Das KRITIS-Dachgesetz ist in aller Munde. Besonders Krankenhäuser und andere Einrichtungen des Gesundheitswesens fragen sich: Bin ich betroffen? Und was genau unterscheidet dieses neue Gesetz von der bekannten NIS-2-Umsetzung?
Das Gegenstück zur NIS-2
Das KRITIS-Dachgesetz (KRITISDachG) setzt die EU-Richtlinie 2022/2557 um, die sogenannte Richtlinie über die Resilienz kritischer Einrichtungen (CER).
Während die NIS-2-Richtlinie (EU) 2022/2555 den Fokus auf Cybersicherheit legt, konzentriert sich das KRITISDachG auf die physische Resilienz kritischer Anlagen.
Anders gesagt:
- NIS-2 / BSIG-E → Schutz vor digitalen Risiken (Cyberangriffe, IT-Ausfälle).
- KRITIS-DachG / CER → Schutz vor physischen Risiken (Naturkatastrophen, Stromausfälle, Sabotage).
Beide Gesetze ergänzen sich und schaffen ein zweistufiges Sicherheitsregime – digital und physisch.
Vereinheitlichung der Betreiberbestimmung
Ein zentrales Ziel des KRITISDachG ist die Kohärenz mit der Cybersicherheitsgesetzgebung.
Im Regierungsentwurf heißt es ausdrücklich:
„Um die Kohärenz kritischer Anlagen im Sinne des BSIG und des KRITISDachG zu gewährleisten, werden Betreiber kritischer Anlagen künftig nur noch durch das KRITIS-Dachgesetz und die dazugehörige Rechtsverordnung bestimmt.“
Damit löst das KRITISDachG die bisherige BSI-Kritisverordnung (KritisV) als Grundlage der Betreiberbestimmung schrittweise ab.
Künftig sollen alle Betreiber kritischer Anlagen über eine einheitliche Rechtsverordnung nach dem KRITIS-DachG definiert werden.
Die dazugehörige Ermächtigungsnorm findet sich im Gesetzestext selbst:
„Die Bundesregierung wird ermächtigt, durch Rechtsverordnung […] die kritischen Anlagen näher zu bestimmen, insbesondere durch Festlegung der Sektoren, kritischen Dienstleistungen, Anlagenkategorien und Schwellenwerte.“
Damit wird klar: Die Definition kritischer Anlagen liegt künftig im Verantwortungsbereich des BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) und des BMI, nicht mehr allein beim BSI.
Geltungsbereich und Schwellenwerte
Der Geltungsbereich des KRITISDachG ist enger als der des NIS-2-Umsetzungsgesetzes.
Es kann also vorkommen, dass eine Einrichtung nach NIS-2 als „besonders wichtig“ gilt, aber nicht unter das KRITISDachG fällt.
Entscheidend sind die Schwellenwerte:
Der Referentenentwurf legt einen Regelwert von 500 000 zu versorgenden Einwohnern pro Anlage fest.
Das bedeutet: Nur wer in diesem Umfang kritische Dienstleistungen erbringt, gilt als Betreiber einer kritischen Anlage.
Die konkreten Schwellen, Kategorien von Anlagen und Stichtage werden – analog zur bisherigen KritisV – in einer Rechtsverordnung geregelt. Grundlage sind nationale Risikoanalysen und Bewertungen sektoraler Abhängigkeiten.
Kriterien der Kritikalität
Die Bestimmung, ob eine Anlage kritisch ist, erfolgt nach qualitativen und quantitativen Kriterien.
Sie lassen sich als Leitfragen formulieren:
- Wie viele Anwohner nehmen die von der Anlage erbrachte Dienstleistung wahr?
- Wie abhängig von andere Sektoren oder Branchen von der betreffenden kritischen Dienstleistung?
- Wie wirkt sich der Ausfall der Dienstleistung auf wichtige wirtschaftliche Tätigkeiten, wichtige gesellschaftliche Funktionen, öffentliche Sicherheit und Ordnung, die Gesundheit der Bevölkerung und die Erhaltung von Lebensgrundlagen aus?
- Wie hoch ist der Marktanteil des Betreibers der Anlage auf dem Markt für kritische Dienstleistungen?
- In welchem Umfang beeinflusst ein Ausfall das geographische Gebiet? Gibt es grenzübergreifende Effekte?
- Wie bedeutend ist der Betreiber der Anlage für den Weiterbetrieb der kritischen Dienstleistung? Welche alternativen Mittel sind für die Erbringung der Dienstleistung verfügbar?
Wird der Schwellenwert nicht erreicht, kann das BMI im Einzelfall feststellen, dass eine Einrichtung dennoch kritisch ist.
Umgekehrt kann es auch feststellen, dass eine Einrichtung trotz Überschreitung des Schwellenwerts nicht als kritisch einzustufen ist.
In beiden Fällen ist das BBK die zuständige Behörde und kommuniziert die Entscheidung oder fordert zur Registrierung auf.
Der All-Gefahren–Ansatz: Was das KRITISDachG fordert
Im Zentrum des Gesetzes steht der All-Gefahren-Ansatz:
Betreiber müssen alle denkbaren Risiken berücksichtigen – von Naturkatastrophen über Sabotage bis hin zu Lieferkettenausfällen.
Sie sind verpflichtet,
- Risikoanalysen durchzuführen,
- Resilienzpläne zu erstellen,
- Vorfälle physischer Art zu melden,
- und gegebenenfalls Abhilfemaßnahmen zu dokumentieren
Damit wird das Resilienzmanagement erstmals auf rechtlich verbindliche Beine gestellt – mit einer klaren behördlichen Zuständigkeit beim BBK.
Fazit
Das KRITIS-Dachgesetz ist der physische Zwilling der NIS-2-Umsetzung.
Während NIS-2 für digitale Resilienz sorgt, regelt das Dachgesetz die bauliche, organisatorische und operative Widerstandsfähigkeit kritischer Anlagen.
Wer Einrichtungen wie Krankenhäuser, Energieversorger oder Wasserwerke betreibt, sollte frühzeitig prüfen:
- Wie relevant ist meine Anlage für die Versorgung?
- Welche Abhängigkeiten bestehen?
- Wie steht es um meine physische und organisatorische Resilienz?
Denn sobald die begleitende Rechtsverordnung erscheint, wird die Einordnung verbindlich – und mit ihr umfangreiche Melde-, Nachweis- und Schutzpflichten.
Weiterführend:
Eine Übersicht der empfohlenen Maßnahmen hat OpenKRITIS veröffentlicht: Maßnahmen KRITISDachG