fältiger: Neben dem weiterhin bestehenden Ausschluss der Verwaltungen bemängelten die Expertinnen und Experten zu lockere Maßnahmen, stark fragmentiertes IT-Sicherheitsrecht und Zuständigkeiten sowie zu hohe Kosten für kleine und mittlere Unternehmen. Sylvia Borcherding, Geschäftsführerin Corporate Services der 50Hertz Transmission GmbH, monierte, KRITIS-Betreiber müssten Informationen über Leitungen und Standorte öffentlich zugänglich machen. Dies sei aufgrund der neuen Bedrohungslage neu zu bewerten und gehöre in den Gesetzesentwurf. Als hätte Borcherding es vorausgeahnt, kam es tatsächlich nur 33 Tage später zu einem Anschlag auf ein Hochspannungskabel in Berlin. 45 000 Haushalte waren mehrere Tage lang bei Temperaturen deutlich unter dem Gefrierpunkt ohne Strom. Am 29. Januar 2026 beschloss der Bundestag dann das „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ – kurz „KRITIS-Dachgesetz“. Trotz des jüngsten Anschlags und der Kritik aus dem Innenausschuss war die Überarbeitung der Transparenzrichtlinien nicht direkt in das Gesetz aufgenommen worden. Stattdessen sollen sie anschließend in einem Entschließungsantrag der Bundestagsfraktionen überarbeitet werden. Dafür stimmten CDU/CSU, SPD und AfD, dagegen Bündnis 90/Die Grünen und Die Linke. Wann das Gesetz in geltendes Recht übertragen wird, war bei Redaktionsschluss noch nicht bekannt. Wie ein Gesetz vor Sabotage schützt Das KRITIS-Dachgesetz schließt 16 Sektoren ein. Als „besonders wichtig“ erachtet das Gesetz Energie, Wasser, Gesundheit, Transport und Verkehr, digitale Infrastruktur, Finanzwesen, Weltraum und Staat. Auf der Stufe „wichtig“ befinden sich Ernährung, Entsorgung, Post und Kurier, Chemie, verarbeitendes Gewerbe, digitale Dienste und Forschung. Auch die Sozialversicherung wird abgedeckt, allerdings unter der Kategorie „kritische Anlage“, die zusätzlich auch andere Sektoren betrifft. „Besonders wichtige“ Anlagen unterscheiden sich in den Sicherheitsvorkehrungen von „wichtigen“ Anlagen dadurch, dass sie strikteren Aufsichts- und Durchsetzungsmaßnahmen unterliegen. Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Anlagen, Sicherheitsvorkehrungen zu treffen, und legt dafür Mindestanforderungen fest. Dabei soll jedes Risiko durchdacht werden: menschliches Versagen, Sabotage, Anschlag oder Naturkatastrophe. Wenn es zu einem Vorfall kommt, müssen die Betreiber diesen umgehend melden. Das wird regelmäßig kontrolliert. Erfüllen Betreiber die Anforderungen nicht oder melden Vorfälle nicht, drohen hohe Geldstrafen. Schutzschirm mit Löchern Konkrete Resilienzpflichten für Betreiber nennt das Gesetz nur wenige: Dazu zählen unter anderem bauliche Maßnahmen – im Gesetz als „hemmende Elemente“ bezeichnet: Kameraüberwachung, Zugangskontrollen, Aufrechterhaltung des Betriebs zum Beispiel durch Notstromversorgung und die Ermittlung alternativer Lieferketten. Hinzu kommt, dass die Mitarbeitenden über die entsprechenden Sicherheitsvorkehrungen informiert sind, in den Abläufen geschult sind und regelmäßig Übungen durchführen. Für die Mindestanforderungen verweist das KRITISDachgesetz auf das BSI-Gesetz. Dieses enthält bereits viele der oben genannten Maßnahmen und erweitert diese unter anderem um Back-up-Management, Verwendung von sicheren Kommunikationswegen und gesicherte Notfallkommunikation. Das Auslassen der Kommunen bedeutet allerdings, dass wichtige Bestandteile des öffentlichen Dienstes wie die örtliche Feuerwehr und Polizei nicht in den Geltungsbereich fallen. Selbst der Sektor „Staat“ ist unvollständig: Unter anderem die Geschäftsbereiche des Bundesverteidigungsministeriums und des Auswärtigen Amtes sowie Bundesnachrichtendienste, das Bundesamt für Verfassungsschutz und die Strafverfolgungsbehörden sind vollständig oder teilweise von den Anforderungen ausgenommen. Auch über die öffentliche Verwaltung der Länder steht in den Gesetzen fast nichts. Das betrifft sämtliche Regierungen, Ministerien, Behörden, Verwaltungen und mehr. Zwar planen einige Bundesländer, ein eigenes NIS2Gesetz zu beschließen oder bestehende Gesetze zur Cybersicherheit zu erweitern. Dem Ziel des Dachgesetzes, die Anforderungen zu vereinheitlichen, wird das allerdings nicht gerecht. Deutlicher Verbesserungsbedarf Und welche Bilanz zieht Sabine Griebsch jetzt, wo das Gesetz beschlossen ist? „Das KRITIS-Dachgesetz ist grundsätzlich ein wichtiger Schritt, da damit erstmals ein bundeseinheitlicher Rahmen für die Resilienz kritischer Infrastrukturen geschaffen wird und eine Regelungslücke neben der IT-Sicherheitsgesetzgebung geschlossen werden soll“, erklärt sie. Positiv sei, dass im parlamentarischen Verfahren einzelne Punkte, wie die Melde- und Informationsprozesse, nachgeschärft wurden. Gleichzeitig bleiben zentrale Mindestanforderungen im Gesetz selbst noch zu unbestimmt, da viele konkrete Schutzpflichten erst durch nachgelagerte Rechtsverordnungen ausgestaltet werden sollen. Wesentliche Anliegen wie verbindlich festgelegte Mindestmaßnahmen und klarere Transparenz- und Durchsetzungsinstrumente wurden nicht in der erforderlichen Tiefe umgesetzt. „Insgesamt ist es daher ein Schritt in die richtige Richtung, der jedoch deutlichen Nachbesserungsbedarf hinsichtlich Wirksamkeit und Rechtsklarheit aufweist. Gerade bei kritischen Infrastrukturen entscheidet sich die Resilienz daran, ob die Anforderungen so präzise formuliert sind, dass sie in der Praxis überprüfbar und wirksam werden.“ dsc 18 FOKUS dbb magazin | März 2026
RkJQdWJsaXNoZXIy Mjc4MQ==