KRITIS 2025: Was sich durch das KRITIS-Dachgesetz ändern soll

KRITIS im Wandel

Kritische Infrastrukturen sind das Rückgrat moderner Gesellschaften. Ohne funktionierende Energieversorgung, Kommunikationsnetze, Gesundheitsversorgung oder Transportlogistik steht nicht nur der Alltag still – auch staatliche Stabilität und wirtschaftliche Leistungsfähigkeit geraten ins Wanken. Vor diesem Hintergrund nimmt der Schutz dieser lebenswichtigen Systeme seit Jahren an Bedeutung zu.

Mit dem neuen KRITIS-Dachgesetz stellt die Bundesregierung nun die Weichen für eine umfassendere und strukturiertere Absicherung. Der Gesetzentwurf zielt darauf ab, die Resilienz kritischer Anlagen gegen physische Gefahren wie Naturkatastrophen, Sabotage oder Systemausfälle zu stärken – zusätzlich zu den bereits bestehenden Vorgaben zur IT-Sicherheit. Damit setzt Deutschland die europäische Richtlinie (EU) 2022/2557 um, die einen All-Gefahren-Ansatz fordert und erstmals verbindliche Anforderungen an die physische Sicherheit kritischer Einrichtungen formuliert.

Der vorliegende Blog gibt einen Überblick darüber, was sich durch das KRITIS-Dachgesetz ändern soll, wen es betrifft, und was Betreiber kritischer Anlagen jetzt wissen und vorbereiten sollten.

Aktueller Stand bei KRITIS

Der Schutz kritischer Infrastrukturen ist in Deutschland bislang stark durch den Fokus auf IT-Sicherheit geprägt. Mit dem IT-Sicherheitsgesetz, dem BSI-Gesetz (BSIG), branchenspezifischen Regelungen im Energiewirtschaftsgesetz (EnWG) und Telekommunikationsgesetz (TKG) sowie der Umsetzung der ersten NIS-Richtlinie wurden in den vergangenen Jahren bereits wichtige Standards zur Absicherung digitaler Systeme geschaffen. Diese betreffen insbesondere Cyberangriffe, Datenschutz und technische Sicherheitsvorgaben für digitale Prozesse.

Doch gerade physische Gefahren, etwa durch Extremwetter, Sabotageakte oder Ausfälle von Versorgungswegen, blieben dabei vielfach unterreguliert. Zwar existieren in einzelnen Branchen eigene Vorschriften oder sektorale Sicherheitsmaßnahmen, doch eine übergreifende gesetzliche Regelung zur physischen Resilienz fehlte bislang.

Hinzu kommt: Die aktuelle Bedrohungslage hat sich verändert. Die Verwundbarkeit moderner Gesellschaften durch globale Krisen, geopolitische Spannungen oder koordinierte Angriffe auf Infrastruktur wird zunehmend sichtbar. Das macht deutlich: Der Schutz kritischer Anlagen muss umfassender gedacht werden – nicht nur digital, sondern auch strukturell, personell und organisatorisch.

Mit der im Januar 2023 in Kraft getretenen EU-Richtlinie 2022/2557 wurde dieser Handlungsbedarf auch europäisch erkannt. Sie fordert einen ganzheitlichen Sicherheitsansatz, den sogenannten All-Gefahren-Ansatz und verpflichtet die Mitgliedstaaten, diesen bis Oktober 2024 in nationales Recht zu überführen. Genau hier setzt das neue KRITIS-Dachgesetz an.

Warum das KRITIS Dachgesetz?

Mit dem KRITIS-Dachgesetz reagiert die Bundesregierung auf die neue europäische Rechtslage und auf die gestiegene Notwendigkeit, kritische Infrastrukturen umfassender gegen Risiken zu schützen. Während sich bisherige Gesetze wie das BSIG primär auf Cyberrisiken konzentrieren, verfolgt das neue Dachgesetz erstmals einen sektorenübergreifenden Ansatz zum physischen Schutz von Infrastrukturen. Es ergänzt damit bestehende Vorgaben zur IT-Sicherheit und erweitert sie um Resilienzanforderungen gegenüber nicht-digitalen Gefahrenquellen.

Konkret setzt das Gesetz die EU-Richtlinie 2022/2557 um, die einheitliche Mindestverpflichtungen für Betreiber kritischer Einrichtungen in der gesamten Europäischen Union vorsieht. Diese Verpflichtungen umfassen Maßnahmen zur Vorbeugung, Reaktion und Wiederherstellung bei Störungen – also einen vollständigen Resilienzzyklus. Ziel ist es, die Widerstandsfähigkeit gegenüber Naturkatastrophen, Unfällen, Sabotage, kriminellen oder terroristischen Handlungen sowie systemischen Ausfällen deutlich zu erhöhen.

Dabei versteht sich das KRITIS-Dachgesetz ausdrücklich als übergeordnetes Regelwerk („Dach“), das sektorunabhängig gilt. Es schafft die Grundlage für künftige, differenzierte Maßnahmen in einzelnen Branchen, ohne dabei selbst branchenspezifisch zu regulieren. Stattdessen setzt es auf gemeinsame Mindeststandards und klare Prozesse, etwa durch Risikobewertungen, Resilienzpläne und Meldepflichten.

In Kombination mit der Umsetzung der NIS-2-Richtlinie (für die digitale Sicherheit) und anderen EU-Vorgaben wie der DORA-Verordnung (für den Finanzsektor) entsteht so ein ganzheitlicher Schutzansatz. Die Kohärenz zwischen IT-Sicherheit und physischem Schutz steht dabei im Zentrum der Gesetzeslogik – ein Schritt, den viele Experten und Behörden seit Jahren fordern.

Was regelt das KRITIS-Dachgesetz konkret?

Das KRITIS-Dachgesetz schafft erstmals einen bundeseinheitlichen, sektorübergreifenden Rechtsrahmen für den physischen Schutz kritischer Anlagen. Es richtet sich an Betreiber von Infrastrukturen, deren Ausfall erhebliche Auswirkungen auf das Gemeinwesen hätte – etwa im Bereich Energie, Verkehr, Gesundheit oder Kommunikation. Dabei geht es nicht um IT-Sicherheit im engeren Sinne (die bleibt primär im BSIG geregelt), sondern um strukturelle und organisatorische Resilienzmaßnahmen gegen alle denkbaren Gefahrenlagen.

Zu den zentralen Regelungsinhalten gehören:

• Risikobewertung und Resilienzplanung: Betreiber müssen regelmäßig (mindestens alle vier Jahre) Risikoanalysen und Risikobewertungen durchführen (§ 12 KRITIS-DachG). Auf deren Basis ist ein Resilienzplan zu erstellen (§ 13), der geeignete technische, bauliche, organisatorische und personelle Maßnahmen zur Stärkung der Widerstandsfähigkeit umfasst.

• Meldesystem für Vorfälle: Erhebliche Störungen müssen innerhalb von 24 Stunden an eine zentrale Meldestelle gemeldet werden. Diese wird gemeinsam vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) betrieben. Ziel ist eine bessere Lageeinschätzung und Koordination im Krisenfall (§ 18).

• Einheitliche Definition und Registrierung kritischer Anlagen: Künftig soll bundeseinheitlich festgelegt werden, welche Anlagen als „kritisch“ gelten. Grundlage dafür sind unter anderem Schwellenwerte zum Versorgungsgrad (z. B. mehr als 500.000 versorgte Personen). Diese Betreiber müssen sich zentral registrieren (§ 8).

• Resilienzziele und Beispielmaßnahmen: Das Gesetz formuliert keine starren Maßnahmenkataloge, sondern Ziele, die erreicht werden müssen – ergänzt durch eine Übersicht möglicher Maßnahmen (z. B. bauliche Sicherung, Zugangskontrollen, Notstromversorgung, Krisenmanagement). Damit bleibt Raum für brancheindividuelle Lösungen, die zugleich überprüfbar sind (§ 13 Abs. 3).

• Zuständigkeiten und Aufsicht: Die Verantwortung für die Umsetzung und Kontrolle liegt bei verschiedenen Bundes- und Landesbehörden – je nach Sektor (§ 3). Koordiniert wird das Ganze vom BBK als zentraler Anlaufstelle.

Zusammengefasst: Das KRITIS-Dachgesetz regelt das Wie der Resilienz – also Verfahren, Mindeststandards und Zuständigkeiten – ohne sich im Was zu verlieren. Konkrete Anforderungen werden über ergänzende Verordnungen, anerkannte Branchenstandards oder sektorspezifische Maßnahmen der Ministerien ausgearbeitet (§ 14).

Welche Unternehmen sind betroffen?

Das KRITIS-Dachgesetz betrifft nicht alle Unternehmen gleichermaßen, sondern richtet sich gezielt an Betreiber sogenannter kritischer Anlagen. Doch welche Organisationen gehören zur kritischen Infrastruktur?

Eine kritische Anlage ist laut Gesetz jede Einrichtung, deren Ausfall oder Beeinträchtigung erhebliche Folgen für die Versorgungssicherheit oder die öffentliche Ordnung hätte. Die Einstufung erfolgt anhand klarer Kriterien, die durch eine Rechtsverordnung konkretisiert werden sollen. Ein zentrales Merkmal ist dabei der Versorgungsgrad – also die Frage, wie viele Menschen durch eine Anlage direkt versorgt werden. Als grober Richtwert gilt dabei die Zahl von 500.000 versorgten Personen.

Darüber hinaus wird der Kontext berücksichtigt:

• Wie stark sind andere Sektoren von dieser Anlage abhängig?

• Gibt es Alternativen im Falle eines Ausfalls?

• Welche geografische Reichweite hat eine mögliche Störung?

Das Gesetz gilt zunächst für Unternehmen in folgenden zehn Sektoren (§ 4 KRITIS-DachG):

1. Energie

2. Transport und Verkehr

3. Finanzwesen

4. Leistungen der Sozialversicherung und Grundsicherung

5. Gesundheitswesen

6. Wasser

7. Ernährung

8. Informationstechnik und Telekommunikation

9. Weltraum

10. Siedlungsabfallentsorgung

Die Zuordnung zu einem dieser Sektoren erfolgt über die Art der Dienstleistung, nicht über die Unternehmensform. Unternehmen, die über mehrere Standorte verfügen oder grenzüberschreitend tätig sind, müssen alle relevanten Anlagen individuell betrachten.

Besonderes Augenmerk liegt zudem auf sogenannten kritischen Einrichtungen von besonderer Bedeutung für Europa. Das betrifft Unternehmen, die in oder für mindestens sechs EU-Mitgliedstaaten wesentliche Dienstleistungen erbringen. Sie unterliegen zusätzlichen Anforderungen und internationaler Koordination (§ 9–10).

Fristen beachten:

Unternehmen, die unter das Gesetz fallen, müssen sich spätestens bis Juli 2026 registrieren und anschließend innerhalb von neun bis zehn Monaten ihre Pflichten zur Resilienzplanung und Umsetzung erfüllen (§ 8 Abs. 7).

Für viele Unternehmen bedeutet das: Jetzt ist der richtige Zeitpunkt, um zu prüfen, ob das eigene Geschäftsmodell betroffen ist – und welche organisatorischen Weichen gestellt werden müssen.

Neue Pflichten für Betreiber kritischer Anlagen

Mit dem KRITIS-Dachgesetz werden erstmals verbindliche Pflichten für Betreiber kritischer Anlagen im Bereich des physischen Schutzes eingeführt. Ziel ist es, nicht nur auf Vorfälle zu reagieren, sondern Resilienz systematisch zu planen, zu dokumentieren und kontinuierlich zu verbessern. Die zentralen Pflichten im Überblick:

Risikoanalyse und Risikobewertung (§ 12)

Betreiber müssen alle vier Jahre – oder bei Bedarf auch häufiger – eine systematische Analyse der relevanten Risiken durchführen. Dabei sind nicht nur technische oder naturbedingte Gefahren zu betrachten, sondern auch sektorübergreifende Abhängigkeiten, geopolitische Entwicklungen und personelle Risiken. Grundlage hierfür sind die nationalen Risikoanalysen sowie eigene Beobachtungen und Erfahrungswerte.

Erstellung eines Resilienzplans (§ 13)

Auf Basis der Risikoanalyse ist ein Resilienzplan zu erstellen. Dieser muss dokumentieren, welche Maßnahmen zur Verhinderung, Begrenzung und Bewältigung von Vorfällen getroffen wurden. Dazu zählen u. a. bauliche Schutzmaßnahmen, Zugangskontrollen, Notstromversorgung, Krisenreaktionsverfahren und alternative Lieferketten. Der Plan muss regelmäßig aktualisiert werden und nachvollziehbar machen, wie die Maßnahmen zustande gekommen sind.

Schulungen und Personalmaßnahmen

Ein weiterer Schwerpunkt liegt auf dem Faktor Mensch. Das Gesetz verpflichtet Betreiber dazu, Personal – auch externe Dienstleister – gezielt zu schulen und vorzubereiten. Dazu gehören Informationsmaterialien, Übungen und Schulungskonzepte, die auf reale Bedrohungsszenarien abgestimmt sind.

Benennung einer Kontaktstelle und Meldepflichten (§§ 8, 18)

Betreiber müssen eine zentrale Kontaktstelle benennen und erhebliche Vorfälle innerhalb von 24 Stunden melden. Die Meldung erfolgt an eine digitale Plattform, die vom BBK und dem BSI gemeinsam betrieben wird. Ergänzt wird dies durch eine detaillierte Nachberichterstattung innerhalb eines Monats. Ziel ist ein zentralisiertes Frühwarnsystem für den Staat – und der verbesserte Austausch mit anderen Betreibern.

Nachweispflichten und mögliche Kontrollen (§ 16)

Zur Überprüfung der Einhaltung können Behörden Nachweise, Dokumentationen und Audits verlangen. Mängel müssen in einem verbindlichen Maßnahmenplan behoben werden. Die Behörden setzen dabei auf einen risikobasierten Kontrollansatz – je nach Kritikalität und Gefährdungslage.

Diese Pflichten mögen auf den ersten Blick umfangreich erscheinen, bieten aber auch Chancen: Unternehmen, die proaktiv agieren und ihre Resilienz dokumentiert nachweisen können, sind im Krisenfall handlungsfähig – und stärken langfristig ihr Vertrauen bei Kunden, Partnern und Aufsichtsbehörden.

Wie verhält sich das Gesetz zu bestehenden IT-Sicherheitsvorgaben?

Das KRITIS-Dachgesetz ist kein Ersatz, sondern eine Ergänzung zu bestehenden IT-Sicherheitsgesetzen – insbesondere dem BSI-Gesetz (BSIG) und der Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG). Während diese Regelwerke auf die Abwehr von Cyberbedrohungen und die Absicherung digitaler Systeme fokussiert sind, setzt das KRITIS-Dachgesetz einen eigenständigen Schwerpunkt auf physische Resilienz. Es verfolgt den sogenannten All-Gefahren-Ansatz, der sowohl technische als auch strukturelle, personelle und organisatorische Risiken berücksichtigt.

Die Abgrenzung zwischen digitaler und physischer Sicherheit ist in der Praxis allerdings nicht immer eindeutig. Daher sieht das KRITIS-Dachgesetz explizit vor, dass Schnittstellen zwischen IT-Sicherheit und physischem Schutz berücksichtigt und soweit möglich harmonisiert werden (§ 3, § 16 Abs. 1). Beispielsweise soll es nur eine zentrale gemeinsame Meldeplattform geben – sowohl für Vorfälle nach dem BSI-Gesetz als auch nach dem KRITIS-Dachgesetz (§ 18).

Ein weiterer wichtiger Aspekt: Betreiber, die bereits IT-Sicherheitsmaßnahmen gemäß BSIG oder branchenspezifischen Vorschriften (z. B. im Energiebereich) umgesetzt haben, können diese teilweise anrechnen lassen, sofern sie inhaltlich gleichwertig sind (§ 17). Ziel ist es, Doppelregulierungen zu vermeiden und bestehende Strukturen sinnvoll einzubinden.

Zusätzlich stehen die neuen Anforderungen in Wechselwirkung mit weiteren europäischen Regelungen wie:

• DORA-Verordnung (für den Finanzsektor),

• EU-Verordnung 2022/2554 (Digitale operationale Resilienz),

• sowie branchenspezifischen EU-Vorgaben zur Risikoanalyse (z. B. im Energiesektor).

Der Vorteil: Unternehmen, die sich bereits mit der NIS2-Umsetzung beschäftigen, können auf vorhandene Prozesse und Ressourcen zurückgreifen – müssen aber gleichzeitig prüfen, ob der physische Schutz in vergleichbarer Tiefe adressiert ist.

Das Zusammenspiel der Gesetze macht deutlich: Die Trennung zwischen „digital“ und „analog“ in der Resilienzplanung ist nicht mehr zeitgemäß. Gefordert ist ein ganzheitlicher Blick auf Sicherheit und Kontinuität, der alle denkbaren Gefahren berücksichtigt – und genau das soll das Zusammenspiel von KRITIS-Dachgesetz, BSIG und weiteren Regelungen leisten.

Branchenstandards & Umsetzungshilfen

Ein zentrales Merkmal des KRITIS-Dachgesetzes ist seine Offenheit für branchenspezifische Lösungen. Statt für alle Sektoren starre Anforderungen vorzugeben, setzt das Gesetz auf Mindeststandards mit Spielraum für individuelle Anpassung. Dies soll insbesondere kleinen und mittleren Unternehmen ermöglichen, verhältnismäßige Maßnahmen umzusetzen – und gleichzeitig die Besonderheiten einzelner Branchen angemessen berücksichtigen.

Branchenspezifische Resilienzstandards (§ 14 Abs. 2)

Betreiber kritischer Anlagen – oder ihre Branchenverbände – können eigene Resilienzstandards entwickeln, die auf die jeweilige Struktur, Gefährdungslage und wirtschaftliche Realität zugeschnitten sind. Diese Standards müssen dann vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) geprüft und als geeignet anerkannt werden.

Wenn ein solcher branchenspezifischer Standard anerkannt ist, ersetzt er die ansonsten geltenden sektorspezifischen Mindestanforderungen. Das schafft Klarheit und Planungssicherheit für Unternehmen – und fördert gleichzeitig die Eigenverantwortung und Innovationskraft der Wirtschaft.

Unterstützung durch Behörden

Um die Umsetzung zu erleichtern, verpflichtet sich das BBK dazu, Muster und Vorlagen bereitzustellen – etwa für:

• Risikoanalysen und Risikobewertungen,

• Resilienzpläne,

• Schulungsmaßnahmen und

• Meldeverfahren.

Diese Hilfsmittel sollen auf der Website des BBK öffentlich zur Verfügung gestellt werden und dienen insbesondere Unternehmen, die nicht über umfangreiche Sicherheitsstrukturen verfügen, als niedrigschwelliger Einstieg in die Resilienzplanung.

Einheitliches Verfahren, abgestufte Anforderungen

Nicht jedes Unternehmen muss dasselbe leisten. Das Gesetz sieht eine gestufte Regulierung vor: Je nach Kritikalität und Versorgungsgrad gelten differenzierte Anforderungen. Dadurch wird ein ausgewogenes Verhältnis zwischen Sicherheit und wirtschaftlicher Belastbarkeit hergestellt – ein wichtiger Punkt, der auch in der Gesetzesbegründung betont wird.

Harmonisierung mit bestehenden Standards

Wurde in der Vergangenheit bereits ein Sicherheitskonzept nach anderen gesetzlichen Vorgaben (z. B. im Rahmen der IT-Sicherheit oder nach branchenspezifischen Vorschriften) erstellt, können diese ganz oder teilweise angerechnet werden – sofern sie den Anforderungen des KRITIS-Dachgesetzes entsprechen (§ 17). So soll verhindert werden, dass Unternehmen doppelte Arbeit leisten müssen.

Digitale Tools für mehr Resilienz

Um Risikoanalysen, Resilienzpläne, Schulungen und Meldungen effizient umzusetzen, sollten Unternehmen auf geeignete Softwarelösungen setzen. Tools, die GRC-, ISMS– oder BCM-Funktionen integrieren, bieten hier wertvolle Unterstützung – etwa durch strukturierte Workflows, automatische Dokumentation, Reminderfunktionen oder zentrale Nachweisführung. Besonders hilfreich sind Lösungen, die eine Anbindung an Meldeportale ermöglichen oder bereits NIS2– und KRITIS-Anforderungen berücksichtigen.

Chancen & Herausforderungen für Unternehmen

Mit dem KRITIS-Dachgesetz kommt auf viele Unternehmen ein spürbarer Mehraufwand zu. Neue Prozesse müssen aufgebaut, Verantwortlichkeiten geklärt und Strukturen angepasst werden. Gleichzeitig bietet das Gesetz aber auch erhebliche Chancen – für mehr Sicherheit, Resilienz und Vertrauen.

Herausforderungen

• Organisatorischer Aufwand: Die Erstellung von Risikoanalysen, Resilienzplänen und Meldeprozessen erfordert Fachwissen, Zeit und klare interne Zuständigkeiten. Insbesondere kleinere Organisationen ohne eigene Sicherheitsabteilungen stehen hier vor einer spürbaren Umstellung.

• Unklarheit über Zuständigkeiten: In vielen Unternehmen ist bislang nicht geregelt, wer für die physische Sicherheit zuständig ist. Das KRITIS-Dachgesetz zwingt dazu, diese Frage zu klären – etwa in der Geschäftsleitung, im Facility Management oder im betrieblichen Kontinuitätsmanagement.

• Anfängliche Rechtsunsicherheit: Da viele Konkretisierungen erst durch Verordnungen erfolgen, bleibt zunächst offen, welche Anforderungen im Detail gelten werden. Unternehmen müssen daher frühzeitig mit Vorbereitungen beginnen – und flexibel auf weitere Vorgaben reagieren können.

• Kosten: Die Bundesregierung rechnet mit einem einmaligen Gesamtaufwand von bis zu 1,7 Milliarden Euro und einem jährlichen Aufwand von rund 500 Millionen Euro für die deutsche Wirtschaft. Auch wenn das je nach Branche stark variiert, ist klar: Resilienz kostet – nicht nur in der Umsetzung, sondern auch im laufenden Betrieb.

Chancen

• Höhere Ausfallsicherheit: Wer gut vorbereitet ist, kann Vorfälle schneller abfangen und Schäden begrenzen. Das sichert nicht nur den eigenen Betrieb, sondern stabilisiert auch ganze Versorgungsnetze.

• Reputationsgewinn: Kunden, Partner und Behörden schätzen Unternehmen, die Verantwortung für ihre Rolle im Gemeinwesen übernehmen. Ein gut dokumentiertes Resilienzmanagement wird zunehmend zum Vertrauenssignal – auch in der Kommunikation nach außen.

• Vorsprung im Wettbewerb: Unternehmen, die frühzeitig mit der Umsetzung beginnen, können sich als Vorreiter positionieren – und sich im Fall von Ausschreibungen, Zertifizierungen oder Prüfungen besser behaupten.

• Stärkung interner Prozesse: Das Gesetz fördert systematisches Denken in Szenarien, die Bildung interdisziplinärer Teams und eine bessere Dokumentation. Das verbessert die Krisenreaktionsfähigkeit – nicht nur bei Großschadenslagen, sondern auch im Tagesgeschäft.

Fazit: Was Unternehmen jetzt tun sollten

Auch wenn viele Details des KRITIS-Dachgesetzes noch in kommenden Verordnungen konkretisiert werden, ist die Stoßrichtung klar: Kritische Infrastrukturen sollen umfassend widerstandsfähiger werden – über alle Sektoren hinweg. Unternehmen, die voraussichtlich unter das Gesetz fallen, sollten jetzt aktiv werden, um nicht unter Zeitdruck zu geraten.

Hier sind die wichtigsten Schritte, die Unternehmen jetzt einleiten sollten:

1. Betroffenheit prüfen

• Gehört mein Unternehmen zu einem der zehn betroffenen Sektoren?

• Versorge ich mehr als 500.000 Menschen oder habe ich eine systemrelevante Funktion?

• Gibt es kritische Dienstleistungen, die ich in oder für mehrere EU-Staaten erbringe?

Ein Abgleich mit den Kriterien des Gesetzes und der künftigen Rechtsverordnung zur Definition kritischer Anlagen ist der erste Schritt.

2. Zuständigkeiten klären

• Wer im Unternehmen ist verantwortlich für physische Resilienz, Risikoanalysen und Meldewesen?

• Sind IT-Sicherheit und physischer Schutz bereits verknüpft – oder arbeiten sie isoliert?

• Sollte ein interdisziplinäres Team gebildet werden (z. B. IT, Compliance, Gebäudemanagement, HR)?

Die Einführung des Gesetzes ist eine gute Gelegenheit, Verantwortlichkeiten transparent und effizient zu ordnen.

3. Erste Vorbereitungen treffen

• Frühzeitige Risikoanalyse auf Basis vorhandener Informationen vorbereiten

• Resilienzmaßnahmen identifizieren, die bereits heute bestehen

• Prozesse für Meldungen und interne Kommunikation bei Vorfällen entwickeln

• Anlaufstellen wie das BBK oder Branchenverbände beobachten

Der Gesetzgeber lässt bewusst Raum für Gestaltung – wer diesen nutzt, kann sich strukturiert vorbereiten, ohne unter Druck zu geraten.

Schlussgedanke:

Resilienz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Das KRITIS-Dachgesetz ist der Rahmen – wie stabil das eigene Unternehmen in Krisen dasteht, entscheidet sich an der Umsetzung. Wer früh beginnt, wird später nicht nur besser geschützt sein, sondern auch regulatorisch, wirtschaftlich und kommunikativ davon profitieren.