Physische Resilienz: Die neue Compliance-Säule für das Top-Management
Nach langer politischer Stille herrscht nun Hochdruck: Mit der aktuellen Verabschiedung des KRITIS-Dachgesetzes (KRITIS-DachG) durch den Bundestag, vollzieht Deutschland einen entscheidenden Paradigmenwechsel in der nationalen Sicherheitsarchitektur. Nachdem das Gesetz seit 2023 kaum verändert wurde, haben die Regierungsfraktionen nun umfassende Nachbesserungen vorgenommen, die den Druck auf Unternehmen massiv erhöhen.
Mit der Umsetzung der europäischen CER-Richtlinie wird physische Resilienz erstmals zu einer umfassenden gesetzlichen Pflicht für die Geschäftsleitung. Wer die strategische Vorbereitung vernachlässigt, riskiert nicht nur die Versorgungssicherheit, sondern sieht sich drastischen Bußgeldern und einer persönlichen Haftung gegenüber.
Strategisches Briefing: Das Fundament des KRITIS-DachG
1. Der „All-Gefahren-Ansatz“ und erweiterte Reichweite Das Gesetz bricht das bisherige Silo-Denken auf. Es geht nicht mehr isoliert um IT-Sicherheit, sondern um den Schutz physischer Anlagen gegen Naturkatastrophen, Terrorismus, Sabotage und Lieferkettenausfälle.
Neu: Die Reichweite wurde signifikant ausgeweitet. Neben dem BMI können nun auch die Bundesländer Betreiber unterhalb der bisherigen Schwellenwerte identifizieren, sofern die Sektoren auf Landesebene reguliert werden. Damit rücken auch mittelständische Versorger und regionale Infrastrukturen direkt in den Fokus der Regulierung.
2. Verbindlicher Zeitplan und neue Meldepflichten Compliance ist ein gestufter Prozess, der mit der Identifizierung als Betreiber durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) beginnt. Die Fristen für die nationale Risikoanalyse wurden zwar angepasst, doch für Betreiber bleibt der Handlungsdruck hoch:
- Registrierung & Komponenten (3 Monate): Spätestens drei Monate nach Identifizierung erfolgt die Registrierung beim BBK. Neu: Bereits hier müssen kritische Komponenten zwingend mitgemeldet werden. Gleichzeitig wurden Definitionen im BSI-Gesetz angeglichen, um eine nahtlose Verzahnung von IT und Physis zu gewährleisten.
- Risikoanalyse (9 Monate): Innerhalb von neun Monaten ist eine umfassende Risikoanalyse vorzulegen, die explizit sektorübergreifende Abhängigkeiten berücksichtigt.
- Resilienzplan & Maßnahmen (10 Monate): Innerhalb von zehn Monaten müssen Schutzmaßnahmen umgesetzt und dokumentiert sein. Für durch Länder bestimmte Betreiber gelten hierbei teilweise gesonderte Nachweispflichten.
3. Optimiertes Meldewesen und Lagebilder Das Meldewesen wurde an die praktischen Anforderungen des BBK angepasst. Neben der 24-Stunden-Frist bei Störungen liegt der Fokus nun verstärkt auf der Weiterleitung von Informationen und der Erstellung präziser Lagebilder, um Kaskadeneffekte in der vernetzten Wirtschaft schneller zu unterbinden.
4. Massive Verschärfung: Haftung und Sanktionen Resilienz ist endgültig zur unübertragbaren Leitungsaufgabe geworden. Die Geschäftsführung ist persönlich verpflichtet, die Maßnahmen umzusetzen und zu überwachen.
- Erhöhte Bußgelder: Der Gesetzgeber hat den Strafrahmen verdoppelt. Verstöße können nun mit Bußgeldern von bis zu 1 Million Euro geahndet werden.
- Aufsicht: Das BBK verfügt über umfassende Kontrollrechte, einschließlich Vor-Ort-Prüfungen und direkten Zutrittsbefugnissen zu Betriebsstätten.
Warum jetzt strategisches Handeln gefordert ist
Das KRITIS-DachG ist kein reines „Checklisten-Gesetz“. Durch die jüngsten Änderungen der Regierungsfraktionen ist klar: Die Zeit der Abwägung ist vorbei. Unternehmen, die jetzt ihre Risikoanalysen professionalisieren und auch die neuen Befugnisse der Länder sowie die Meldepflicht kritischer Komponenten ernst nehmen, sichern sich einen operativen Stabilitätsvorteil.
Mit der heutigen Verabschiedung des Gesetzes durch den Bundestag steht einer Zustimmung durch den Bundesrat am 6. März 2026 nun nichts mehr entgegen. Höchste Zeit für Betroffene Unternehmen aktiv zu werden.
Wie stellt Ihr Unternehmen sicher, dass die Risikoanalyse über die eigene Werksgrenze hinaus auch die neuen sektoralen Anforderungen der Länder korrekt erfasst?
