• En
  • De
WhatsApp
Log in | register

KRITIS-Dachgesetz im Überblick

Das KRITIS-Dachgesetz setzt die CER-Richtlinie (EU) 2022/2557 um und schafft erstmals bundeseinheitliche Mindeststandards für den physischen Schutz kritischer Infrastrukturen. Betreiber kritischer Anlagen müssen sich registrieren, Risikoanalysen durchführen, Resilienzpläne erstellen und Vorfälle melden; zuständige Anlaufstelle ist das BBK in Zusammenarbeit mit dem BSI. Ziel ist es, die Versorgungs- und Staatssicherheit sektorenübergreifend zu stärken.

Christian Horres

Experte für Business Continuity Management und Risikomanagement mit über zehn Jahren Erfahrung in der Beratung von Unternehmen aus dem Bereich kritische Infrastrukturen. Sein Fokus liegt auf der Umsetzung praxisnaher Resilienzstrategien sowie der Integration internationaler Standards wie ISO 22301 und ISO 27001. Im Noveledge-Netzwerk bringt er sein Fachwissen ein, um Organisationen bei der nachhaltigen Stärkung ihrer Widerstandsfähigkeit zu unterstützen.

Inhaltsverzeichnis

Einordnung

1. Rechtsordnung
2. Begriffsbestimmung
3. Geltungsbereich
4. Anwendungsbereich
5. Zuständigkeiten & Aufsicht
6. Betreiberpflichten

6.1 Registrierung & Kontaktstelle
6.2 Nationale Risikoanalyse
6.3 Betreiber-Risikoanalyse & -bewertung
6.4 Resilienzpflichten & Resilienzplan
6.5 Nachweise, Prüf- und Anordnungsbefugnisse
6.6 Meldewesen
6.7 Geschäftsleiterpflichten
6.8 Berichte an die EU

7. Sanktionen & Rechtsfolgen
8. Exkurs
9. Praxis-Checkliste

Resilienz-Sektoren

Wesentliche Unterschiede

Harmonisierung

Fazit

Warum ein KRITIS-Dachgesetz – und warum jetzt?

Mit dem KRITIS-Dachgesetz setzt Deutschland die Richtlinie (EU) 2022/2557 („CER-Richtlinie“) zur Resilienz kritischer Einrichtungen in nationales Recht um und schafft erstmals einen bundesgesetzlichen, sektorenübergreifenden Mindeststandard für den physischen Schutz kritischer Anlagen. Der Bundeskabinettsbeschluss vom 10. September 2025 bestätigt das politische Zielbild: einheitliche Mindestanforderungen, gemeinsame Meldestelle mit dem BSI und enge Verzahnung mit dem Cybersicherheitsrecht (BSIG/NIS-2).  

Die CER-Richtlinie verpflichtet die Mitgliedstaaten u. a. zu nationalen Risikoanalysen, Identifizierung kritischer Einrichtungen, Mindestpflichten der Betreiber sowie Aufsichts- und Meldearrangements; sie ist bis 17. Oktober 2024 in nationales Recht umzusetzen.  

Einordnung, Begriffe, Geltungs- und Anwendungsbereich, Pflichten & Aufsicht

1. Rechtsordnung: EU-Rahmen, nationales Gesetz, Verhältnis zu NIS-2

Der Regierungsentwurf (Drucksache 20/13961) verankert den physischen Resilienzrahmen („All-Gefahren-Ansatz“) neben dem bestehenden IT-Sicherheitsrecht (BSIG, NIS-2-Umsetzung). Ziel ist Kohärenz, keine Doppelregulierung, u. a. über eine gemeinsame Meldestelle sowie eine gemeinsame Rechtsverordnung zur Bestimmung der Adressatenkreise (kritische Anlagen vs. NIS-2-„wichtige/besonders wichtige Einrichtungen“).  

Die CER-Richtlinie nennt Sektoren wie Energie, Verkehr, Finanzwesen, Gesundheit, Trink-/Abwasser, Ernährung, digitale Infrastruktur u. a. und gibt den Mindestrahmen vor, den das Dachgesetz national ausfüllt.  

2. Begriffsbestimmungen (Auszug aus § 2 KRITIS-DachG-E)

Der Entwurf arbeitet u. a. mit folgenden, für Anwendung und Aufsicht zentralen Begriffen:

  • Kritische Dienstleistung: eine Dienstleistung zur Versorgung der Allgemeinheit, deren Ausfall/Beinträchtigung erhebliche Folgen für Versorgungssicherheit/öffentliche Sicherheit haben kann (Begriffsrahmen § 2; konkrete Identifikation via Rechtsverordnung).
  • Kritische Anlage / Betreiber kritischer Anlagen: Anlagen, durch die eine kritische Dienstleistung erbracht wird, und die hierfür entscheidend sind; Adressat ist der Betreiber.
  • Risiko/Risikoanalyse/Risikobewertung, Resilienz, Vorfälle, Geschäftsleitung: methodische und organisatorische Grundpfeiler für Pflichten, Nachweise und Aufsicht.Diese Definitionen werden in Verordnungen und ggf. branchenspezifischen Standards weiter konkretisiert.  

3. Geltungsbereich: Herkunft aus EU-Recht, sachlicher Rahmen, Sektoren

EU-Herkunft: Das KRITIS-DachG ist die nationale Umsetzung der CER-Richtlinie und adressiert die physische Resilienz (nicht Cyber) kritischer Einrichtungen.  

Sachlicher Geltungsbereich: Das Gesetz setzt bundeseinheitliche, sektorenübergreifende Mindestvorgaben für Betreiber kritischer Anlagen (Identifizierung, Registrierung, Risikoanalysen, Resilienzpläne, Meldepflichten) und ordnet eine Aufsichtsarchitektur zu.  

Sektoren: Der Entwurf folgt der CER-Systematik (Energie; Verkehr/Transport; Finanz-/Versicherungswesen; Gesundheit; Trink-/Abwasser; Ernährung; Informationstechnik/Telekommunikation; Weltraum sowie weitere national zu bestimmende Bereiche). Die konkrete Adressatenbestimmung (welche Anlage/Dienstleistung im Detail) erfolgt per Rechtsverordnung.  

Hinweis zu Kultur/Medien/Schule/Kita: Diese Bereiche sind im Entwurf nicht ausdrücklich als eigene KRITIS-Sektoren normiert. Ihre besondere verfassungsrechtliche Relevanz, v. a. Medien für die Meinungsbildung (Art. 5 GG), ist durch das BVerfG (ZDF-Urteil) hervorgehoben und kann in der politischen/strategischen Resilienzplanung eine Rolle spielen; das ändert aber nichts an der aktuellen gesetzlichen Sektoreneinteilung.  

KRITIS24 – Sektoren von NOVELEDGE

4. Anwendungsbereich: Sektorenzugehörigkeit, Schwellenwerte, Einzelfall

Sektorzurechnung & Schwellen: Der Entwurf sieht quantitative und qualitative Kriterien vor. Als Regelschwelledient (orientierend) die Versorgung von mindestens 500.000 Einwohnern; daneben greifen qualitative Kriterien (Interdependenzen, Marktstellung, geografische Lage, Auswirkung auf Sicherheit/Versorgung). Unterhalb der Regelschwelle ist eine Einzelfall-Einstufung möglich, wenn erhebliche Auswirkungen zu erwarten sind. Die Detailbestimmung erfolgt durch Rechtsverordnung.  

„Anlage“/Ebenen: Der Anlagenbegriff ist objekt- und wirkungsbezogen; die Einstufung richtet sich nach der Bedeutung der Anlage für die jeweilige kritische Dienstleistung (nicht jedes Objekt eines Sektors ist automatisch kritisch).  

5. Zuständigkeiten & Aufsicht: Wer steuert, wer überwacht?

Gemäß § 3 des Entwurfs des KRITIS-Dachgesetzes wird die Zuständigkeitsstruktur für die Umsetzung, Aufsicht und Koordination bundesweit einheitlich festgelegt.  

Zentrale Anlaufstelle und Koordinierungsbehörde ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das als nationale Kontaktstelle im Sinne der CER-Richtlinie (EU) 2022/2557 fungiert. Es nimmt gemeinsam mit dem BSI Meldungen erheblicher Vorfälle entgegen, koordiniert die Kommunikation mit anderen Behörden und stellt die Verbindung zur Europäischen Kommission her.

Aktuelle Kontakt- und Ansprechstellen stellt das BBK auf seiner offiziellen Seite bereit.

Politische Zielsetzung (BMI): Einheitliche Mindeststandards, Vermeidung von Doppelstrukturen, klare Verantwortlichkeiten, bestätigt in den BMI-Darstellungen zum Kabinettsbeschluss und Themenportal „Schutz kritischer Infrastrukturen“.  

Neben dem BBK benennt der Entwurf in § 3 Abs. 2 KRITIS-DachG-E eine Reihe weiterer zuständiger Behörden für bestimmte Sektoren oder Teilbereiche. Diese Zuständigkeiten orientieren sich an den bestehenden Fachaufsichten und Ressortverteilungen innerhalb der Bundesverwaltung.

Dazu zählen unter anderem:

  • die Bundesnetzagentur (BNetzA) für Strom-, Erdgas- und Telekommunikationsinfrastrukturen,
  • das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Belange der Informations- und Cybersicherheit,
  • die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für den Finanz- und Versicherungssektor,
  • das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) sowie das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) für Energie- und Rohstofffragen,
  • das Bundesministerium für Gesundheit (BMG) bzw. nachgeordnet das Robert Koch-Institut (RKI) für den Gesundheitssektor,
  • und weitere Fachbehörden, etwa für Ernährung, Verkehr oder Wasserwirtschaft.

Damit entsteht ein verzahntes Aufsichtssystem, in dem das BBK die Koordinationsrolle übernimmt, während die Fachaufsicht sektorspezifisch bei den jeweils zuständigen Bundesbehörden verbleibt.

Dieses System soll Doppelstrukturen vermeiden und zugleich die Kooperation zwischen physischen Resilienzanforderungen (KRITIS-DachG) und den cyberbezogenen Anforderungen (BSIG / NIS-2) gewährleisten.

Perspektivisch ist vorgesehen, dass diese Zuständigkeitsmatrix in einer gemeinsamen Verordnung weiter präzisiert wird, um ein einheitliches Verständnis über Sektoren, Betreiber und Meldewege zu schaffen.

Behördenzuständigkeit von NOVELEDGE

6. Betreiberpflichten im Überblick

6.1 Registrierung & Kontaktstelle – § 8 KRITIS-DachG-E

Betreiber kritischer Anlagen müssen sich registrieren (digitale Plattform) und eine ständig erreichbare Kontaktstellebenennen. Bestimmte Angaben sind aktuell zu halten (u. a. Änderungen zeitnah/fristgebunden). Das Gesetz zielt auf „Once-only“-Lösungen und eine einheitliche technische Plattform (gemeinsam mit BSIG-Prozessen).  

6.2 Nationale Risikoanalyse – § 11 KRITIS-DachG-E

Die Bundesregierung (federführend BMI; Mitwirkung der Ressorts/Länder) erstellt regelmäßig nationale Risikoanalysen/-bewertungen zu den kritischen Dienstleistungen. Diese bilden den Referenzrahmen für Betreiberpflichten und sektorale Konkretisierungen.  

6.3 Betreiber-Risikoanalyse & -bewertung – § 12 KRITIS-DachG-E

Betreiber führen mindestens alle vier Jahre (sowie anlassbezogen) eine Risikoanalyse/-bewertung durch — einschließlich Interdependenzen innerhalb/zwischen Sektoren und ggf. grenzüberschreitend. Der Bund kann Methodenvorgaben/Vorlagen per Verordnung vorgeben, um Einheitlichkeit und Vergleichbarkeit zu sichern.  

6.4 Resilienzpflichten & Resilienzplan – § 13 i. V. m. § 14/§ 15 KRITIS-DachG-E

Auf Basis der Betreiber-Risikobewertung sind geeignete, verhältnismäßige Maßnahmen zu definieren und in einem Resilienzplan festzuhalten (technisch, organisatorisch, personell; inkl. Prävention, Reaktion, Wiederherstellung). Der Entwurf enthält Resilienzziele und ermächtigt zu Mindestanforderungen per Verordnung; branchenspezifische Standards können anerkannt werden.  

6.5 Nachweise, Prüf- und Anordnungsbefugnisse – § 16 KRITIS-DachG-E

Die zuständige Behörde kann Nachweise/Audits verlangen, Zutritt und Unterlagen einfordern und bei Mängeln Abhilfemaßnahmen anordnen (inkl. Mängelbeseitigungsplan).  

6.6 Meldewesen – § 18 KRITIS-DachG-E

Erhebliche Vorfälle sind unverzüglich über die gemeinsame Meldestelle (BBK/BSI) zu melden; der Entwurf sieht ein mehrstufiges Verfahren (Erstmeldung, Folgeinfos, Abschlussbericht) vor. Ziel ist Einheitlichkeit mit BSIG-Abläufen (ein Single Point of Contact).  

6.7 Geschäftsleiterpflichten – § 20 KRITIS-DachG-E

Die Geschäftsleitung trägt die Verantwortung für Organisation, Ressourcen und Prozesse zur Erfüllung der Resilienzpflichten; bei schuldhaften Pflichtverletzungen greifen die allgemeinen gesellschafts-/haftungsrechtlichen Maßstäbe.  

6.8 Berichte an die EU – § 21 KRITIS-DachG-E

Die Bundesregierung berichtet der EU regelmäßig u. a. zu nationalen Risikoanalysen, identifizierten Betreiberzahlen, Schwellenwerten und Vorfallstatistiken (Transparenz gegenüber der CER-Richtlinie).  

7. Sanktionen & Rechtsfolgen§ 24 KRITIS-DachG-E

Ordnungswidrigkeiten umfassen u. a. Verstöße gegen Registrierungs- und Meldepflichten oder die Nichtbefolgungbehördlicher Anordnungen. Bußgelder sind gestaffelt (bis in den hohen sechsstelligen Bereich, je nach Tatbestand); zudem kann die Behörde Ersatzvornahmen anordnen und die Kosten auferlegen.  

8. Exkurs: Medien/Kultur/Schule/Kita – verfassungsrechtliche Relevanz, kein eigener Sektor

Die Rundfunkfreiheit schützt die öffentliche Meinungsbildung besonders. Das BVerfG (ZDF-Urteil) betont die verfassungsrechtliche Bedeutung medienbezogener Strukturen; gleichwohl sind Medien/Kultur/Schule/Kita im Regierungsentwurf nicht als eigenständige KRITIS-Sektoren normiert. Eine spätere politische Einbindung über Strategien/Verordnungen ist davon unberührt, bedarf aber klarer Abgrenzung zum Presse-/Rundfunkrecht.  

9. Praxis-Checkliste für Betreiber

  1. Betroffenheit prüfen (Sektor/Schwelle, Einzelfall-Option) → § 4, § 5;
  2. Registrierung & Kontaktstelle anlegen/aktualisieren → § 8;
  3. Nationale Risikoanalyse beachten (§ 11) und eigene Risikoanalyse mind. 4-jährlich durchführen (§ 12);
  4. Resilienzplan erstellen/umsetzen; ggf. Mindestanforderungen/Standards anwenden (§ 13–15);
  5. Nachweise/Audits: Mitwirkung, Abhilfe bei Mängeln (§ 16);
  6. Meldungen erheblicher Vorfälle über die gemeinsame Meldestelle (§ 18);
  7. Geschäftsleiterpflichten organisatorisch verankern (§ 20);
  8. Sanktionen kennen (OWi-Tatbestände, Bußgelder/Ersatzvornahmen, § 24).  

Das KRITIS-Dachgesetz schließt die bislang fehlende bundesgesetzliche Lücke für den physischen Schutz sektorenübergreifend kritischer Anlagen und bindet diese konsistent an EU-Vorgaben (CER) und das nationale IT-Sicherheitsrecht (BSIG/NIS-2) an. Für Betreiber bedeutet das: klare Identifizierung, verbindliche Prozesse(Risk/Resilienz/Meldewesen) und einheitliche Aufsicht, mit spürbaren, aber planbaren Compliance-Pflichten und der Chance, bestehende Maßnahmen anzurechnen.  

Quellen

BMI – Kabinettsbeschluss & Materialien (DE/EN): Überblick, Ziele, Pressemitteilung (10.09.2025).  

Regierungsentwurf (Drucksache 20/13961) – Volltext mit Begründung/Normtext.  

CER-Richtlinie (EU) 2022/2557 – Original auf EUR-Lex.  

BBK – Kontakt/Ansprechstellen (zentrale nationale Anlaufstelle).  

BMI-Themenportal „Schutz Kritischer Infrastrukturen“ – Überblick & Umsetzungsstand.  

BVerfG (ZDF-Urteil) – Rundfunkfreiheit/Meinungsbildung (Art. 5 GG).  

Resilienz-Sektoren im Vergleich

Das KRITIS-Dachgesetz (physischer Schutz/Resilienz) setzt die EU-CER-Richtlinie in deutsches Recht um und schafft einen bundeseinheitlichen Rahmen für Betreiber kritischer Anlagen; die sektorale Feinauswahl soll per Rechtsverordnung erfolgen.  

Die BSI-Kritisverordnung (BSI-KritisV) konkretisiert dagegen seit Jahren die IT-KRITIS nach BSIG über sektorweise Schwellenwerte (z. B. Energie, Wasser/Abwasser, Gesundheit, Ernährung, IT/TK, Transport/Verkehr, Finanzen/Versicherungen, Siedlungsabfallentsorgung).  

Das NIS2UmsuCG (Cybersicherheit) ordnet Einrichtungen in Anlage 1 (Sektoren besonders wichtiger und wichtigerEinrichtungen) und Anlage 2 (Sektoren wichtiger Einrichtungen) den EU-NIS-2-Anhängen I/II zu.  

Sektoren Vergleich von NOVELEDGE
  • KRITIS-DachG (Rahmen + VO): Sektoren orientieren sich am CER-Raster (u. a. Energie, Verkehr/Transport, Gesundheit, Trink-/Abwasser, Ernährung, digitale Infrastruktur, Weltraum). Welche Anlagen/Dienstleistungenam Ende adressiert sind, bestimmt eine Rechtsverordnung zum Dachgesetz.
  • BSI-KritisV (BSIG-KRITIS): Legt sektorspezifische Schwellen und Anlagenkategorien fest (z. B. Erzeugungs-/Übertragungsanlagen im Sektor Energie, Anlagen und Schwellen für Ernährung etc.).
  • NIS2UmsuCG Anlage 1: Übernimmt die Hochkritikalitätssektoren nach NIS-2 (z. B. Energie, Verkehr, Bank/Finanzmarkt-Infrastruktur, Gesundheit, Trinkwasser, Digitale Infrastruktur, Raumfahrt); diese gelten regelmäßig als besonders wichtige Einrichtungen.
  • NIS2UmsuCG Anlage 2: Deckt die sonstigen kritischen Sektoren der NIS-2 ab (z. B. Post/Kurier, Abfallwirtschaft, Chemie, Lebensmittelproduktion, Forschung u. a.) und ordnet sie als wichtige Einrichtungenein.

Die wesentlichen Unterschiede

  1. Schutzziel & Gegenstand
  • KRITIS-DachG: Fokus physische Resilienz kritischer Anlagen/Dienstleistungen (All-Gefahren-Ansatz; Risiko-, Resilienz- und Meldepflichten; zentrale Anlaufstelle BBK).
  • BSI-KritisV/BSIG: Cybersicherheitsregime für KRITIS-Betreiber mit festen Schwellenwerten je Sektor und branchenspezifischen Standards (B3S).
  • NIS2UmsuCG: Cybersicherheit für Einrichtungen (nicht „Anlagen“) nach Anlage 1/2; Größe/Art und Sektor bestimmen „besonders wichtig“ vs. „wichtig“.  
  1. Trigger/Abgrenzung
  • KRITIS-DachG: Kombination aus qualitativen Kriterien und einem Regelschwellenwert (Orientierung: Wirkung auf ≥ 500.000 Einwohner) plus Einzelfall-Einstufung; Detail über VO.
  • BSI-KritisV: harte Schwellen (z. B. Leistung, Kapazität) je Anlagenkategorie.
  • NIS2UmsuCG: Sektorale Zuordnung nach Anlage 1/2; daneben Größenkriterien und Sondertatbestände (abweichend von rein anlagenbezogenen Schwellen).
  1. Begriffe & Systematik
  • KRITIS-DachG spricht von kritischer Dienstleistung / kritischer Anlage / Betreiber (physisch).
  • NIS2UmsuCG arbeitet mit Einrichtungen (Organisationseinheiten), gegliedert nach Anlage 1/2 (Cyber).
  • BSI-KritisV konkretisiert KRITIS-Betreiber über Anlagenkategorien pro Sektor.

Geplante Harmonisierung: „gemeinsame Rechtsverordnung“

Der Regierungsentwurf stellt in der Begründung klar, dass zur Übersichtlichkeit und Kohärenz eine gemeinsame Rechtsverordnung zur Bestimmung der Betreiber vorgesehen ist, um Sektor-/Adressatenkreise zwischen KRITIS-DachG und BSIG/NIS-2 zu harmonisieren („einheitlicher Blick“ auf Sektoren/Adressaten).  

Fazit

Im Ergebnis zeigt sich, das miit KRITIS-DachG, BSI-KritisV und NIS2UmsuCG für Unternehmen kein völlig neues „Paralleluniversum“ entsteht, sondern ein dreiteiliges Regulierungsgefüge, das sich inhaltlich stark überlappt, aber unterschiedliche Schwerpunkte setzt.

  • Das KRITIS-DachG adressiert vorrangig die physische Resilienz von Anlagen und Dienstleistungen, also die Fähigkeit, wesentliche Versorgungsleistungen auch unter Störungen aufrechtzuerhalten. Die konkreten Sektoren, Schwellen und Pflichten werden in Verordnungen (VO) näher bestimmt.

  • Die BSI-KritisV bleibt als bisherige Grundlage der IT-KRITIS relevant und definiert vor allem anlagenbezogene Schwellenwerte pro Sektor – mit starkem Fokus auf große, kritische technische Systeme.

  • Das NIS2UmsuCG (mit seinen Anlagen 1 und 2) legt den Fokus dagegen auf Einrichtungen und Unternehmen in NIS-2-Sektoren und adressiert primär die Cyber- und Informationssicherheit („besonders wichtige“ und „wichtige“ Einrichtungen).

Was bedeutet das für Unternehmen konkret?

Aus Unternehmenssicht lassen sich aus diesem Fazit mehrere zentrale Schlussfolgerungen ableiten:

  1. Frühzeitig prüfen, welche Regime gelten
    Unternehmen sollten systematisch klären:

    • Fallen wir unter das KRITIS-DachG (physische/versorgungsbezogene Relevanz)?
    • Sind wir nach NIS2UmsuCG als „wichtige“ oder „besonders wichtige“ Einrichtung eingestuft oder voraussichtlich betroffen?
    • Spielen bestehende Regelungen der BSI-KritisV (IT-KRITIS) für uns weiterhin eine Rolle?Diese Zuordnung ist die Grundlage für jede weitere Umsetzungsplanung.

  2. Keine Insellösungen aufbauen
    Wichtig ist, nicht drei separate Projekte (KRITIS-DachG, NIS2, IT-KRITIS) nebeneinander zu etablieren, sondern ein integriertes Resilienz- und Sicherheitsmanagement aufzubauen:

    • gemeinsames Risikomanagement,
    • abgestimmtes ISMS/Informationssicherheitsmanagement,
    • verbindliches Business Continuity Management,
    • harmonisierte Prozesse für Incident- und Krisenmanagement.

  3. BCM und Resilienz als verbindendes Dach nutzen
    Gerade weil das KRITIS-DachG physische Resilienz betont und NIS2 Cyber-Resilienz fordert, bietet sich ein ganzheitliches BCM (inkl. BIA, Wiederanlaufstrategien, Notbetrieb, Krisenkommunikation) als gemeinsames Bindeglied an.Unternehmen, die hier bereits gut aufgestellt sind, können viele gesetzliche Anforderungen strukturiert „andocken“, statt alles neu zu erfinden.

  4. Governance & Verantwortung klar verankern
    Alle drei Regime betonen, explizit oder implizit, die Verantwortung von:

    • Geschäftsleitung / Top Management,
    • benannten Rollen (z. B. CISO, BCM-Verantwortliche, KRITIS-Beauftragte),
    • und einer klaren Governance-Struktur.Ein robustes Rollen- und Gremienmodell ist daher kein „Nice-to-have“, sondern Voraussetzung, um Anforderungen nachweisbar zu erfüllen.

  5. Schnittstellen in der Lieferkette berücksichtigen
    Sowohl KRITIS-DachG als auch NIS2 denken Abhängigkeiten zu Dienstleistern und Lieferanten mit. Unternehmen sollten ihre kritischen Dienstleister und Lieferketten identifizieren und angemessene Anforderungen (z. B. Sicherheits- und BC-Klauseln, Nachweise, Auditrechte) vertraglich und organisatorisch verankern.

  6. Auf Harmonisierung vorbereitet sein
    Eine spätere gemeinsame Sektor-/Adressaten-Verordnung wird für mehr Klarheit sorgen, aber sie wird die Anforderungen nicht zurückdrehen, sondern eher bündeln und schärfen. Unternehmen, die jetzt:

    • ihre Kritikalitäten kennen,
    • Verantwortlichkeiten geklärt,
    • und grundlegende Sicherheits- und Continuity-Prozesse etabliert haben, sind deutlich besser vorbereitet, wenn die Harmonisierung kommt.

Lothar Huschbeck

Rechtsanwalt (CEO) für Verkehrsrecht, Versicherungsrecht, Arbeitsrecht und Familienrecht. Als Gründer und Inhaber der Kanzlei my-anwalt.com verantwortet er die strategische Leitung sowie die Mandantenbetreuung in komplexen zivil- und strafrechtlichen Verfahren.

Authors

Christian Horres
Christian Horres

Leave a Reply

Related Articles

Risikomanagement

Christian Horres

Risikomanagement ist ein strukturierter Prozess zur Beherrschung von Unsicherheiten und zur Sicherung der Zielerreichung. Zentrale Schritte sind die Festlegung des

Read More »

Krisenmanagement

Christian Horres

Ein strukturiertes Vorgehen ist die Grundlage erfolgreicher Krisenstabsarbeit. Die Lagebesprechung gliedert sich in die Phasen Feststellung, Beurteilung und Entscheidung. Darauf

Read More »

Newsletter abonieren - immer gut informiert

Mit unserem Newsletter bleiben Sie auf dem Laufenden. Erhalten Sie regelmäßig aktuelle Informationen rund um das Management, Sicherheit, Resilienz, neue Entwicklungen im Bereich Kritischer Infrastrukturen, Coaching sowie exklusive Einblicke in Projekte und Veranstaltungen aus dem NOVELEDGE Netzwerk.

Copyright © 2025 NOVELEDGE.de All rights reserved