Nachdem die Ampelregierung sowohl bei der Umsetzung der NIS-2-Richtlinie als auch beim KRITIS-Dachgesetz zur Umsetzung der CER-Richtlinie ins Stocken geraten war, liegt nun ein neuer Referentenentwurf zum KRITIS-DG vom 27.08.2025 vor. Für die Wirtschaft ändert sich allerdings wenig. Zunächst müssen eine nationale KRITIS-Resilienzstrategie sowie eine Risikoanalyse durch die zuständigen Behörden erstellt werden. Beides ist erstmals bis zum 17.01.2026 vorzulegen – ein äußerst ambitionierter Zeitplan.
Auf dieser Grundlage müssen Betreiber kritischer Anlagen mindestens alle vier Jahre eigene Risikoanalysen durchführen. Welche Betreiber betroffen sind, soll per Rechtsverordnung festgelegt werden. Die Schwellenwerte orientieren sich wie schon aus den IT-Sicherheitsgesetzen bekannt an 500.000 versorgten Personen. Grundsätzlich ist eine einheitliche Rechtsverordnung vorgesehen, die sowohl für das KRITIS-DG als auch für das NIS2UmsuCG gilt. Vorgaben dafür können durch das BMI bzw. das BBK per Verordnung erlassen werden.
Betreiber müssen zudem einen Resilienzplan erstellen, der Maßnahmen zur Notfallvorsorge umfasst und Mindestanforderungen umsetzt. Vorlagen dafür soll das BBK bis Januar 2026 bereitstellen. Eine spezielle Nachweisprüfung ist nicht vorgesehen, das BBK kann jedoch Prüfnachweise nach § 39 BSIG-E einsehen und so die Umsetzung kontrollieren.
Geschäftsleitungen sind verpflichtet, geeignete Resilienzmaßnahmen umzusetzen und haften bei schuldhaft verursachten Schäden. Eine Schulungspflicht – wie im NIS2UmsuCG – gibt es hingegen nicht. Bei Verstößen drohen Bußgelder von bis zu 500.000 Euro.
Darüber hinaus sieht der Entwurf Änderungen am EnWG vor. So kann die BNetzA künftig einen IT-SiKat festlegen, den betroffene Betreiber im Energiesektor umsetzen und ggf. zertifizieren lassen müssen. Zudem sind Stichprobenprüfungen möglich.
Insgesamt bleiben die wirtschaftsbezogenen Regelungen weitgehend unverändert. Auffällig ist vor allem der enge Zeitplan: Bereits bis Januar 2026 sollen eine Resilienzstrategie und eine erste Risikoanalyse vorliegen – vorausgesetzt, das Gesetz tritt rechtzeitig in Kraft.