KRITIS-Dachgesetz 2026: Pflichten für Betreiber im Überblick | Security Airline

Mit dem KRITIS-Dachgesetz hat Deutschland 2024 erstmals einheitliche Pflichten für Betreiber kritischer Infrastruktur eingeführt. Ende 2025 ist die Umsetzungsfrist näher gerückt, parallel verschärft die NIS2-Richtlinie die Anforderungen an Cybersicherheit. 2026 müssen rund 4.500 Unternehmen aus zehn Sektoren physische und digitale Schutzkonzepte nachweisen, bei einem Verstoß drohen Bußgelder von bis zu 10 Millionen Euro.

Dieser Leitfaden erklärt, was das KRITIS-Dachgesetz von Betreibern verlangt, wie sich die Pflichten von der bisherigen BSI-KritisV unterscheiden und wo die Schnittstelle zur NIS2-Richtlinie liegt. Besonderes Gewicht bekommen die physischen Schutzpflichten, denn der Schutz vor Drohnen, Sabotage und Spionage ist 2026 erstmals klar geregelt. Geschrieben für Geschäftsführung, ISB und Sicherheitsverantwortliche aus den Sektoren Energie, Wasser, Ernährung, Transport, Gesundheit, Finanzwesen, IT und Telekommunikation.

Hinweis: Das Gesetz ist als Rahmen formuliert, viele Details werden über Rechtsverordnungen und Branchenstandards nachgeschärft. Wer auf den letzten Auslegungstext wartet, verliert Zeit. Sinnvoller ist, jetzt mit den klaren Pflichten zu beginnen.

Was ist KRITIS?

KRITIS steht für kritische Infrastruktur und bezeichnet Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Folgen für Versorgung, öffentliche Sicherheit oder Wirtschaft hätte. Bisher wurden Betreiber nur dann als KRITIS eingestuft, wenn sie definierte Schwellenwerte überschritten, etwa eine bestimmte Anzahl versorgter Personen oder eine Mindestmenge produzierter Güter. Mit dem KRITIS-Dachgesetz erweitert sich dieser Kreis und vor allem werden die Pflichten erstmals einheitlich geregelt.

Eine umfassende Einordnung zum Status quo der Bedrohung gegen kritische Infrastruktur und welche Rolle Drohnen dabei spielen finden Sie in unserem Beitrag KRITIS-Schutz vor Drohnen.

Was ist das KRITIS-Dachgesetz?

Das KRITIS-Dachgesetz, offiziell Gesetz zur Stärkung der Resilienz kritischer Infrastrukturen (KRITIS-DachG), bündelt die physischen Schutzpflichten für KRITIS-Betreiber. Es setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER, EU 2022/2557) in deutsches Recht um. Während die NIS2-Richtlinie die Cybersicherheit regelt, deckt das Dachgesetz das physische Pendant ab: bauliche Sicherung, Zugangskontrolle, Lieferkettenresilienz und Abwehr externer Bedrohungen, einschließlich Drohnen.

Erstmals werden physische und digitale Resilienz integriert betrachtet. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) übernimmt die zentrale Aufsicht für den physischen Bereich, das BSI bleibt für Cybersicherheit zuständig. Beide Behörden teilen Lagebilder und Vorfallsmeldungen.

Geltungsbereich und betroffene Sektoren

Das KRITIS-Dachgesetz erfasst zehn Sektoren. Eine vereinfachte Übersicht:

• Energie: Stromnetze, Kraftwerke, Solar- und Windparks ab Schwellenwert, Gasinfrastruktur
• Wasser: Trinkwasserversorger, Abwasserwerke
• Ernährung: Großhandel, Logistik im Lebensmittelbereich
• Transport und Verkehr: Flughäfen, Häfen, Schienennetze, Logistikhubs
• Gesundheit: Krankenhäuser, Apothekenlogistik, Labore
• Finanz- und Versicherungswesen: Banken, Zahlungsdienstleister, Versicherer
• Informationstechnik und Telekommunikation: Rechenzentren, Internet Exchanges, Mobilfunknetze
• Staat und Verwaltung: Sicherheitsbehörden, Justiz, Verwaltungsdienste
• Medien und Kultur: Rundfunk, Pressehubs
• Siedlungsabfallentsorgung: Müllverbrennung, Recyclinganlagen

Eine Einrichtung gilt als KRITIS, wenn sie definierte Schwellenwerte überschreitet. Beispiele: Stromnetzbetreiber ab 500.000 versorgten Personen, Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr, Lebensmittelproduzenten ab 434.500 Tonnen Jahresproduktion. Das Dachgesetz senkt einige Schwellen, neue Akteure werden erfasst, darunter erstmals auch Logistikzentren und Rechenzentren ab definierter Kapazität.

Die zentralen Pflichten im Überblick

Das Dachgesetz formuliert sechs Kernpflichten:

1. Risiko- und Gefährdungsanalyse

Betreiber müssen eine systematische Analyse erstellen, die natürliche, technische und menschliche Bedrohungen erfasst. Drohnen, Sabotage, Spionage und hybride Angriffe werden ausdrücklich genannt. Die Analyse muss alle zwei Jahre aktualisiert werden.

2. Resilienzmaßnahmen

Auf Basis der Analyse müssen technische und organisatorische Maßnahmen umgesetzt werden. Im physischen Bereich gehören dazu Perimeterschutz, Zutrittskontrolle, Detektion und Notfallvorsorge. Der konkrete Nachweis erfolgt nach Stand der Technik, der vom BBK in Branchenstandards präzisiert wird.

3. Vorfallsmeldepflicht

Alle erheblichen Vorfälle müssen innerhalb von 24 Stunden an die zuständige Aufsicht gemeldet werden, eine ausführliche Bewertung folgt nach 72 Stunden. Drohnenüberflüge mit Verdacht auf Spionage oder Sabotage gelten als erheblicher Vorfall.

4. Notfall- und Wiederanlaufkonzepte

Betreiber müssen dokumentieren, wie sie nach einem Vorfall den Betrieb wieder aufnehmen, wie Backup-Strukturen funktionieren und welche Personalreserven existieren. Übungen sind alle drei Jahre verpflichtend.

5. Lieferkettenresilienz

Der Schutz reicht über das eigene Werkstor hinaus. Wer auf wenige Lieferanten angewiesen ist, muss Alternativen prüfen, Logistikketten absichern und Single Points of Failure dokumentieren.

6. Benennung eines Resilienzbeauftragten

Jeder KRITIS-Betreiber benennt eine verantwortliche Person, die als Schnittstelle zur Aufsicht dient und die Umsetzung verantwortet. Bei großen Konzernen ist dies häufig der Chief Security Officer.

Schutz vor Drohnen als KRITIS-Pflicht

Der Schutz vor unbemannten Luftfahrzeugen ist im KRITIS-Dachgesetz erstmals klar verankert. Die Begründung verweist auf die stark gestiegene Zahl von Drohnenüberflügen über kritischen Anlagen, die das Bundeskriminalamt 2025 mit über 1.000 Vorfällen beziffert. Konkret bedeutet das:

• Die Risikoanalyse muss eine Drohnenbedrohungsbewertung enthalten.
• Resilienzmaßnahmen müssen Detektion und Meldewege für Drohnen vorsehen.
• Drohnenüberflüge mit Verdacht auf Spionage oder Sabotage sind meldepflichtige Vorfälle.
• Die Notfallkonzepte müssen Reaktionsketten für Drohnenereignisse beschreiben.

Was nicht im Dachgesetz steht, aber praktisch zwingend ist: aktive Drohnenabwehr (Jammen, GNSS-Spoofing, kinetische Wirkmittel) bleibt staatlichen Stellen vorbehalten. Betreiber müssen daher mit einer Detektions- und Meldekette arbeiten und können autonome Drone-First-Responder-Drohnen einsetzen, um Vorfälle in wenigen Minuten zu verifizieren.

Eine sinnvolle KRITIS-konforme Architektur kombiniert RF-Detektion, Radar, Optik und akustische Sensoren. Mehr zur konkreten Umsetzung im Beitrag Drohnenabwehr und Drohnendetektion.

Schnittstelle zur NIS2-Richtlinie

NIS2 (EU 2022/2555) ist das digitale Pendant zum Dachgesetz und wurde in Deutschland 2024 als NIS2-Umsetzungsgesetz beschlossen. Wer KRITIS ist, fällt fast immer auch unter NIS2 und muss zusätzlich:

• Risikomanagementmaßnahmen für IT-Sicherheit dokumentieren.
• Cybervorfälle innerhalb von 24 Stunden melden, eine Bewertung nach 72 Stunden.
• Geschäftsführung persönlich haftbar machen, wenn Pflichten verletzt werden.
• Lieferantenrisiken managen.

Praktisch heißt das: Die Risikoanalyse nach KRITIS-Dachgesetz und nach NIS2 sollte zusammengeführt werden, ebenso die Vorfallsmeldewege. Die Aufsichtsbehörden (BBK plus BSI) tauschen sich aus, eine doppelte Dokumentation ist vermeidbar.

KRITIS Fristen und Bußgelder

Das KRITIS-Dachgesetz tritt schrittweise in Kraft. Die wichtigsten Daten 2026 im Überblick:

• Q2 2026: Erste Risikoanalyse beim BBK einreichen
• Q4 2026: Resilienzmaßnahmen umgesetzt und dokumentiert
• 2027 fortlaufend: Vorfallsmeldepflicht greift, Audits durch BBK beginnen
• Alle 2 Jahre: Aktualisierung der Risikoanalyse
• Alle 3 Jahre: Übungen zu Notfall- und Wiederanlaufkonzepten

Bußgelder sind drastisch: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Wert höher ist. Geschäftsführungen können persönlich haftbar gemacht werden. Bei systematischen Verstößen droht zusätzlich der Verlust der Betriebserlaubnis.

Umsetzung in 90 Tagen: Roadmap

Wer 2026 mit der Umsetzung beginnt, kann in 90 Tagen einen tragfähigen Stand erreichen. Folgender Fahrplan hat sich in der Beratung von KRITIS-Betreibern bewährt:

Tag 1 bis 10: Bestandsaufnahme

Inventur aller Standorte, Anlagen, Zulieferer. Identifikation der KRITIS-Schwellenwerte, Benennung des Resilienzbeauftragten, erste Stakeholder-Workshops.

Tag 11 bis 30: Risiko- und Gefährdungsanalyse

Strukturierte Bewertung von Naturgefahren, technischen Risiken, Sabotage, Spionage und Drohnenbedrohung. Ergebnis ist ein priorisiertes Maßnahmenregister.

Tag 31 bis 60: Quick Wins umsetzen

Schnell umsetzbare Maßnahmen: Verbesserung der Zugangskontrolle, Aktualisierung der Notfallpläne, Einführung einer 24-Stunden-Meldekette, Pilotprojekt zur Drohnendetektion an einem Standort. Wir empfehlen, parallel den Werkschutz an die neuen Aufgaben anzupassen, mehr dazu im Beitrag Wachschutz in Logistikzentren.

Tag 61 bis 90: Architektur und Audit-Vorbereitung

Aufbau eines Lagebild-Systems, Sensor-Roll-out, Schulung des Personals, Generalprobe für Vorfallsmeldewege. Am Ende steht ein dokumentierter Stand, der einem ersten BBK-Audit standhält.

Fazit

Das KRITIS-Dachgesetz ändert die Spielregeln für rund 4.500 Betreiber kritischer Infrastruktur in Deutschland. 2026 wird zum Jahr der Umsetzung, denn ab Q4 müssen Resilienzmaßnahmen dokumentiert sein und ab 2027 beginnen die Audits. Wer früh startet, vermeidet Eilprojekte mit hohen Kosten und schließt zugleich Lücken in der eigenen Verteidigung gegen Drohnen, Sabotage und hybride Angriffe.

Security Airline begleitet KRITIS-Betreiber von der Risikoanalyse bis zum 24/7-Betrieb der Drohnendetektion. Der Mini-Drohnenwall, den wir mit RF-Sensorik, Radar, autonomen Drohnen aus dem System Arrow-401 und einer VdS-Leitstelle realisieren, ist KRITIS-konform und auditfähig.

Nächste Schritte

Sind Sie KRITIS-Betreiber und wollen 2026 sauber durch das Audit kommen?

Security Airline liefert eine KRITIS-konforme Risikoanalyse, ein passgenaues Schutzkonzept gegen Drohnen und einen Umsetzungsplan, der zu Ihren Fristen passt.

• Risiko- und Gefährdungsanalyse nach §6 KRITIS-DachG
• Drohnendetektion und DFR-System nach Stand der Technik
• Anbindung an VdS-zertifizierte Leitstelle
• Audit-Vorbereitung und Dokumentationspaket

Kontakt: +49 30 921 046 38   |   KRITIS-Beratung anfragen

‍