Der erste Referentenentwurf des Bundesministeriums des Innern (BMI) für das KRITIS-Dachgesetz wurde sowohl von Wirtschaftsverbänden als auch der Gesellschaft scharf kritisiert. Darauf reagierte das BMI Ende 2023 mit der Veröffentlichung eines neuen, stark überarbeiteten Referentenentwurfs, mit dem die CER-Richtlinie der EU umgesetzt und kritische Infrastrukturen besser vor analogen Gefahren geschützt werden sollen. In dem neuen Entwurf wurden viele Kritikpunkte an der ersten Version aufgegriffen. Bis Ende Januar konnte nun erneut Stellung bezogen werden, woraus sich inzwischen ein deutlich positiveres Urteil abzeichnet, als es noch bei der Vorgängerversion der Fall war.
Grundsätzlich positiv aufgenommen wurde unter anderem die Entscheidung, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) nicht mehr als alleinige zentrale Aufsichtsbehörde einzusetzen. Stattdessen sollen neben dem BBK verschiedene Bundes- und Landesbehörden wie die Bundesnetzagentur (BNetzA), die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sektorspezifische Aufgaben übernehmen. Dies wird zwar einerseits als Erleichterung wahrgenommen, jedoch befürchten Wirtschaftsverbände andererseits ein Zuständigkeitswirrwarr, welches zu Doppelregulierungen und Mehraufwänden führen könnte.
Zudem warnen einige Verbände davor, Betreiber kritischer Infrastrukturen mit der Umsetzung der Anforderungen des KRITIS-Dachgesetzes zu überfordern. Der Verband Deutscher Verkehrsunternehmen (VDV) kritisiert unter anderem unverhältnismäßige Maßnahmen, die im schlimmsten Fall zur Stilllegung ganzer Anlagen führen könne, da die Umsetzung der geforderten Maßnahmen keinesfalls wirtschaftlich sei.
Hinzu kommt eine mangelnde Harmonisierung der Anforderungen des KRITIS-Dachgesetz mit denen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), mit welchem parallel die Vorgaben bezüglich der IT-Sicherheit in wichtigen Einrichtungen und kritischen Infrastrukturen an EU-Recht angepasst werden sollen. Da dieses bislang aber nicht vorliegt, sind die Auswirkungen des KRITIS-Dachgesetzes, unter anderem in Bezug auf konkrete Anwendungsbereiche und die Rollenverteilung der Aufsichtsbehörden, noch nicht absehbar. Schon jetzt bestehen jedoch einige Inkonsistenzen zwischen den beiden Gesetzen, wie etwa uneinheitlich definierte Begriffe oder widersprüchliche Pflichten. Wirtschaftsverbände fordern daher ein gemeinsames Gesetzgebungsverfahren. Um die von der EU vorgegebenen Fristen einzuhalten, müssen beide Gesetze bis Oktober 2024 in Kraft treten. Bislang hat das BMI für das NIS2UmsuCG lediglich ein Diskussionspapier veröffentlicht, jedoch wird hierfür derzeit ein neuer, vollständiger Referentenentwurf erwartet, der im Januar 2024 an die Ressorts verteilt wurde und in Kürze in die Verbände- und Länderbeteiligung gehen soll.