Das KRITIS-Dachgesetz verlagert die Verantwortung für die physische Resilienz kritischer Infrastrukturen tief in operative Beschaffungsprozesse – und macht Einkaufsleiter zu zentralen Akteuren der Unternehmenssicherheit.
Seit März 2026 ist das Gesetz in Kraft und regelt erstmals umfassend die physische Resilienz kritischer Anlagen, getrennt von, aber eng verzahnt mit den Cyberanforderungen des BSI-Gesetzes.
Während einzelne Detailvorgaben noch durch Rechtsverordnungen präzisiert werden, steht der operative Kern fest: Ein erheblicher Teil der neuen Pflichten landet auf dem Schreibtisch des Einkaufs. Wer die Anforderungen des KRITIS-Dachgesetzes frühzeitig adressiert, sichert nicht nur Compliance, sondern stärkt die strategische Position der Funktion.
Wen das KRITIS-Dachgesetz betrifft
Das Gesetz adressiert Betreiber kritischer Anlagen in zehn Sektoren – darunter Energie, Wasser, Lebensmittel, Gesundheit, Transport und Entsorgung. Der Regelschwellenwert liegt bei 500.000 versorgten Einwohnern, kann aber im Einzelfall unterschritten werden. Insbesondere im Utilities-Bereich sind zahlreiche Stadtwerke betroffen.
Betreiber müssen nach dem KRITIS-Dachgesetz und darüber hinaus:
- physische Risiken systematisch analysieren,
- einen Resilienzplan vorlegen,
- Maßnahmen umsetzen und dokumentieren.
Verstöße sind mit Bußgeldern bis zu einer Million Euro bewehrt und die Geschäftsleitung haftet persönlich (§ 20 KRITIS-Dachgesetz).
Alternative Lieferketten nach § 13: Vom Nice-to-have zur Rechtspflicht
§ 13 verpflichtet Betreiber zur Identifikation alternativer Lieferketten, um die Wiederaufnahme kritischer Dienstleistungen im Krisenfall sicherzustellen. Was bislang als strategische Empfehlung galt – systematisches Dual- oder Multi-Sourcing für versorgungskritische Bedarfe –, wird durch das KRITIS-Dachgesetz zur gesetzlichen Pflicht mit Nachweischarakter.
Für jede versorgungskritische Warengruppe muss der Einkauf belegen können, dass alternative Bezugsquellen identifiziert, qualifiziert und im Bedarfsfall aktivierbar sind. Konkret betrifft das beispielsweise:
- Energieversorger: Schaltanlagen-Ersatzteile,
- Wasserversorger: Aufbereitungschemikalien,
- ÖPNV und Industrie: Pumpenersatzteile mit verlängerten Lieferzeiten aus Asien.
Die bloße Benennung eines Zweitlieferanten reicht nicht: Er muss tatsächlich lieferfähig sein – und das muss prüfungsfest dokumentiert sein.
Externe Dienstleister vertraglich neu aufstellen
Das KRITIS-Dachgesetz fordert ein angemessenes Sicherheitsmanagement auch für Beschäftigte von Auftragnehmern. Für den Einkauf bedeutet das: Bei der Vergabe von Wartungs-, Bau- oder IT-Dienstleistungen an kritischen Anlagen müssen Sicherheitsanforderungen an das eingesetzte Personal vertraglich verankert werden – inklusive Subunternehmer-Kette.
Viele Rahmenverträge in der kritischen Infrastruktur sind historisch gewachsen und enthalten entsprechende Klauseln nicht. Wer die Wartung einer Umspannanlage extern vergibt, muss künftig sicherstellen, dass die eingesetzten Techniker Zugangsregelungen und Sicherheitsprotokolle kennen und einhalten. Auch die geforderte Schulung externer Mitarbeiter mit Bezug zu Resilienzmaßnahmen muss vertraglich abgebildet und nachverfolgt werden.
Damit wird die Vertragsgestaltung zu einer Kernaufgabe im Einkauf.
Risikoanalyse nach § 12: Klima, Geopolitik, Interdependenzen
§ 12 verpflichtet Betreiber, mindestens alle vier Jahre eine eigene Risikoanalyse durchzuführen. Methodisch ist sie weit anspruchsvoller als bisher übliche Lieferantenbewertungen. Verpflichtend zu erfassen sind:
- natürliche Risiken einschließlich Klimafolgen wie Hitze, Stürme oder Überschwemmungen,
- technische Risiken,
- menschlich verursachte Bedrohungen einschließlich hybrider Angriffe,
- sektorübergreifende und grenzüberschreitende Abhängigkeiten.
Der Klimaaspekt wirkt unmittelbar in den operativen Einkauf hinein. Ein Beispiel aus dem ÖPNV: Bei der Beschaffung neuer Straßen- und Stadtbahnen müssen Lacksysteme spezifiziert werden, die deutlich höhere Außentemperaturen aushalten als noch vor zehn Jahren – eine Anforderung, die in bisherigen Beschaffungsprozessen nicht vorgesehen war.
In der Wasserversorgung werden Pumpenersatzteile mit langen Vorlaufzeiten aus Drittstaaten zur Engpassressource, sobald geopolitische Spannungen die Lieferwege belasten. Das KRITIS-Dachgesetz zwingt damit zu einer geopolitischen Risikobetrachtung, die viele Beschaffungsorganisationen bisher nicht systematisch leisten.
Einkaufsrisikomanagement und Lieferantenrisikoanalysen sind nicht erst seit dem Lieferkettensorgfaltspflichtengesetz gelebte Praxis – viele Unternehmen verfügen über etablierte Prozesse. Aus unserer Projekterfahrung gilt jedoch für rund 95 Prozent der Einkaufsfunktionen: Die geforderte Analysetiefe, die methodische Strenge und vor allem der Umfang der Dokumentation in einem prüfungsfesten Resilienzplan sind methodisches Neuland. Bestehende Tools und Prozesse müssen substanziell erweitert, nicht nur umetikettiert werden.
Der Einkauf verfügt dabei über die entscheidenden Daten:
- Wer liefert welche Komponenten aus welchem Land mit welcher Vorlaufzeit?
- Welche Klumpenrisiken bestehen bei Lieferanten oder Regionen?
- Welche Abhängigkeiten existieren bei Tier-2- und Tier-3-Lieferanten?
In vielen Unternehmen liegen diese Informationen verstreut in ERP-Systemen, Rahmenverträgen und im Kopfwissen einzelner Einkäufer. Wer als Einkaufsleiter diese Daten strukturiert und sich frühzeitig als Prozesseigner der Risikoanalyse positioniert, stärkt zugleich die strategische Rolle der Funktion.
Auditfähige Dokumentation: Pflicht im KRITIS-Dachgesetz
Die zuständige Behörde – im Energiesektor etwa die Bundesnetzagentur – kann die Einhaltung der Resilienzpflichten überprüfen, Audits anordnen und Vor-Ort-Prüfungen durchführen. Nachweise müssen auf Verlangen vorgelegt werden; bei Mängeln drohen Beseitigungspläne und Bußgelder.
Für den Einkauf heißt das: Folgende Nachweise müssen lückenlos und zeitnah abrufbar sein:
- Kritikalitätsbewertungen pro Warengruppe,
- Dokumentation alternativer Lieferquellen,
- vertragliche Sicherheitsanforderungen,
- Schulungsnachweise externer Dienstleister.
Wer hier ad hoc arbeitet, gerät im Prüfungsfall in Erklärungsnot.
Fristen im KRITIS-Dachgesetz: Was wann zu liefern ist
Die Vorlaufzeit für Lieferantenqualifizierung, Vertragsanpassungen und Prozessumstellungen sollte nicht unterschätzt werden.
| Meilenstein |
Zeitpunkt |
| Beginn der Registrierungsfrist |
Juli 2026 |
| Vorlage Risikoanalyse |
9 Monate nach Registrierung |
| Vorlage Resilienzplan |
10 Monate nach Registrierung |
| Wiederholung Risikoanalyse |
mindestens alle 4 Jahre |
Webinar: KRITIS-Dachgesetz pragmatisch umsetzen am 11. Juni 2026 von 15-16 Uhr
In diesem 60-minütigen Webinar zeigen wir Ihnen, wie Sie schon heute – mit den vorhandenen Standards und einem pragmatischen Vorgehen – die Umsetzung anstoßen können, ohne auf finale Konkretisierungen zu warten.
5 Prioritäten für Einkaufsleiter beim KRITIS-Dachgesetz
Fünf Handlungsfelder verdienen klare Priorität, wenn das KRITIS-Dachgesetz im Einkauf operativ verankert werden soll:
inklusive Kritikalitätsmatrix und Klumpenrisiko-Analyse.
Dual- oder Multi-Sourcing mit Lieferfähigkeitsnachweis nach § 13.
um resilienz- und sicherheitsbezogene Klauseln, einschließlich Subunternehmer-Verpflichtungen.
idealerweise systemgestützt, nicht in Einzelablagen.
auch in die Bewertung von Klima- und Geopolitik-Risiken.
Von der Pflicht zur Umsetzung: Unsere Beratung zum KRITIS-Dachgesetz
Wir unterstützen Betreiber kritischer Infrastrukturen bei der operativen Umsetzung der neuen Anforderungen im Einkauf – von der Kritikalitätsbewertung über die Qualifizierung alternativer Lieferketten bis zum auditfähigen Resilienzplan.
KRITIS-Dachgesetz im Einkauf: Strategische Chance, nicht nur Pflicht
Das KRITIS-Dachgesetz verschiebt Resilienz vom Nischenthema in den operativen Kern des Unternehmens. Der Einkauf ist dabei nicht Erfüllungsgehilfe, sondern Schlüsselakteur. Wer Lieferketten resilient aufstellt, Lieferanten nach Sicherheitskriterien steuert und die Risikoanalyse mit belastbaren Beschaffungsdaten unterfüttert,
- sichert regulatorische Compliance,
- reduziert Ausfallrisiken,
- schützt Marktstellung sowie Kundenvertrauen,
- liefert der Geschäftsleitung das Fundament für ihre persönliche Haftungsabsicherung nach § 20.
Für Einkaufsleiter ist das KRITIS-Dachgesetz damit auch eine Chance: Es liefert Argumente für Budget, Personal und Mandat, die in strategischen Diskussionen lange gefehlt haben. Wer jetzt die Initiative ergreift, positioniert seinen Einkauf als unverzichtbaren Bestandteil der Unternehmensresilienz.
Pflichten, Fristen, Prioritäten: KRITIS-Dachgesetz als Onepager
Alle Kernpunkte, die Sie jetzt wissen müssen, kompakt auf einer Seite. Ideal für die Vorlage in Geschäftsleitung, Risiko-Komitee oder beim nächsten Quartalsmeeting.
Verfasst von
Stefan Fassbinder
Senior Manager
valantic
berät Betreiber kritischer Infrastrukturen bei der Umsetzung von Resilienz- und Regulatorikanforderungen im Einkauf.
Jan Laakmann
Partner
valantic
verantwortet das Beratungsangebot zu KRITIS-Dachgesetz, Lieferkettenresilienz und operativer Risikosteuerung.
Sie wünschen ein Beratungsgespräch?
Ob erste Standortbestimmung, Sparring zur Risikoanalyse nach § 12 oder konkrete Umsetzungsfragen zum KRITIS-Dachgesetz im Einkauf – schreiben Sie uns über das Formular kurz, was Sie beschäftigt. Wir melden uns mit einem Vorschlag für ein erstes, unverbindliches Gespräch zurück.
Turn your vision into reality: Female Digital Impact
