Flyout Menu

News

Vom Referenten- zum Regierungsentwurf: Was sich im KRITIS-Dachgesetz geändert hat

Mit dem finalen Regierungsentwurf zum KRITIS-Dachgesetz konkretisiert die Bundesregierung die nationale Umsetzung der EU-CER-Richtlinie. Während die wirtschaftsbezogenen Anforderungen weitgehend unverändert bleiben, enthält der am 10.09.2025 beschlossene Entwurf gegenüber dem Referentenentwurf vom 27. August 2025 einige relevante Anpassungen.

 

Zeitplan bleibt ehrgeizig

Unverändert bleibt der ambitionierte Zeitrahmen: Bis zum 17. Januar 2026 müssen die zuständigen Behörden eine nationale KRITIS-Resilienzstrategie sowie eine Risikoanalyse vorlegen. Diese bilden die Grundlage für die Pflichten der Betreiber kritischer Anlagen, die künftig mindestens alle vier Jahre eigene Risikoanalysen durchführen müssen.

 

Änderungen im finalen Entwurf vom 10.09.2025

  1. Zuständigkeit im Sektor Weltraum: Die Anlaufstelle wurde geändert: Statt dem Bundesamt für Wirtschaft und Ausfuhrkontrolle ist nun das Bundesministerium für Forschung, Technologie und Weltraum zuständig.
  2. Erweiterte Ausnahmeregelungen (§4 Abs. 2): Die Liste der Ausnahmen wurde um die Paragraphen 14 und 15 ergänzt. §24 ist hingegen nicht mehr als Ausnahme aufgeführt.
  3. Registrierung kritischer Anlagen (§8 Abs. 1 Nr. 2): Betreiber müssen künftig nur noch die öffentlichen IP-Bereiche der kritischen Anlagen angeben – nicht mehr alle öffentlichen IP-Bereiche des Unternehmens.
  4. Erreichbarkeit der Kontaktstelle (§8 Abs. 1 Nr. 6): Die Kontaktstelle muss nicht mehr jederzeit erreichbar sein. Diese Änderung reduziert den organisatorischen Aufwand für Betreiber.

 

Weitere Pflichten für Betreiber

  • Erstellung eines Resilienzplans mit Maßnahmen zur Notfallvorsorge. Vorlagen sollen bis Januar 2026 vom BBK bereitgestellt werden.
  • Keine spezielle Nachweisprüfung vorgesehen, aber das BBK kann Prüfnachweise nach §39 BSIG-E einsehen.
  • Geschäftsleitungen haften bei schuldhaft verursachten Schäden. Eine Schulungspflicht wie im NIS2UmsuCG besteht nicht.
  • Bußgelder bis zu 500.000 Euro bei Verstößen.

 

Änderungen am EnWG

Die Bundesnetzagentur erhält die Möglichkeit, einen IT-Sicherheitskatalog (IT-SiKat) für den Energiesektor festzulegen. Betreiber müssen diesen umsetzen und ggf. zertifizieren lassen. Stichprobenprüfungen sind ebenfalls vorgesehen.

 

Fazit: Der finale Entwurf bringt punktuelle Klarstellungen, insbesondere bei Zuständigkeiten und technischen Meldepflichten. Die wirtschaftlichen Kernanforderungen bleiben bestehen, der Zeitplan bis Januar 2026 bleibt ambitioniert. Unternehmen sollten frühzeitig mit der internen Umsetzung beginnen und die neuen Details im Blick behalten.

Zur Newsübersicht