Artikel
Misc.

KRITIS-DachG und CER-Richtlinie 2025: Was Geschäftsführer zur Resilienz kritischer Infrastrukturen wissen müssen

Das KRITIS-Dachgesetz kommt 2026: Geschäftsführer müssen physische Resilienz und operationelle Sicherheit kritischer Infrastrukturen nach dem All-Gefahren-Ansatz gewährleisten.

Dennis Becker
12/8/2025
12
Min. Lesedauer

Mal ehrlich: bist du noch mit der Umsetzung von NIS2 (Directive 2022/2555) beschäftigt?

Ab Juli 2026 gelten neue Anforderungen für Betreiber kritischer Anlagen. Die nächste regulatorische Welle kommt mit der Critical Entities Resilience (CER)-Richtlinie. Dabei handelt es sich um das EU-Directive 2022/2557 und die noch folgende nationale Umsetzung, das KRITIS-Dachgesetz (KRITIS-DachG).

TL;DR

  • Das KRITIS-DachG kommt! Der Fokus der NIS2 wird in den Bereichen physische Sicherheit und operationelle Resilienz dramatisch ergänzt. Das Stichwort wird der „All-Gefahren-Ansatz“: Du musst alle Risiken von Sabotage über Naturkatastrophen bis zum Kollaps deiner Lieferkette einplanen.
  • Es ist keine deutsche Idee. Das KRITIS-DachG wird die nationale Umsetzung des EU-weiten CER-Richtlinie. Die Richtlinie soll das allgemeine Sicherheitsniveau innerhalb der europäischen Versorgung sichern und ist damit Teil der europäischen Sicherheitsstrategie.
  • Als Geschäftsführung bist du persönlich in der Pflicht! Die CER-Richtlinie fordert direkte Genehmigung und Überwachung der Resilienz-Maßnahmen. Wie sich dies auf dein Haftungsrisiko auswirkt, kannst du dir denken.
  • Wer bereits eine ISO 27001 Konformität erreicht hat, ist bereits gut im Rennen. ABER die erweiterten Anforderungen an Geltungsbereiche, Risikoanalysen und Meldepflichten gehen über bisherige Anforderungen hinaus. Das interne Risikomanagement, Informationssicherheitsmanagementsystem (ISMS) etc. werden mitwachsen müssen.
  • Das Gesetz ist untrennbar von der NIS2-Richtlinie (und dem noch folgenden NIS2UmsuCG). Wer unter das KRITS-DachG fällt, fällt auch in die höchste Sicherheitsstufe der NIS2.

Warum KRITIS-DachG? Der Wandel von „höherer Gewalt“ zur strategischen Pflicht

Stell dir vor: Montagmorgen Team-Meeting und das Thema macht mal wieder keinen Spaß. Anstatt, dass über neue Projekte geredet wird geht es darum, dass die Produktionshalle stillsteht, weil 35 Km weiter jemand eine Leitung beschädigt hat.

Früher war das einfach höhere Gewalt oder es wurde als unerfreuliches Ereignis im ISMS aufgezeichnet. Demnächst ist es aber ein vorhersehbares Risiko, dass berücksichtigt werden muss. Für dieses Ereignis hat es dann einen dokumentierten und belastbaren Notfallplan zu geben.

Und genau das ist der Kern der Veränderung. Regulatorisch, primär durch die EU getrieben, wird Resilienz von Best Practice zur harten gesetzlich verankerten Verpflichtung der Geschäftsführung. Es geht nicht mehr nur darum Daten zu schützen, es geht darum die Erbringung von kritischen Dienstleistungen zu garantieren. Die Gewährleistung der funktionierenden Versorgung der Gemeinschaft wird absolut essenziell gemacht.

Sieh diesen Artikel als das Briefing, dass der überarbeitete Kollege aus der Compliance normalerweise liefern sollte. Hier ist mein Versuch das KRTIS-DachG und die CER-Richtlinie einfach zu erklären.

KRITIS-DachG im Überblick: Die wichtigsten Fakten und Anforderungen

Das „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“, kurz KRITIS-Dachgesetz, ist die deutsche Antwort auf eine neue europäische Sicherheitsarchitektur. Es legt erstmals bundesweit einheitliche und sektorübergreifende Mindeststandards für den physischen Schutz fest.

Ziele und „All-Gefahren-Ansatz“

Das oberste Ziel: die Funktionsfähigkeit und Widerstandsfähigkeit der kritischen Versorgungsleistung in Deutschland (und Europa) sicherzustellen.

Das soll mit dem „All-Gefahren-Ansatz“ bewerkstelligt werden. Das bedeutet eure Risikoanalysen müssen künftig (wenn sie es nicht schon tun) folgende Bereiche explizit abdecken:

  • Naturkatastrophen: Hochwasser, Sturmböen, Dürreperioden
  • Menschliches Versagen: Unfälle, Fehlerhafte Konfiguration, Fahrlässigkeit
  • Angriffe: Sabotage, Terrorismus, Insider-Bedrohungen
  • Systemische Risiken: Pandemien, Ausfälle der Lieferkette, Ressourcenknappheit

Sofern ihr es nicht bereits so handhabt, werden sich nun einige eigentlich getrennte Abteilungen an einen Tisch setzen müssen. Die erforderliche Konformität beginnt mit einer Abteilungsübergreifenden Risikosprache und einer integrierten Strategie.

Frag dich: „Haben CISO, COO und mein Einkaufleiter eigentlich ein gemeinsames Verständnis für die Top 10 Risiken?!“.

Geltungsbereich und Zeitplan. Wer ist betroffen?

Von der CER-Richtlinie sind Betreiber sogenannter „kritischer Anlagen“ in elf Sektoren betroffen:

Energie, darunter:

  • Elektrizität: Erzeugung, Übertragung und Verteilung von Strom.
  • Fernwärme und Fernkälte: Erzeugung, Verteilung und Versorgung.
  • Erdöl: Produktion, Raffination, Behandlung, Lagerung und Transport.
  • Gas: Förderung, Speicherung, Transport und Verteilung.
  • Wasserstoff: Produktion, Speicherung und Transport.

Verkehr, darunter:

  • Luftverkehr: Betreiber von Flughäfen und Fluggesellschaften.
  • Schienenverkehr: Infrastrukturbetreiber und Verkehrsunternehmen.
  • Schifffahrt: See- und Binnenhäfen sowie Reedereien.
  • Straßenverkehr: Straßenbetreiber, die für das transeuropäische Straßennetz zuständig sind.

Bankwesen: Die Stabilität des Finanzsystems wird durch die Einbeziehung von Kreditinstituten gewährleistet

Finanzmarktinfrastrukturen: Hierzu zählen Betreiber von Handelsplätzen und zentrale Gegenparteien, die für die Abwicklung von Finanztransaktionen unerlässlich sind.

Gesundheitswesen, darunter:

  • Krankenhäuser und andere Gesundheitsdienstleister.
  • Hersteller von kritischen Arzneimitteln und Medizinprodukten.
  • Referenzlaboratorien der EU.

Trinkwasser: Die Versorgung mit qualitativ hochwertigem Trinkwasser wird durch die Regulierung von Wasserversorgungsunternehmen sichergestellt.

Abwasser: Die Entsorgung und Behandlung von Abwasser ist aus hygienischen und ökologischen Gründen kritisch.

Digitale Infrastruktur, darunter:

  • Internet-Knotenpunkte (IXPs).
  • DNS-Dienstleister (ohne Root-Nameserver).
  • Top-Level-Domain (TLD)-Namensregister.
  • Cloud-Computing-Dienste.
  • Rechenzentren.
  • Content-Delivery-Netze.
  • Vertrauensdiensteanbieter.

Verwaltung von IKT-Diensten (Business-to-Business): Anbieter von Diensten, die für die Aufrechterhaltung kritischer Abläufe in anderen Unternehmen notwendig sind.

Öffentliche Verwaltung: Bestimmte zentrale und regionale Verwaltungsstellen, deren Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit und Ordnung hätte.

Weltraum: Die Bereitstellung weltraumgestützter Dienste, beispielsweise für Kommunikation oder Navigation, wird durch die Einbeziehung von Betreibern von Bodeninfrastrukturen abgedeckt.

Die Faustregel zur CER-Richtlinie: Erbringt ihr eine kritische Dienstleistung für mehr als 500.000 Menschen, dann werdet ihr in Gang kommen müssen.

VORSICHT: Das Ziel liegt in der Vermeidung systemischer Störungen. Vielleicht bedient ihr nur eine Handvoll Industriekunden. Wenn ihr nun aber der einzige Lieferant für eine kritische Komponente für einen Stromnetzbetreiber seid, der wiederum Millionen versorgt, wird der Ausfall deines Betriebs systemrelevant!

Die Selbsteinschätzung durch Unternehmen MUSS betriebliche Abhängigkeiten und Kaskadeneffekte berücksichtigen. Die Frage ist weniger: „Wie viele Kunden habe ich?“, sondern: „Welche gesellschaftlichen Folgen hat es, wenn wir mal ausfallen?“

Der Zeitplan steht bereits… auch wenn sich das parlamentarische Spiel noch zieht:

  • Inkrafttreten des Gesetzes: Voraussichtlich im Laufe des Jahres 2025.
  • Beginn der wesentlichen Pflichten: Die Kernpflichten wie Risikoanalysen und Erstellung von Resilienzplänen werden gestaffelt, voraussichtlich ab dem 1. Januar 2026, wirksam.
  • Registrierungspflicht: Ab dem 17. Juli 2026 musst du deine kritischen Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.
  • Sanktionen: Die Bußgeldvorschriften sollen ab dem 1. Januar 2027 greifen.

Die Staffelung (besonders die Bußgeldvorschriften) erzeugen potenziell eine trügerische Sicherheit bzw. Gelassenheit. Eine ernsthaft durchgeführte und umfassende Risikoanalyse, das Entwickeln eines Resilienzplans, Budgetabstimmungen und die Umsetzung von notwendigen Maßnahmen sind ein großes Projekt. Das dauert schnell mal 18 bis 24 Monate. Der beste Tag zum Starten ist Gestern, der zweitbeste ist heute.

CER-Richtlinie der EU: Das Kernstück

Vorweg: Das KRITIS-Dachgesetz ist keine deutsche Erfindung. Es ist lediglich die nationale Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen, kurz CER-Richtlinie (EU) 2022/2557. Die beiden werden sich aber wohl kaum großartig unterscheiden.

Die Kernanforderungen der CER sind relativ klar:

  • Jeder Mitgliedstaat muss eine nationale Resilienzstrategie entwickeln.
  • Kritische Einrichtungen müssen auf Basis ihrer systemischen Bedeutung identifiziert werden.
  • Diese Einrichtungen sind gesetzlich verpflichtet, eigene, umfassende Risikoanalysen für alle Gefahren durchzuführen.
  • Du musst „geeignete und verhältnismäßige“ technische, organisatorische und sicherheitsbezogene Maßnahmen zur Stärkung der Resilienz ergreifen.
  • Du musst jeden Vorfall, der wesentlichen Dienste erheblich stört, unverzüglich an die zuständige nationale Behörde melden.

Auch wenn eine nationale Umsetzung von EU-Richtlinien noch fehlt, heißt es nicht, dass nicht bereits etwas getan werden kann. Ja, manchmal muss man die Spezifika nationaler Rechtsprechung abwarten, aber die Blaupause hat die EU bereits geliefert.

Artikel 13 der Richtlinie listet bereits detailliert auf, welche Art von Resilienzmaßnahmen erwartet werden. Hier reichen die Vorgaben von physischem Objektschutz über Personalüberprüfungen bis hin zur Absicherung der Lieferkette. Vieles sollte euer ISMS bereits abbilden, aber ein proaktives Herangehen wird dauerhaft wertvoll sein. Orientiere dich an der CER-Richtlinie, wer abwartet bis in Berlin die Tinte trocknet, der ist und bleibt reaktiv und verliert unnötig Zeit.

Das Ökosystem der NIS2 und ISO 27001

Neue regulatorische Anforderungen existieren nie in einem luftleeren Raum. Das Verstehen bisheriger Vorgaben nimmt dir Arbeit in Bezug auf die Zukunft ab.

Physisch vs. Cyber: KRITIS-DachG und NIS2 sind Zwillinge, keine Klone:

  • KRITIS-Dachgesetz (CER): Fokussiert auf physische und operationelle Resilienz. Halt Schutz von Dingen die kaputtgehen können. Von Hochwasser bis Sabotage.
  • NIS2-Umsetzungsgesetz (NIS2): Fokussiert auf Cybersicherheit. Schutz vor digitalen Bedrohungen. Von Ransomware bis Hackerangriff.
Der Zusammenhand machts. Jeder Betreiber einer kritischen Anlage nach dem KRITIS-DachG wird automatisch eine „besonders wichtige Einrichtung“ unter der NIS2. Gesetzgeber sind schlauer als manche ihnen zugestehen. Damit unterliegt dein Unternehmen direkt den strengsten Cybersicherheitsauflagen: den höchsten Bußgeldern (bis 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes.), den engsten Meldefristen (24 Stunden) und der expliziten persönlichen Haftung der Geschäftsführung. CER und NIS2 sind nicht getrennt, sie gehören zusammen.

Der 27001-Trugschluss: Es reicht nicht!

Einige wiegen sich kontinuierlich in Sicherheit mit Äußerungen wie: „Wie sind ISO 27001 zertifiziert, wir sind schon sicher.“

Selbstsicher falsch liegen, ist 2025 der beliebteste Fehler von allen. Ein funktionierendes Informationssicherheits-Managementssystem (ISMS) ist ein guter Anfang, reicht aber nicht aus (in Bezug auf CER/KRITIS-DachG).

Die Lücken:

  1. Geltungsbereich/Scope: Der Scope bei einer 27001-Zertifizierung ist eine unternehmerische Entscheidung und oftmals relativ eng gefasst (Bsp.: IT-Systeme im Hauptsitz). Der Scope des KRITIS-DachG ist eine gesetzliche Vorgabe und umfasst den gesamten End-to-End-Prozess zur Erbringung der kritischen Dienstleistung, inkl. Betriebstechnik (OT), Lieferketten und externen Abhängigkeiten.
  2. Risikofokus: Die ISO 27001 konzentriert sich auf das CIA-Triad (Vertraulichkeit, Integrität und Verfügbarkeit) bzgl. Informationen. Das ist explizit ungleich dem „All-Gefahren-Ansatzes“ der CER-Richtlinie. Hier geht es um das Aufrechterhalten eines physischen Dienstes. Euer ISMS ist unter Umständen blind für Risiken wie die Pleite eines wichtigen physischen Zulieferers.
  3. Rechtscharakter: Die ISO 27001 ist ein freiwilliger Standard. Kunden sehen das mitunter anders, aber eigentlich muss es nicht sein. Das KRITIS-Dachgesetz ist ein Gesetz mit erbarmungsloser 24-Stunden-Meldepflicht an eine Behörde und direkten staatlichen Aufsichtsbefugnissen. Ein ISO-Zertifikat bietet 0% rechtlichen Schutz vor diesen Plichten und den drohenden Strafen im Falle eines Verstoßes.

Um das Zusammenspiel zu verdeutlichen und zu zeigen, warum ein Managementsystem für Geschäftskontinuität (BCMS) nach ISO 22301 eine ebenso wichtige Säule wie ISO 27001 wird, hier ein Vergleich der wichtigsten Regelwerke:

  • KRITIS-Dachgesetz (CER): Hier geht es um physische und operationelle Resilienz, angetrieben durch eine gesetzliche Pflicht. Der Risikoansatz umfasst alle Gefahren (Natur, Unfall, Vorsatz). Die Haftung der Geschäftsführung ist hoch, es besteht eine 24-Stunden-Meldepflicht an BBK/BSI und das Kernergebnis ist ein formeller Resilienzplan.
  • NIS2-Umsetzungsgesetz: Der Fokus liegt auf der Cyber-Resilienz, ebenfalls als gesetzliche Pflicht. Der Risikoansatz konzentriert sich auf Cyber-Bedrohungen. Auch hier ist die Haftung der Geschäftsführung hoch und es gibt eine 24-Stunden-Meldepflicht (an BSI/CSIRT). Das Ziel sind implementierte Risikomanagementmaßnahmen.
  • ISO/IEC 27001:2022 (Informationssicherheit): Dies ist ein freiwilliger Standard mit Fokus auf dem Schutz von Informationen (CIA). Die Haftung der Geschäftsführung ist nur indirekt über die allgemeine Sorgfaltspflicht gegeben, eine Meldepflicht existiert nicht. Das Kernergebnis ist ein Statement of Applicability (SoA).
  • ISO 22301:2019 (Geschäftskontinuität/BCM): Auch dies ist ein freiwilliger Standard, der auf die Aufrechterhaltung der Geschäftskontinuität bei Störungen abzielt. Wie bei der ISO 27001 ist die Haftung indirekt und es gibt keine Meldepflicht. Das Kernergebnis ist eine Business Impact Analysis (BIA).

KRITIS-DachG Umsetzung: Praktische Auswirkungen für Unternehmen und Geschäftsführung

Die Neuerungen werden eine ernste Veränderung für deine Governance, Budgetplanung und persönliche Verantwortung bedeuten.

Haftung: Es wird persönlich

Resilienz ist unmissverständlich Chefsache. Das Gesetz erfordert, dass die Geschäftsführung Resilienzmaßnahmen formell genehmigt und ihr Umsetzung kontinuierlich überwacht. Keine Abstreitbarkeit, direkte nachweisbare Verantwortung.

Das aus allgemeinen Gesetzen, wie dem §43 GmbHG, resultierende Haftungsrisiko wird durch diese neuen spezifischen auditierbaren Pflichten massiv verschärft. Das NIS2-Umsetzungsgesetz, der Zwilling des Dachgesetzes, macht es transparent:

Verstöße können nicht nur zu Bußgeldern führen, sondern auch zu einem (temporären) Verbot, eine Geschäftsführerposition auszuüben.

Was gern übersehen wird: Die Schulungspflicht für die Geschäftsführung. Der NIS2-Entwurf schreibt regelmäßige Schulungen zu Cyber- und Resilienzrisiken für die Leitungsebene vor. Auch wenn der Outlook-Kalender bereits dicht ist.

Es handelt sich hier um einen juristischen Hebel. Ein Geschäftsführer, der kein adäquates Schulungsniveau nachweisen kann, kann sich im Schadensfall nicht mehr auf Unwissenheit berufen. Jemand böswilliges könnte das als grob fahrlässig deuten. Directors & Officers-Versicherungen schließen grobe Fahrlässigkeit häufig aus. Fortbildung wird damit zur persönlichen Risikovorsorge.

Budgets, Personal und die „Hidden Costs“

Kosten für Resilienzmaßnahmen wie Zäune, Kameras und Notstrom sind überschaubar. Die „Hidden Costs“ verbergen sich anderswo:

  • Personal: Der akute Fachkräftemangel in der Cyber- und physischen Sicherheit wird sich zu einem regelrechten „Krieg um Talente“ ausweiten. Gehälter und Rekrutierungskosten werden explodieren. (Vibe Coding wird das nochmals verschärfen. Danke ChatGPT, Claude und Co.)
  • Beratung: Die Komplexität der „All-Gefahren“-Risikoanalysen, der Abhängigkeitsanalysen und der rechtlichen Gap-Analysen wird hohe Ausgaben für externe Spezialisten erfordern.
  • Nachweisführung: Compliance ist kein einmaliges Projekt. Das Gesetz etabliert einen permanenten Zyklus aus Risikoanalyse, Maßnahmenumsetzung und Nachweisführung gegenüber den Behörden. Das schafft ein neues, dauerhaftes Cost-Center.
  • Lieferkette: Die Anforderungen an die Resilienz auf deine kritischen Lieferanten auszuweiten, sie zu auditieren und vertraglich abzusichern, ist ein gigantischer, ressourcenintensiver Kraftakt.

Hausaufgaben: Risiko, Resilienz und Meldung

Worauf mache ich mich gefasst:

  • Risikoanalyse: Mindestens alle vier Jahre, umfassend nach dem „All-Gefahren-Ansatz“.
  • Resilienzplan: Ein formales, lebendiges Dokument, das alle Maßnahmen, ihre Begründung und die Verantwortlichkeiten festhält. Es ist dein zentrales Beweismittel für die Behörden.
  • Meldung von Vorfällen: Eine strikte 24-Stunden-Frist zur Meldung erheblicher Störungen an das gemeinsame Portal von BSI und BBK. Das erfordert einen extrem effizienten, eingeübten internen Krisenprozess. (Wichtig: Erfahrungsgemäß fällt es Unternehmen sogar mit 72-Stunden-Fristen schwer. Bitte ernst nehmen!)

Starthilfe – Strategische Roadmap mit 3-Phasen-Plan

Handlungsempfehlungen ohne eine vorherige Analyse sind immer schwer, aber hier zumindest meine Idee für den Anfang:

Phase 1: Standortbestimmung & Mobilisierung (Sofortmaßnahmen)

  • Betroffenheitsanalyse durchführen: Kläre formell, ob dein Unternehmen unter das Gesetz fällt. Nutze den 500.000-Personen-Schwellenwert, aber denke systemisch und beziehe Abhängigkeiten ein. Im Zweifel: Gehe davon aus, dass du betroffen bist, und dokumentiere deine Analyse.
  • High-Level-Gap-Analyse starten: Führe eine schnelle Bewertung gegen die Anforderungen des KRITIS-DachG-Entwurfs und der EU-CER-Richtlinie durch. Wo sind die offensichtlichsten Lücken in der physischen Sicherheit, den Betriebsprozessen und der Lieferkette?
  • C-Level-Verantwortung zuweisen: Benenne einen einzigen, verantwortlichen Vorstand (z. B. den COO oder einen neuen Chief Resilience Officer), der das funktionsübergreifende Projekt leitet.

Phase 2: Planung & Konzeption (Nächste 3–6 Monate)

  • Projektteam etablieren: Stelle eine interdisziplinäre Taskforce zusammen mit Vertretern aus IT, OT/Betrieb, Facility Management, Einkauf, Personal, Recht und Kommunikation.
  • Detaillierte Risikoanalyse durchführen: Führe die vollständige „All-Gefahren“-Risikoanalyse durch. Ziehe externe Experten hinzu, wo interne Kompetenzen fehlen.
  • Resilienzplan entwerfen: Erstelle den ersten offiziellen Entwurf des Resilienzplans, der konkrete Maßnahmen, Zeitpläne, Verantwortlichkeiten und KPIs enthält.
  • Budget sichern: Präsentiere einen umfassenden Business Case an Vorstand und Aufsichtsrat, der die gesetzlichen Pflichten, die Risiken der Nichterfüllung und die notwendigen Investitionen klar darlegt.

Phase 3: Umsetzung & Betrieb (Laufend bis 2026 und darüber hinaus)

  • Maßnahmen umsetzen: Rolle die priorisierten technischen (z. B. Notstrom, Zutrittskontrollen) und organisatorischen (z. B. Update des Krisenstabs, neue Kommunikationsprotokolle) Maßnahmen aus.
  • Meldeprozesse etablieren und testen: Definiere, dokumentiere und übe den 24-Stunden-Meldeprozess. Kläre, wer einen meldepflichtigen Vorfall deklarieren und die Meldung auslösen darf.
  • Schulungen durchführen und dokumentieren: Führe verpflichtende Resilienz-Schulungen für alle relevanten Mitarbeiter durch, mit spezifischen, dokumentierten Sitzungen für die Geschäftsführung.

Fallstricke und ein Blick in den Spiegel

Insgesamt wird es nicht einfach, aber wenn man ehrlich mit sich und seinem Team ist, können dumme Fehler vermieden werden.

Typische Irrtümer & Ausreden:

  • „Wir sind doch schon ISO 27001-zertifiziert …“ – Wie gezeigt, ist das eine gefährliche Fehleinschätzung, die in eine falsche Sicherheit wiegt.
  • „Das ist ein Thema für die IT / den Werkschutz.“ – Dieses Silodenken steht im direkten Widerspruch zum integrierten Ansatz des Gesetzes.
  • „Wir warten, bis das Gesetz und alle Verordnungen final sind.“ – Eine hochriskante, reaktive Strategie. Die klaren Vorgaben der CER-Richtlinie und die langen Vorlaufzeiten für die Umsetzung machen Abwarten zu einem Rezept für das Scheitern.

So richtig schwierig: Lieferkette und Personal

Stell dir selbst diese Frage: „Hast du deine kritischsten Lieferanten schon gefragt, wie resilient sie sind? Und was ist dein Plan B, wenn die Antwort ein Achselzucken ist?“ Das Gesetz macht dich für das Management dieser Drittparteien-Risiken verantwortlich. Das ist wohl der komplexeste und teuerste Teil der neuen Regulierung.

Und die nächste harte Frage: „Woher nimmst du die Leute, um das alles umzusetzen und zu betreiben?“ Der extreme Mangel an Fachkräften ist eine massive operative Bremse. Mögliche Antworten: aggressiv in die Weiterbildung eigener Mitarbeiter investieren, strategische Partnerschaften mit Spezialisten eingehen und Automatisierung nutzen.

Was tun im regulatorischen Nebel?

Das Problem der noch ausstehenden Detailverordnungen ist real. Der Rat ist trotzdem klar und umsetzbar: Handle so, als würden die Anforderungen der EU-CER-Richtlinie 1:1 in deutsches Recht übersetzt. Wenn du im Nachhinein nur 90% richtig liegst, dann ist es besser als gewartet zu haben.

Fazit: Vom Pflichtprogramm zu strategischer Kür

Das KRITIS-Dachgesetz ist und wird mehr als nur noch ein weiteres Gesetz. Es handelt sich einen staatlich angeordneten Stresstest für die Widerstandsfähigkeit deines gesamten Geschäftsmodells.

Diese Art von Vorgaben als lästige Pflicht zu sehen ist zu kurz gedacht. Ein resilientes Unternehmen zu sein und als verlässlicher Partner zu gelten, sollte Teil eines nachhaltigen Leitbildes sein. Diese Bemühungen zu dokumentieren und nachweisbar zu machen ist dann ein leichtes.

Die Frage ist nicht, ob du dich damit befassen musst, sondern wann. Die Uhr tickt. Wer jetzt proaktiv handelt, gestaltet die Zukunft seines Unternehmens. Wer wartet, wird von Audits, Vorfällen und den Behörden getrieben werden.

Fang halt einfach ein.

Dennis Becker
ArtikelÜber mich
© 2025 Dennis Becker
DatenschutzImpressum