2. Politik
  3. Kritis-Dachgesetz: Mehr Schutz, neue Pflichten
Der Bundestag macht den Weg für das KRITIS-Dachgesetz frei
Der Bundestag macht den Weg für das Kritis-Dachgesetz frei.
© Adobe Stock

Kritische Infrastruktur

Kritis-Dachgesetz: Mehr Schutz, neue Pflichten

von Gudrun Mallwitz
Chefreporterin | KOMMUNAL
30. Januar 2026
Mit dem Kritis-Dachgesetz sollen sogenannte kritische Infrastrukturen in Deutschland besser geschützt werden. Für Städte, Gemeinden und kommunale Unternehmen ist das Gesetz besonders relevant, denn viele der betroffenen Bereiche liegen direkt in kommunaler Verantwortung. Ein Überblick, was beschlossen wurde, wo Kommunen betroffen sind und was sich bei der Transparenz ändern soll.

Das sogenannte Kritis-Dachgesetz ließ lange auf sich warten. Schon die Ampel-Regierung hatte einen Gesetzesentwurf dazu vorbereitet, er wurde jedoch nicht mehr beschlossen.  Mit dem neuen Gesetz setzt der Bund die EU-Richtlinie zur Resilienz kritischer Einrichtungen in deutsches Recht um. Zum ersten Mal werden kritische Infrastrukturen sektorenübergreifend und bundeseinheitlich betrachtet. Es geht um Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum sowie Staat und Verwaltung. Gerade für Kommunen ist das Gesetz wichtig. Denn kritische Infrastruktur ist nicht nur Strom und Internet, sondern reicht von der Wasserversorgung über die Abfallentsorgung bis hin zu Verwaltungsleistungen. 

Wer gilt als kritisch – und wer nicht?

Eine zentrale Frage für Städte und Gemeinden lautet: Fallen wir überhaupt unter das neue Gesetz? Das KRITIS-Dachgesetz setzt hier einen bundesweiten Schwellenwert. Eine Anlage oder Einrichtung gilt dann als kritisch, wenn sie essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Menschen versorgt. Damit zielt das Gesetz zunächst vor allem auf große Betreiber wie überregionale Energieversorger, große Verkehrsunternehmen oder zentrale Gesundheitseinrichtungen. Was heißt das dann aber für kleinere Krankenhäuser zum Beispiel?

Streit um Schwellenwert

Der Schwellenwert ist hochumstritten. Der Deutsche Städtetag sowie der Bundesrat kritisieren, dass ein Großteil der Bevölkerung von Einrichtungen versorgt wird, die unterhalb dieser Grenze liegen. Ihre Forderung: Auch kleinere und mittlere kommunale Betreiber sollten in den Blick genommen werden, etwa durch einen niedrigeren Schwellenwert von 150.000 versorgten Personen. Der Bund hält zwar am Grundwert von 500.000 fest, hat im parlamentarischen Verfahren aber nachgebessert. Eine Rechtsverordnung soll nun die Kriterien konkretisieren. Es gebe zwar eine Öffnungsklausel im Entwurf, sagte der Hauptgeschäftsführer des Städtetags, Christian Schuchardt. Doch letztlich liege es an den Ländern, zusätzliche Anlagen unterhalb des Schwellenwerts zu definieren. Er befürchte einen Flickenteppich mit unterschiedlichen Regelungen.

Neu ist: Wenn eine Einrichtung als kritische Infrastruktur eingestuft wird, muss der Betreiber sie beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) melden. Sie müssen dann bestimmte Sicherheitsmaßnahmen treffen. Welche das sind, steht nicht im Gesetz.

Mehr Spielraum für Länder – und damit für Kommunen

Eine wichtige Änderung betrifft die Rolle der Länder. Sie erhalten künftig die Möglichkeit, weitere kritische Anlagen zu identifizieren, wenn diese Dienstleistungen betreffen, die ausschließlich in ihrer Zuständigkeit liegen. Das eröffnet Spielräume, um auch kommunale Einrichtungen unterhalb des bundeseinheitlichen Schwellenwertes als kritisch einzustufen – etwa bei Wasser, Abwasser oder Abfallentsorgung mit hoher regionaler Bedeutung.

Die konkreten Kriterien und Verfahren soll das Bundesinnenministerium per Rechtsverordnung festlegen, die der Zustimmung des Bundesrates bedarf. Für Kommunen heißt das: Auch wenn man formal nicht automatisch unter das Gesetz fällt, kann eine Einstufung über Landesrecht durchaus realistisch werden.

Mindeststandards für den Schutz – erstmals auch physisch

Für viele Betreiber besonders relevant ist der Fokus auf den physischen Schutz kritischer Infrastrukturen. Bislang stand vor allem die IT-Sicherheit im Vordergrund. Nun werden bundeseinheitliche, sektorübergreifende Mindestanforderungen eingeführt, die alle denkbaren Risiken berücksichtigen sollen.

Betreiber müssen eigene Resilienzpläne erstellen

Das Gesetz folgt dabei einem sogenannten All-Gefahren-Ansatz. Jedes denkbare Risiko muss berücksichtigt werden. Berücksichtigt werden müssen nicht nur Cyberangriffe, sondern auch Naturkatastrophen, technische Störungen, Sabotage, Terroranschläge oder menschliches Versagen. Betreiber müssen auf dieser Grundlage eigene Resilienzpläne erstellen und mindestens alle vier Jahre eine Risikobewertung durchführen.

Mögliche Maßnahmen: die Einrichtung von Notfall- und Krisenteams, Schulungen für Beschäftigte, verstärkter Objektschutz, Vorkehrungen für Notstrom und Kommunikation sowie Konzepte zur Ausfallsicherheit und Ersatzversorgung. Grundlage dafür sind staatliche Risikoanalysen, die den Betreibern zur Verfügung gestellt werden, ergänzt durch eigene Bewertungen.

Meldepflichten und Störungsmonitoring

Kommt es zu Vorfällen, wird die Meldung Pflicht. Betreiber kritischer Infrastrukturen müssen Störungen künftig über ein zentrales Onlineportal melden, das vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie vom Bundesamt für Sicherheit in der Informationstechnik betrieben wird. "Unverzüglich, spätestens 24 Stunden nach Kenntnis".

Ziel ist ein bundesweites Störungsmonitoring, aus dem Schwachstellen schneller erkannt und Sicherheitslücken geschlossen werden können. Für kommunale Betreiber bedeutet das: klare Meldeketten, abgestimmte Zuständigkeiten und eine saubere Dokumentation werden deutlich wichtiger.

Verknüpfung mit Cybersicherheit und schnelle Evaluierung

Das Kritis-Dachgesetz ergänzt das bereits beschlossene NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Physische Sicherheit und IT-Sicherheit sollen künftig stärker zusammen gedacht werden. Gleichzeitig hat der Gesetzgeber festgelegt, dass das Gesetz bereits nach zwei Jahren evaluiert wird – und nicht erst nach fünf. Auch Fragen möglicher Transparenzpflichten für Betreiber sollen dabei geprüft werden.

Weniger Transparenz soll kritische Infrastruktur schützen

Nach dem Anschlag mit weitreichenden Folgen auf das Berliner Stromnetz wurde der Ruf nach weniger Transparenz immer laut. Das Gesetz sieht nun weniger öffentliche Informationen über kritische Infrastruktur vor. Während es früher ein wichtiges Anliegen war, eine möglichst große Transparenz für die Bevölkerung, Betriebe und Institutionen herzustellen, muss heute angesichts der ernsten Bedrohungslage der potenzielle Missbrauch solcher Informationen mitgedacht werden, so die Begründung.  Bei Bauvorhaben sollte bisher durch Transparenz verhindert werden, dass Leitungen beschädigt werden. Nun sollen die Transparenzpflichten überprüft und beschränkt werden.

Hier finden Sie alle Dokumente zum Gesetz zur Stärkung kritischer Infrastruktur.

Die Schweiz hat mehr Bunkerplätze als Einwohner - in Deutschland stehen nur wenige Tausend Plätze wirklich zur Verfügung

Zivilschutz in Deutschland: Schutzlos im Ernstfall

Bunker, Sirenen, Schutzräume: Deutschland ist auf Krisen kaum vorbereitet. Warum Kommunen beim Zivilschutz allein gelassen werden – und was jetzt passieren muss.
MEHR

Immer häufiger kommt es zu IT-Angriffen.

Daten aus Gemeindeverwaltung im Darknet

Monate nach einem Cyberangriff zeigt sich das ganze Ausmaß: Hochsensible Bürgerdaten aus Untereisesheim tauchen im Darknet auf.
MEHR

Auch von Gudrun Mallwitz

Lesen Sie auch...

Neuester Inhalt

Schlagwörter

ZURÜCK ZUR STARTSEITE