Highlight
Gemeinsam erfolgreich – unser valantic Team.
Lernen Sie die Menschen kennen, die mit Leidenschaft und Verantwortung bei valantic Großes bewegen.
Mehr über uns erfahren
Klarheit gewinnen, Resilienz strukturiert aufbauen und regulatorische Anforderungen erfüllen
KRITIS-Dachgesetz: Anforderungen und Umsetzung
Das KRITIS-Dachgesetz verschärft die Anforderungen an Betreiber kritischer Infrastrukturen – und rückt neben Cybersecurity vor allem physische Sicherheit und operative Resilienz in den Mittelpunkt. Viele Unternehmen fragen sich, ob sie betroffen sind und welche Schritte beim KRITIS-Dachgesetz jetzt Priorität haben. Denn betroffene Unternehmen müssen Risiken ganzheitlich bewerten, Maßnahmen umsetzen und ihre Resilienz gegenüber Behörden nachweisbar machen. Die Fristen laufen bereits, während zentrale Leitlinien teilweise noch fehlen.
valantic begleitet Sie mit erfahrener KRITIS-Dachgesetz Beratung – von der Klärung der Betroffenheit über die Risikoanalyse nach All-Gefahren-Ansatz bis zum tragfähigen Resilienzansatz, der regulatorischen Anforderungen genauso gerecht wird wie Ihrem Geschäftsmodell.
Inhalte
- 01 Was ist das KRITIS-Dachgesetz?
- 02 Wer ist vom KRITIS-Dachgesetz betroffen?
- 03 Was Unternehmen beim KRITIS-Dachgesetz unterschätzen
- 04 Top 5-Anforderungen, die sich aus dem KRITIS-Dachgesetz ergeben
- 05 Zeitplan und Fristen im Überblick
- 06 Wie wir Sie bei der Umsetzung des KRITIS-Dachgesetzes unterstützen
- 07 Ihre Ansprechpartner
Webinar: KRITIS-Dachgesetz pragmatisch umsetzen am 11. Juni 2026 von 15-16 Uhr
In diesem 60-minütigen Webinar zeigen wir Ihnen, wie Sie schon heute – mit den vorhandenen Standards und einem pragmatischen Vorgehen – die Umsetzung anstoßen können, ohne auf finale Konkretisierungen zu…
Zum Webinar anmelden
Zum Webinar anmelden
Was ist das KRITIS-Dachgesetz – und warum ist es jetzt relevant?
Das KRITIS-Dachgesetz (KRITIS-DG) setzt die EU-CER-Richtlinie in deutsches Recht um und ergänzt NIS2 um eine entscheidende Dimension: operative Resilienz jenseits der IT. Erstmals verankert das KRITIS-Dachgesetz verbindliche Mindestanforderungen für physische Sicherheit, All-Gefahren-Risikoanalysen, Resilienzpläne sowie Melde- und Nachweispflichten.
Im Kern bedeutet das KRITIS-Dachgesetz für betroffene Unternehmen:
Das KRITIS-Dachgesetz verlangt mehr als Cyberrisikomanagement. Auch physische Bedrohungen, Naturereignisse und Lieferkettenstörungen werden konsistent bewertet und gesteuert.
Betroffenheitsprüfung, Registrierung, regelmäßige Risikoanalyse, Resilienzplan mit Prävention, Response und Wiederanlauf sowie Melde- und Dokumentationspflichten – das KRITIS-Dachgesetz fordert prüfsichere Nachweise.
Die Verantwortung für die Umsetzung des KRITIS-Dachgesetzes liegt auf C-Level. Prozesse, Rollen und KPIs müssen verankert und auditfähig sein.
Das KRITIS-Dachgesetz gilt in einer Vielzahl von Branchen (Energie, Verkehr, Gesundheit, Wasser, IT/TK, Finanzwesen) und bezieht zunehmend auch Zulieferer und Dienstleister ein.
Warum ist das KRITIS-Dachgesetz jetzt relevant?
-
1
Gesetz greift bereits – Fristen sind eng
Mit Inkrafttreten ab 2026 laufen gestaffelte Deadlines (Registrierung, Risikoanalyse, Resilienzplan); das Zeitfenster bis zur vollen Nachweisfähigkeit ist begrenzt.
-
2
Leitlinien im Aufbau – trotzdem starten
Nationale Standards und Templates fehlen teilweise; um Fristen dennoch einzuhalten, sind frühzeitige, prüfsichere Eigenlösungen gefordert – pragmatisch, aber belastbar.
-
3
NIS2 ist notwendig, aber nicht hinreichend
Bestehende ISMS-Maßnahmen helfen, ersetzen jedoch keine All-Gefahren-Resilienz und erweiterten Nachweispflichten des KRITIS-Dachgesetzes.
-
4
Risiken senken, Vorteile heben
Frühe Priorisierung reduziert Ausfall- und Sanktionsrisiken, vermeidet Ad-hoc-Kosten und stärkt die License-to-Operate als Wettbewerbsvorteil.
Wer ist vom KRITIS-Dachgesetz betroffen?
Vom KRITIS-Dachgesetz betroffen sind Betreiber kritischer Infrastrukturen, die für die Versorgung von Gesellschaft und Wirtschaft essenziell sind. Maßgeblich ist unter anderem, ob eine Einrichtung eine große Anzahl von Menschen versorgt – in der Regel ab 500.000 Personen.
Typischerweise betroffen sind Unternehmen aus folgenden Sektoren:
Energie
Energieversorger und Netzbetreiber, die die Strom- und Gasversorgung sicherstellen
Transport und Verkehr
Betreiber von Bahn-, Luft- und Hafeninfrastruktur sowie zentrale Logistiknetzwerke und Raumfahrtunternehmen
Gesundheitswesen
Krankenhäuser, pharmazeutische Versorgung und kritische medizinische Dienstleistungen
Wasser und Abwasser
Unternehmen der Trinkwasserversorgung und Abwasserentsorgung
Informationstechnik und Telekommunikation
Rechenzentren, Netzbetreiber und Anbieter kritischer digitaler Infrastruktur
Finanz- und Versicherungswesen
Einrichtungen, die zentrale Finanzdienstleistungen und Zahlungsströme sicherstellen
Ernährung und Abfallwirtschaft
Lebensmittelproduktion sowie Entsorgungs- und Recyclinginfrastruktur
Öffentliche Verwaltung und weitere kritische Bereiche
Einrichtungen mit zentraler Bedeutung für staatliche Funktionsfähigkeit
Neben den direkt betroffenen Betreibern geraten zunehmend auch indirekte Akteure in den Fokus:
Lieferanten und Dienstleister
Unternehmen, die essenzielle Leistungen oder Materialien bereitstellen und damit Teil kritischer Wertschöpfungsketten sind
Abhängige Partner in der Supply Chain
Organisationen, deren Ausfall direkte Auswirkungen auf die Funktionsfähigkeit kritischer Infrastrukturen hätte
Damit erweitert das KRITIS-Dachgesetz den Blick deutlich über einzelne Unternehmen hinaus und rückt ganze Ökosysteme und Lieferketten in den Fokus der Resilienzbetrachtung.
Schnell-Check: Sind Sie vom KRITIS-Dachgesetz betroffen?
Eine kompakte Betroffenheits-Checkliste hilft bei der ersten Einschätzung. Treffen einer oder mehrere der folgenden Punkte zu, ist die Betroffenheit wahrscheinlich gegeben:
Wesentliche Dienste vorhanden?
Gibt es Leistungen, deren Ausfall die Versorgung einer großen Bevölkerung oder zentrale Prozesse erheblich stört?
Kritische Assets und Knotenpunkte?
Können Sie als Zulieferer oder Dienstleister den Betrieb kritischer Dienste anderer spürbar beeinträchtigen?
Regelwerks‑ Schnittstellen gegeben?
Bestehen bereits Pflichten aus NIS2, ISMS oder BCM, an die das KRITIS-Dachgesetz andocken kann – oder Lücken, die es neu schließt?
Klimaresilienz & Klimarisiken meistern
Der Klimawandel verändert die Rahmenbedingungen für Unternehmen und Organisationen fundamental. Verwandeln Sie Risiken in Chancen und machen Sie Ihr Unternehmen klimafest. Handeln Sie jetzt!
Mehr über Klimaresilienz erfahren
Mehr über Klimaresilienz erfahren
Blogartikel: KRITIS-Dachgesetz im Einkauf: Wenn Beschaffung zur Compliance-Funktion wird
Das KRITIS-Dachgesetz verlagert die Verantwortung für die physische Resilienz kritischer Infrastrukturen tief in operative Beschaffungsprozesse – und macht Einkaufsleiter zu zentralen Akteuren der Unternehmenssicherheit.
Blogartikel lesen
Blogartikel lesen
Was Unternehmen beim KRITIS-Dachgesetz unterschätzen
Auch wenn das KRITIS-Dachgesetz auf den ersten Blick klar strukturiert wirkt, entstehen in der Praxis Herausforderungen durch Unklarheiten und Fehlinterpretationen – mit Risiko für Verzögerungen, Doppelaufwände und Compliance‑Lücken.
Typische Herausforderungen in der Umsetzung:
Schwellenwerte, Abgrenzung und die Frage, ob man direkt oder indirekt (über Lieferkettenrollen) betroffen ist, werden häufig zu spät sauber geklärt – die Folge sind Planungsunsicherheit und Verzögerungen bei der Registrierung.
Während gesetzliche Zeitvorgaben bereits definiert sind, fehlen bislang zentrale Hilfsmittel wie standardisierte Risikoanalysen oder Resilienzplan-Vorlagen. Unternehmen müssen ohne klare Orientierung starten.
Die Anforderungen betreffen nicht nur einzelne Fachbereiche. Die Geschäftsleitung steht in der Verantwortung, Resilienz strukturiert zu steuern und nachweisbar umzusetzen – ohne integrierte Governance, KPIs und klare Rollen bleibt die Wirkung punktuell.
Ein starkes ISMS mit etablierten Maßnahmen ist hilfreich, ersetzt aber keine All‑Gefahren‑Resilienz. Physische Sicherheit, Naturgefahren und operative Aufrechterhaltung sind eigenständig nachzuweisen.
Kritische Dienste hängen an externen Knotenpunkten (z. B. Rechenzentren, Logistik‑Hubs, Instandhaltung). Ohne vertragliche Absicherung, Kennzahlen und Tests bleibt die Nachweisfähigkeit lückenhaft.
Branchenspezifische Standards können aktuell noch beeinflusst werden. Unternehmen, die diese Phase verpassen, müssen sich später an extern definierte Vorgaben anpassen.
Die Umsetzung hat direkten Einfluss auf Risikoprofil, Investitionsfähigkeit und Marktwahrnehmung. Wer das Thema strategisch angeht und nachhaltig im Unternehmen verankert, kann daraus Wettbewerbsvorteile entwickeln.
Welche Pflichten ergeben sich aus dem KRITIS-Dachgesetz?
Für Betreiber kritischer Infrastrukturen definiert das KRITIS-Dachgesetz klare Mindestanforderungen. Unternehmen müssen Risiken systematisch bewerten, geeignete Maßnahmen umsetzen und ihre operative Resilienz nachvollziehbar nachweisen.
Die zentralen Pflichten des KRITIS-Dachgesetzes im Überblick:
-
1
Registrierung als KRITIS-Betreiber
Betroffene Unternehmen müssen sich nach Identifikation und Einstufung durch die Behörden innerhalb definierter Fristen mit Basisdaten registrieren.
-
2
Regelmäßige Risikoanalysen
Risiken sind ganzheitlich nach dem All-Gefahren-Ansatz zu bewerten – über Cyberrisiken hinaus und inklusive Lieferkettenperspektive.
-
3
Resilienzplan und Maßnahmen
Konkrete Maßnahmen zur Prävention, Reaktion und Wiederherstellung müssen definiert, prozessual verankert und umgesetzt werden.
-
4
Meldepflichten bei Vorfällen
Sicherheitsrelevante Ereignisse sind innerhalb vorgegebener Fristen an die zuständigen Behörden zu melden.
-
5
Dokumentation und Auditfähigkeit
Die Umsetzung des KRITIS-Dachgesetzes muss jederzeit nachvollziehbar sein und behördlichen Prüfungen standhalten – von Risikoanalyse über Maßnahmenplan bis zu Testnachweisen.
Fristen und Zeitplan des KRITIS-Dachgesetzes
Mit dem KRITIS-Dachgesetz sind die ersten Pflichten bereits in Kraft, greifen jedoch gestaffelt. Unternehmen haben nur ein begrenztes Zeitfenster, um zentrale Anforderungen umzusetzen – und müssen gleichzeitig ohne vollständige Leitlinien starten.
Die wichtigsten Fristen des KRITIS-Dachgesetzes im Überblick:
Das Gesetz gilt offiziell, die behördliche Identifikation betroffener Unternehmen beginnt.
Nach Einstufung müssen sich Unternehmen innerhalb von drei Monaten registrieren.
Eine umfassende Risikoanalyse nach All-Gefahren-Ansatz ist abzuschließen.
Aufbauend auf der Risikoanalyse sind Maßnahmen umzusetzen, organisatorisch zu verankern und Evidenzen aufzubauen.
In der Praxis entsteht dadurch ein Spannungsfeld:
In Summe verbleibt Unternehmen rund ein Jahr, um die zentralen Anforderungen des KRITIS-Dachgesetzes vollständig umzusetzen – und das, während zentrale Hilfsmittel wie standardisierte Risikoanalysen oder Resilienzplan-Vorlagen teilweise noch fehlen.
KRITIS-Dachgesetz Beratung durch valantic
Wir begleiten Sie mit einer pragmatischen KRITIS-Dachgesetz Beratung – von der Klärung der Betroffenheit bis zur prüfsicheren Nachweisfähigkeit, anschlussfähig an bestehende Systeme wie NIS2, ISMS, BCM und Krisenmanagement.
Unsere Schwerpunkte in der KRITIS-Dachgesetz Umsetzung:
Betroffenheit klären und Registrierung sichern
Wir schaffen Klarheit über die Betroffenheit nach dem KRITIS-Dachgesetz und den Geltungsbereich und bereiten die fristgerechte Registrierung mit allen erforderlichen Basisdaten vor.
Reifegrad bewerten und Lücken identifizieren
Wir erarbeiten einen systematischen Ist-Stand entlang der KRITIS-DG-Pflichten, identifizieren Lücken und priorisieren Maßnahmen nach Risiko, Aufwand und Fristen.
Risiken systematisch bewerten
Wir etablieren eine einheitliche Bewertungsmethodik über Cyber-Risiken, physische Risiken, Naturereignisse und Supply-Chain-Risiken und erstellen konsolidierte Risikobilder für kritische Dienste und Assets.
Resilienz strukturiert aufbauen
Wir definieren Präventions-, Reaktions- und Wiederanlaufmaßnahmen, legen Rollen, Eskalationswege und Kommunikation fest und integrieren diese in Governance, IKS sowie BCM- und ISMS-Prozesse.
Nachweisfähigkeit sicherstellen
Wir unterstützen beim Aufbau prüfsicherer Dokumentation, Meldewege und eines KPI- und Reporting-Setups – inklusive Übungs- und Testkonzept und strukturierter Evidenzführung gemäß KRITIS-Dachgesetz.
Unser Ansatz ist pragmatisch und umsetzungsorientiert. Wir erreichen termingerecht die Pflichterfüllung, reduzieren Ausfall- und Sanktionsrisiken und etablieren ein evidenzfähiges, alltagstaugliches Resilienz-Setup, das die operative Resilienz nachhaltig steigert.
Frühzeitig handeln und Klarheit zum KRITIS-Dachgesetz schaffen
Die Anforderungen des KRITIS-Dachgesetzes sind definiert, die Fristen laufen. Gleichzeitig ist die Betroffenheit oft unklar und Leitlinien sind noch im Aufbau. Unternehmen müssen jetzt aktiv werden: Wer früh priorisiert, senkt Ausfall- und Sanktionsrisiken, vermeidet Ad-hoc-Kosten und schafft prüfsichere Evidenz – die Basis für termingerechte Mindestanforderungen und schrittweise gestärkte operative Resilienz.
Starten Sie jetzt mit einer fundierten KRITIS-Dachgesetz Beratung von valantic.
Ihre Ansprechpartner für die KRITIS-Dachgesetz Beratung
Gerne unterstützen wir Sie dabei, strukturiert in die KRITIS-Dachgesetz Umsetzung zu starten und Klarheit über die eigene Betroffenheit zu gewinnen, Handlungsfelder zu priorisieren und die Maßnahmen gezielt voranzutreiben.
