Skip to main navigation Skip to main content Skip to page footer
d3-Werk – Datenschutz, ISO 27001 & Cloud Security d3-Werk – Datenschutz, ISO 27001 & Cloud Security

KRITIS-Dachgesetz + NIS2: Willkommen in der Realität der „integrierten Resilienz“

Man kann es positiv formulieren: Deutschland macht ernst mit der Resilienz kritischer Infrastrukturen.
Man kann es aber auch ehrlicher formulieren: Für viele Organisationen kommt jetzt die nächste Regulierungswelle – und diesmal nicht nur digital, sondern auch physisch.

Mit dem neuen KRITIS-Dachgesetz wird klar: Resilienz heißt eben nicht mehr nur Firewall, SOC und Incident Response. Resilienz heißt jetzt auch Objektschutz, Notstrom, alternative Lieferketten, Krisenabläufe, Übungen und die Frage, ob der Betrieb nach einem Vorfall überhaupt noch weiterlaufen kann. Genau das verlangt das Gesetz mit Risikoanalyse, Resilienzplan, Maßnahmenkatalog und Meldepflichten.

Was ändert sich konkret?

Kurz gesagt: Betreiber kritischer Anlagen müssen sich auf ein deutlich breiteres Pflichtenprogramm einstellen.

Dazu gehören unter anderem:

  • Registrierungspflichten beim BBK über eine gemeinsam mit dem BSI eingerichtete Registrierungsmöglichkeit,
  • regelmäßige Risikoanalysen und Risikobewertungen,
  • Resilienzmaßnahmen zum Schutz vor Ausfällen, Sabotage, Störungen und anderen Vorfällen,
  • ein Resilienzplan, der Maßnahmen, Begründungen und Bezug zur Risikoanalyse dokumentiert,
  • Meldepflichten für Vorfälle innerhalb von 24 Stunden,
  • und eine klare Verantwortung der Geschäftsleitung für die Umsetzung. 

Besonders relevant: Das Gesetz arbeitet ausdrücklich mit einem Mix aus technischen, organisatorischen und physischen Maßnahmen. Es nennt zum Beispiel Notfallvorsorge, Zugangskontrollen, Umfeldüberwachung, Detektionsgeräte, Notstromversorgung, alternative Lieferketten, Sicherheitsmanagement für Mitarbeitende sowie Schulungen und Übungen. Das ist kein kleines Update. Das ist ein Perspektivwechsel.

Und was hat das mit NIS2 zu tun?

Eine Menge.

NIS2 hat die Messlatte für Cybersicherheit in Deutschland bereits deutlich höher gelegt. Mehr Unternehmen und Branchen fallen in die Regulierung, die Anforderungen an Risikomanagement und Meldungen sind strenger, und Cybersicherheit ist ausdrücklich Sache der Leitungsebene. Das BSI beschreibt NIS2 selbst als „Chefinnen- und Chefsache“.

Das KRITIS-Dachgesetz setzt jetzt daneben die zweite Hälfte: physische Resilienz.
Oder anders gesagt:

NIS2 fragt: Wie gut schützt ihr eure Systeme, Netze, Daten und digitalen Prozesse?
KRITIS-Dachgesetz fragt: Wie gut schützt ihr euren realen Betrieb, eure Standorte, eure Versorgung und eure Betriebsfähigkeit?

Der eigentliche Impact entsteht also nicht dadurch, dass zwei Gesetze nebeneinander existieren.
Der Impact entsteht dadurch, dass Unternehmen jetzt beides gleichzeitig denken und organisieren müssen.

Das ist die gute Nachricht:
Silo-Sicherheit funktioniert ohnehin nicht mehr. Wer Cyber und physische Sicherheit getrennt betrachtet, verteidigt 2026 die falsche Realität.

Das ist die weniger gute Nachricht:
Der regulatorische Aufwand steigt spürbar. Und zwar nicht linear, sondern organisatorisch.

Was ich daran kritisch sehe

So sinnvoll der Ansatz ist: Das Gesetz bringt auch ein paar sehr reale Herausforderungen mit.

1. Mehr Resilienz, aber auch mehr Komplexität
Viele Anforderungen klingen vernünftig. Das Problem ist nur: Vernünftige Anforderungen werden schnell teuer, wenn mehrere Behörden, Meldewege, Nachweise, Standards und Prüflogiken parallel laufen. Genau hier droht Übersetzungsarbeit ohne Ende – zwischen Security, BCM, Facility, OT, Einkauf, Recht, Compliance und Geschäftsleitung.

2. Die Details kommen teilweise erst noch
Das Gesetz legt vieles an, verweist aber an mehreren Stellen auf nachgelagerte Rechtsverordnungen, Mindestanforderungen und branchenspezifische Standards. Heißt in der Praxis: Man kennt die Richtung, aber nicht überall schon die endgültige Flughöhe. Für Unternehmen ist das unschön, weil man dennoch schon Budget, Zuständigkeiten und Roadmaps planen muss.

3. Doppelarbeit ist kein theoretisches Risiko, sondern ein Betriebsmodell – wenn man nicht gegensteuert
Immerhin: Das Gesetz sieht vor, dass bestehende Risikoanalysen, Dokumente, Maßnahmen und Zertifikate aus anderen Verpflichtungen herangezogen werden können; außerdem können andere öffentlich-rechtliche Pflichten als gleichwertig anerkannt werden. Das ist wichtig. Ohne solche Brücken würden NIS2, KRITIS, DORA und sektorale Spezialregeln schnell zur administrativen Mehrfachbelastung.

4. Leitungshaftung und Bußgelder machen das Thema endgültig zur Vorstandssache
Das Gesetz adressiert ausdrücklich die Geschäftsleitung. Gleichzeitig sind Bußgelder vorgesehen, je nach Verstoß bis in den siebenstelligen Bereich. Spätestens damit endet die Phase, in der man Resilienz als reines Technik- oder Sicherheitsthema wegdelegieren konnte.

Wo NIS2 und KRITIS-Dachgesetz sinnvoll zusammenwachsen

Mit gesundem Menschenverstand sollte jetzt niemand zwei parallele Welten bauen.

Nicht:

  • ein Cyber-Risikoregister für NIS2,
  • ein physisches Risikoregister für KRITIS,
  • ein Meldeprozess hier,
  • ein anderer dort,
  • und drei Gremien, die alle etwas Ähnliches besprechen.

Sondern:

  • ein integriertes Resilienz- und Risikomodell,
  • eine Governance, die Cyber, physische Sicherheit, BCM und Krisenmanagement zusammenführt,
  • eine gemeinsame Sicht auf kritische Services,
  • ein Management-Reporting, das nicht nur hübsch aussieht, sondern handlungsfähig macht.

Genau dort liegt übrigens auch der strategische Mehrwert von NIS2: NIS2 zwingt Organisationen bereits zu mehr Struktur, Verantwortlichkeit und Management-Aufmerksamkeit. Das KRITIS-Dachgesetz erweitert diese Logik auf die physische Welt. Wer NIS2 sauber aufgebaut hat, startet beim KRITIS-Thema also nicht bei null. Die Architektur dafür ist oft schon teilweise vorhanden. 

Mein Fazit

Das KRITIS-Dachgesetz ist kein „nice to have“ und auch kein juristisches Randthema. Es ist ein klares Signal:
Resilienz wird ganzheitlich.

Das ist grundsätzlich richtig.
Denn echte Krisen unterscheiden nicht zwischen digital und physisch.

Aber: Gute Regulierung zeigt sich nicht nur daran, dass sie Anforderungen formuliert.
Sie zeigt sich auch daran, ob Unternehmen daraus wirksam, verhältnismäßig und ohne regulatorischen Leerlauf umsetzen können.

Die entscheidende Frage für 2026 ist deshalb nicht:
„Haben wir NIS2 und KRITIS verstanden?“

Sondern eher:
„Kriegen wir daraus ein funktionierendes Betriebsmodell – oder nur noch mehr Excel, Gremien und PowerPoint?“

Und wie immer gilt:
Bitte alles mit gesundem Menschenverstand.
Nicht jede Pflicht braucht ein neues Tool.
Nicht jedes Risiko braucht 40 Seiten.
Und nicht jede Regulierung wird besser, wenn man sie in fünf Silos organisiert.

Zurück