Fraunhofer IOSB-AST unterstützt bei der Umsetzung regulatorischer Anforderungen
Bundesrat stimmt Kritis-Dachgesetz zu: Neue Anforderungen für Betreiber kritischer Infrastrukturen
Freitag, 30. Januar 2026
| Redaktion
Teilen auf:
Der Bundesrat stimmt dem Kritis-Dachgesetz zu. Schulungen zur Erfüllung aller Anforderungen bietet das Lernlabor Cybersicherheit für die Energie- und Wasserversorgung von Fraunhofer IOSB-AST
Der Bundesrat stimmt dem Kritis-Dachgesetz zu. Schulungen zur Erfüllung aller Anforderungen bietet das Lernlabor Cybersicherheit für die Energie- und Wasserversorgung, Bild: Fraunhofer IOSB-AST / Hadifilm

Nach dem Bundestag hat nun auch der Bundesrat dem Kritis-Dachgesetz zugestimmt. Mit dem Gesetz wird die europäische CER-Richtlinie in nationales Recht überführt. Damit entstehen für Betreiber kritischer Infrastrukturen umfassende neue Pflichten, insbesondere zur Risikobewertung hybrider Bedrohungen. Ziel ist es, die physische und digitale Resilienz in zentralen Versorgungsbereichen zu stärken.

Kritis-Dachgesetz als Reaktion auf hybride Bedrohungslagen

Das Gesetz verpflichtet Betreiber dazu, physische und digitale Sicherheitsmaßnahmen künftig integriert zu betrachten. Grundlage ist der sogenannte All-Gefahren-Ansatz, der neben Cyber-Angriffen auch Risiken wie Sabotage, Naturereignisse, technische Ausfälle oder operative Störungen einbezieht. Die Umsetzungsfrist der CER-Richtlinie war bereits im Oktober 2024 abgelaufen. Gegen Deutschland läuft daher ein Vertragsverletzungsverfahren der EU-Kommission.

Registrierung und Risikobewertung werden verpflichtend

Betroffen sind Unternehmen aus Sektoren wie Energie, Wasser, Verkehr oder Gesundheit, deren Anlagen mindestens 500.000 Personen versorgen. Sie müssen sich künftig registrieren, strukturierte Risikoanalysen vorlegen und Resilienz-Pläne entwickeln. Zusätzlich erhalten die Bundesländer die Möglichkeit, weitere Anlagen unterhalb dieser Schwelle zu erfassen. Dies könne jedoch laut Branchenverbänden zu einem uneinheitlichen Rechtsrahmen führen.

Kritik an Ausnahmeregeln und bürokratischer Komplexität

Der Branchenverband Bitkom begrüßt das Gesetz grundsätzlich, kritisiert jedoch die Ausnahmen für große Teile der Bundes- und Landesverwaltungen. Diese dürften beim Schutz kritischer Infrastrukturen nicht hinter privaten Betreibern zurückbleiben. Zudem warnt Bitkom vor einer Zersplitterung durch föderale Sonderregelungen und fordert bundesweit einheitliche Standards. Bitkom-Präsident Dr. Ralf Wintergerst betont zudem: „Mit dem Kritis-Dachgesetz kann Deutschlands Infrastruktur sicherer werden, wenn wir nicht zugleich an anderen Stellen neue Gefahren provozieren. Wir warnen insbesondere davor, Datenleitungen im Gigabit-Grundbuch öffentlich zugänglich zu verzeichnen. Dies würde ein zusätzliches Risiko für Sabotageakte bedeuten. Stattdessen brauchen wir in diesem Bereich Datensparsamkeit und ein strenges Sicherheits- und Zugangskonzept.“

Kritis-Anforderungen stellen Qualifikation in den Fokus

Die Umsetzung der gesetzlichen Vorgaben stellt hohe Anforderungen an Fach- und Führungskräfte. Neben der bereits geltenden NIS2-Richtlinie verschärft das Kritis-Dachgesetz die Anforderungen an Sicherheitsmanagement und organisatorische Abläufe. Die Qualifikation der Belegschaft wird damit zum entscheidenden Faktor für die Compliance und Resilienz kritischer Systeme. 

Fraunhofer bietet Schulungsprogramme für Betreiber

Mit dem Inkrafttreten des Kritis-Dachgesetzes und der bereits geltenden NIS2-Richtlinie stehen Betreiber kritischer Infrastrukturen vor der Herausforderung, neue gesetzliche Vorgaben in konkrete Maßnahmen zu überführen. Das Fraunhofer IOSB-AST bietet hierfür praxisnahe Unterstützung durch spezialisierte Schulungsprogramme am Lernlabor Cyber-Sicherheit für die Energie- und Wasserversorgung.

Die Schulungen richten sich an technische Fachkräfte, IT-Verantwortliche und Führungspersonal in kritischen Sektoren. Im Fokus steht ein ganzheitlicher Ansatz, der technische, organisatorische und personelle Aspekte verbindet. Vermittelt werden nicht nur gesetzliche Grundlagen, sondern vor allem deren praktische Umsetzung in bestehende Betriebsstrukturen.

Behandelt werden unter anderem:

  • die Analyse typischer Angriffspunkte an den Schnittstellen zwischen Büro-IT, Leit- und Steuerungstechnik (OT) sowie Fernzugängen
  • die Identifikation systemischer Schwachstellen unter realitätsnahen Bedingungen
  • Sicherheitsmaßnahmen wie Netzwerksegmentierung, Zugriffsbeschränkungen und gezieltes Monitoring
  • strukturierte Prozesse zur Angriffserkennung und Reaktion auf Sicherheitsvorfälle (Incident Response)
  • die organisatorische Einbindung von Risikobewertungen in bestehende Managementsysteme

All-Gefahren-Ansatz im Kritis-Dachgesetz

Ein besonderer Schwerpunkt liegt auf der Verknüpfung von IT-Sicherheit mit physischer Resilienz. Ziel ist es, technische Schutzmaßnahmen nicht isoliert zu betrachten, sondern mit organisatorischen und betrieblichen Anforderungen zu verzahnen, im Sinne des All-Gefahren-Ansatzes, den das Kritis-Dachgesetz vorschreibt.

Teilnehmende werden so befähigt, sowohl die Anforderungen aus der NIS2-Richtlinie als auch die des Kritis-Dachgesetzes systematisch in ihrem Arbeitsumfeld umzusetzen. Der Wissenstransfer erfolgt praxisnah, technologieoffen und anwendungsorientiert. Auf diese Weise leisten die Schulungen einen Beitrag zur Stärkung der betrieblichen Resilienz und zur Einhaltung regulatorischer Pflichten.

Auch interessant für Sie

Mobile IT/OT-Hardwaredemonstratoren, die im neuen Cyber-Sicherheit-Schulungsformat „Hack the Grid: Mission OT-Sicherheit für Energie- und Wasserversorgung“ zum Einsatz kommen
Präsidentin des BSI - Claudia Plattner
IT-Sicherheit
Holger Fischer, Director EMEA Central bei Opswat
Christoph Beckenbauer ist seit Februar 2025 neuer General Manager Memory bei Swissbit
NIS-2 Cyber-Sicherheit
Keywords:
Fraunhofer Bitkom Kritis Cybersecurity Security