primär auf der IT- und Cybersicherheit – normiert etwa durch das Gesetz über das Bundesamt für Sicherheit in der Informationsrechnik (BSIG) und der sog. NIS2-Richtlinie (2022/2555) samt entsprechendem Regierungsentwurf zur Umsetzung vom 08.09.2025, Drucksache 21/1501).

Das KRITIS-DachG sieht zur Komplementierung des Schutzes der kritischen Infrastruktur Regelungen für insgesamt zehn Sektoren vor, darunter insbesondere die Energie- und Wasserversorgung. Der Gesetzesentwurf folgt einem „All-Gefahren-Ansatz“, der alle denkbaren Risiken für die kritische Infrastruktur berücksichtigt, die einen natürlichen oder menschlichen Ursprung haben.

Festlegung kritischer Anlagen

Die Erheblichkeit einer Anlage für die Erbringung kritischer Dienstleistungen wird durch eine Rechtsverordnung des Bundesministeriums des Innern (BMI) definiert werden. Entscheidende Kriterien sind:

  • Kategorien von Anlagen,
  • Schwellenwerte zum Versorgungsgrad,
  • spezifische Stichtage für die Bestimmung der Schwellenwerte und ergänzende Regelungen,
  • Kategorien von Anlagen, die unabhängig vom Schwellenwert als erheblich für die Erbringung einer kritischen Dienstleistung gelten.

Der Regelwert für die Schwellenwerte beträgt grundsätzlich 500.000 von einer Anlage zu versorgende Einwohner; allerdings kann auch unabhängig von der Erreichung von Schwellenwerten die Erheblichkeit für die Erbringung einer kritischen Dienstleistung festgestellt werden. Gerade dieser Punkt wird für die Energieversorgung relevant werden.

 

Pflichten für Betreiber kritischer Anlagen

Betreiber kritischer Anlagen unterliegen insbesondere folgenden Pflichten:

  1. Registrierungspflicht: Innerhalb von drei Monaten nach Geltung als kritische Anlage, frühestens jedoch bis einschließlich 17. Juli 2026, müssen Betreiber ihre Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.
  2. Resilienzpflichten: Betreiber müssen einen Resilienzplan entwickeln, der Maßnahmen zur Prävention und Reaktion sowie zur Wiederherstellung der kritischen Dienstleistung nach einem Vorfall umfasst, wie beispielsweise Maßnahmen der Notfallvorsorge und der baulichen und technischen Sicherung und des organisatorischen Schutzes. Weitere Maßnahmen können durch Rechtsverordnung festgelegt werden.
  3. Meldepflichten: Betreiber müssen Vorfälle spätestens 24 Stunden nach Kenntnis melden und ggfs. nach zwischenzeitlicher Aktualisierung innerhalb eines Monats hierüber einen ausführlichen Bericht übermitteln.
  4. Nachweispflichten: Betreiber müssen die Umsetzung ihrer Resilienzmaßnahmen dokumentieren und auf Anforderung der zuständigen Behörde nachweisen.
  5. Risikoanalyse- und -bewertungspflicht: Auf Grundlage der nationalen Risikoanalyse und Risikobewertung ist im Bedarfsfall bzw. mindestens alle vier Jahre eine Risikoanalyse und Risikobewertung durchzuführen. Diesbezügliche inhaltliche und methodische Vorgaben einschließlich Vorlagen und Muster werden durch Rechtsverordnung des BMI bestimmt werden.

Pflichtverstöße können mit Geldbußen bis zu 500.000 Euro geahndet werden.

 

Haftung und Sanktionen

Geschäftsleitungen von Betreibern kritischer Anlagen sind verpflichtet, die Resilienzmaßnahmen der Betreiber umzusetzen und die Umsetzung durch geeignete Organisationsmaßnahmen sicherzustellen. Zudem können Geschäftsführer bei schuldhafter Verletzung ihrer Pflichten haftbar gemacht werden.

 

Besonderheiten für kritische Einrichtungen von besonderer Bedeutung für Europa

Besonderen Pflichten unterliegen kritische Einrichtungen von besonderer Bedeutung für Europa, die ähnliche wesentliche Dienstleistungen für oder in mindestens sechs EU-Mitgliedstaaten erbringen und von der EU-Kommission als Einrichtungen von besonderer Bedeutung für Europa eingestuft werden.

 

Warum jetzt tätig werden?

Der Gesetzesentwurf zur Umsetzung der CER-Richtlinie (KRITIS-DachG) setzt den rechtlichen Rahmen zur Sicherung kritischer Infrastrukturen in Deutschland.

Es gilt, sich frühzeitig auf die Umsetzung und Einhaltung der bevorstehenden Pflichten vorzubereiten, um rechtzeitig den erforderlichen Beitrag zum Schutz der kritischen Infrastruktur in Deutschland und in Europa leisten zu können und nicht zuletzt, um Haftungsrisiken zu minimieren und Bußgelder zu vermeiden.

Wir unterstützen Sie gerne dabei, sich bestmöglich auf die bevorstehenden Herausforderungen vorzubereiten. Wir freuen uns auf Ihre Kontaktaufnahme.

 

Fragen?

Für alle Fragen oder Anfragen kontaktieren Sie bitte Schalast Law | Tax per E-Mail info@schalast.com oder rufen an unter +49 (0) 69 97 58 31 0.