Open navigation
Suche
Suche
Alle Fachbereiche
Entdecken Sie die Vielfalt unserer Expertise
Internationale Büros
Erschließen Sie internationale Märkte – mit lokalen Expert:innen weltweit.
Branchen Alle anzeigen
Rechtsgebiete Alle anzeigen
Büros
Erfahren Sie mehr über unsere Präsenz bei Ihnen vor Ort.
Globale Reichweite
Entdecken Sie unsere grenzüberschreitende Kompetenz.
CMS Deutschland
CMS Deutschland Abroad
Alle Insights
Setzen Sie auf unsere Analysen und Insights und verschaffen Sie sich einen echten strategischen Vorsprung.
Individuelle Updates
Erhalten Sie passgenaue Insights und Informationen, die Ihr Business wirklich voranbringen.
Themen im Fokus Alle anzeigen
Insights nach Typ
Aktuelle Pressemitteilungen
CMS Pressemitteilungen
Erfahren Sie mehr über unsere Meilensteine, Entwicklungen und Erfolge - aktuell, aus erster Hand.
Presse- und Medienkontakte in Deutschland
Kontaktieren Sie uns
Für alle allgemeinen Anfragen.
Über CMS
CMS Careers

Wählen Sie Ihre Region

International Europa Afrika Asien-Pazifik Die Amerikas Naher Osten
Deutsch English
Legal Update Energienetze im Wandel

KRI­TIS-Ver­ord­nung: Was Betreiber kritischer Anlagen jetzt wissen müssen

16 Jun 2026 Deutschland 8 min. Lesezeit
Der Entwurf der KRITIS-Verordnung beantwortet erstmals, welche Anlagen künftig als kritisch eingestuft werden sollen. Die konkreten Anforderungen an Betreiber bleiben dagegen in wesentlichen Punkten weiterhin offen.

Mit dem Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS-Dachgesetz) gilt seit dem 17. März 2026 ein bundeseinheitlicher Rechtsrahmen für die physische Resilienz kritischer Anlagen. 

Der Entwurf der KRITIS-Verordnung konkretisiert, welche Anlagen und Betreiber künftig als kritisch eingestuft werden und damit unter die Anforderungen des KRITIS-Dachgesetzes und teilweise auch des BSI-Gesetzes fallen. Besonders betroffen sind Unternehmen aus den Sektoren Energie, Gesundheit, Finanzwesen, Verkehr, Informationstechnik und Weltraum. Während die KritisV erstmals mehr Klarheit über den Anwendungsbereich schafft, bleiben zentrale Vorgaben zu Risikoanalysen, Resilienzmaßnahmen, Registrierungspflichten und organisatorischen Anforderungen weiterhin offen. Für Unternehmen rückt daher die Frage in den Vordergrund, wie sie ihre KRITIS-, NIS2- und Cyber-Compliance-Strukturen frühzeitig auf die neuen Anforderungen vorbereiten können, wenn zugleich wesentliche Durchführungsvorschriften des Regimes noch ausstehen.

KRITIS-Dachgesetz in Kraft – zentrale Durchführungsvorschriften fehlen weiterhin

Das KRITIS-Dachgesetz (KRITIS-DachG, BGBl. 2026 I Nr. 66) ist am 17. März 2026 in Kraft getreten und setzt die CER-Richtlinie (EU) 2022/2557 in deutsches Recht um. Damit gelten erstmals bundesgesetzliche, sektorenübergreifende Anforderungen an die physische Resilienz kritischer Anlagen. Anders als die bislang vor allem durch das BSI-Gesetz geprägte KRITIS-Regulierung erfasst das Gesetz nicht nur Cyberrisiken, sondern auch physische Gefährdungen – von Naturkatastrophen und Sabotage über Terroranschläge bis hin zu Lieferkettenausfällen.

Welche Anlagen künftig in den Anwendungsbereich fallen, konkretisiert nun der Referentenentwurf der KRITIS-Verordnung (KritisV). Endgültige Klarheit besteht jedoch noch nicht: Die Verbändeanhörung ist abgeschlossen; die Ressortabstimmung läuft noch, sodass Änderungen im weiteren Verfahren nicht ausgeschlossen sind.

KRITIS-V: Neue Anlagenkategorien und erweiterter Anwendungsbereich

Methodisch orientiert sich die KritisV eng an der bisherigen BSI-KritisV. Es bleibt beim bekannten Regelschwellenwert von 500.000 versorgten Personen, ergänzt um sektorspezifische Anlagenkategorien und Schwellenwerte. Für bereits heute als KRITIS eingestufte Betreiber dürfte sich daher an der grundsätzlichen Einordnung häufig wenig ändern; eine erneute Prüfung gegen den neuen Katalog bleibt gleichwohl geboten, da neue Anlagenkategorien und die künftige Doppelwirkung für BSIG-Pflichten auch bisher erfasste Betreiber betreffen können.

Gleichzeitig setzt der Entwurf die Vorgaben der CER-Richtlinie um und erweitert den Anwendungsbereich in mehreren Bereichen spürbar. Besonders relevant sind die Änderungen im Energie-, Gesundheits-, Finanz- und Verkehrssektor sowie die Einführung des neuen Sektors Weltraum.

Energiesektor unter der KRITIS-V: Erweiterung auf Speicher-, Wasserstoff- und Kälteinfrastrukturen

Im Energiesektor erweitert der Entwurf den Kreis der als kritisch eingestuften Anlagen deutlich und trägt damit den Veränderungen der Energieinfrastruktur Rechnung. Übertragungs- und Verteilnetze waren bereits nach der BSI-KritisV erfasst. Künftig soll dieselbe Verordnung zugleich die Einordnung als kritische Anlage nach dem KRITIS-DachG und als Kritische Infrastruktur nach dem BSIG bestimmen und damit eine einheitliche regulatorische Grundlage schaffen. 

Besonders praxisrelevant ist die Einbeziehung mehrerer Anlagenkategorien, die bislang nicht ausdrücklich vom KRITIS-Regime erfasst waren. Hierzu zählen insbesondere Energiespeicheranlagen, darunter Batteriespeicher. Der maßgebliche Schwellenwert beträgt grundsätzlich 104 MW installierter Nettonennleistung. Für präqualifizierte Anlagen zur Primärregelleistung gilt ein abgesenkter Schwellenwert von 36 MW; für kontrahierte Schwarzstartanlagen entfällt er vollständig. 

Erfasst werden darüber hinaus Anlagen zur Anbindung von Erzeugungsanlagen an Verteil- und Übertragungsnetze sowie Power-to-Gas-Anlagen. Letztere fallen ab einer jährlichen Erzeugungsmenge von 5.190 GWh in den Anwendungsbereich und dürften insbesondere für größere Wasserstoffprojekte von Bedeutung sein. 

Neu eingeführt wird zudem die kritische Dienstleistung „Fernkälteversorgung“. Erfasst werden insoweit Kältewerke, Fernkältenetze sowie die hierfür eingesetzten zentralen Steuerungs- und Leitsysteme. 

Für Betreiber im Energiesektor dürfte damit nicht nur die Einordnung klassischer Erzeugungs- und Netzinfrastrukturen relevant bleiben. Auch Speicher-, Wasserstoff- und Fernkälteinfrastrukturen sollten in die Betroffenheitsanalyse einbezogen werden.

Gesundheit, Finanzwesen, Verkehr und Weltraum unter der KRITIS-V

Im Gesundheitssektor werden mehrere Kategorien neu aufgenommen: Produktionsstätten für pharmazeutische Grundstoffe, EU-Referenzlaboratorien in Deutschland sowie Forschungs- und Entwicklungseinrichtungen ab einem Schwellenwert von rund 61 Mio. Euro F&E-Investitionen jährlich. Für Produktionsstätten pharmazeutischer Grundstoffe sieht der Entwurf bislang allerdings weder Bemessungskriterium noch Schwellenwert vor – die Kategorie existiert, ist materiell aber noch unvollständig. Zugleich ersetzt der Entwurf den bisherigen Begriff „verschreibungspflichtig" durch „versorgungsrelevant", was den Adressatenkreis enger fasst als bisher. Maßgeblich ist künftig die Liste versorgungsrelevanter Arzneimittel nach § 52b Abs. 3c AMG.

Im Finanzsektor kommen die Entgegennahme von Einlagen (Schwellenwert 15 Mrd. Euro Gesamteinlagen) und die Kreditvergabe (7 Mrd. Euro Kundenkredite) als neue kritische Dienstleistungen hinzu. Für Kreditinstitute ist der Anwendungsbereich damit breiter als nach der BSI-KritisV, wobei die operative Pflichtenlast für DORA-pflichtige Häuser durch § 4 Abs. 2 KRITIS-DachG begrenzt bleibt.

Im Verkehrssektor werden Bundesautobahnen als physische Anlagenkategorie erfasst, ebenso Computerreservierungsdienste und Global Distribution Systems (Schwellenwert 20 Mio. Flugbuchungen jährlich) sowie Hafenanlagen ab 50 Mio. Tonnen Umschlag jährlich. 

Mit dem Sektor Weltraum kommt ein vollständig neuer KRITIS-Bereich hinzu. Für viele Unternehmen stellt sich damit erstmals die Frage, ob einzelne Anlagen in den Anwendungsbereich fallen.

KRITIS-Dachgesetz und BSIG: Warum eine Einstufung künftig doppelte Folgen haben kann

Die wohl folgenreichste Änderung liegt nicht in einzelnen Schwellenwerten. Das BSIG verweist bereits heute auf kritische Anlagen und kritische Dienstleistungen nach dem KRITIS-DachG; praktische Wirkung entfaltet diese Verweisung jedoch erst mit Inkrafttreten der KritisV. Künftig soll dieselbe Verordnung damit sowohl den Anwendungsbereich des KRITIS-DachG als auch den Kreis der Betreiber bestimmen, die den besonderen Anforderungen des BSIG unterliegen. Die Einstufung als kritische Anlage kann damit künftig nicht nur Pflichten zur physischen Resilienz, sondern zugleich auch zentrale Anforderungen im Bereich der Cybersicherheit auslösen.

Für Betreiber in den Sektoren Finanzwesen und Informationstechnik/Telekommunikation gilt allerdings kein vollständig deckungsgleiches Pflichtenprogramm. Beide Sektoren sind im Entwurf vollständig mit Anlagenkategorien und Schwellenwerten erfasst. Soweit für bestimmte Betreiber bereits vorrangige Spezialregime gelten – etwa DORA im Finanzsektor oder die einschlägigen Regelungen des BSIG –, treten einzelne Verpflichtungen des KRITIS-DachG zurück. Die Registrierungspflicht bleibt hiervon unberührt.

Bis zum Inkrafttreten der KritisV gilt die BSI-KritisV in ihrer aktuellen Fassung fort. Unternehmen sollten die Übergangsphase daher aufmerksam begleiten und prüfen, welche Anforderungen für ihre Anlagen jeweils maßgeblich sind.

Resilienzpflichten und Risikoanalysen: Welche Anforderungen weiterhin offen sind

So wichtig die Konkretisierung des Anwendungsbereichs ist: Die materiellen Anforderungen des neuen Regimes bleiben weitgehend offen. Weder die sektorenübergreifenden Mindestanforderungen nach § 14 KRITIS-DachG noch branchenspezifische Resilienzstandards oder nähere Vorgaben zur Durchführung von Risikoanalysen liegen bislang vor. Der Entwurf selbst räumt ein, dass der Erfüllungsaufwand für Wirtschaft und Verwaltung derzeit nicht belastbar abgeschätzt werden kann.

Damit zeichnet sich zunehmend ab, welche Unternehmen künftig dem Regime unterliegen werden. Welche organisatorischen, technischen und finanziellen Maßnahmen daraus konkret folgen, bleibt dagegen weiterhin offen.

Registrierungspflicht nach dem KRITIS-Dachgesetz: Warum Unternehmen jetzt handeln sollten

Das KRITIS-DachG verpflichtet Betreiber kritischer Anlagen zur Registrierung auf der gemeinsamen Plattform von BBK und BSI innerhalb von drei Monaten, nachdem eine Anlage als kritisch gilt (§ 8 KRITIS-DachG). Die Registrierung kann frühestens ab dem 17. Juli 2026 vorgenommen werden. Der Entwurf sieht eine Übergangsregelung vor: Anlagen, die die maßgeblichen Schwellenwerte bereits im Jahr 2025 erreicht haben, gelten mit Inkrafttreten der KritisV als kritisch; für diese Betreiber löst dieses Datum zugleich den Fristenlauf aus.

Unabhängig von den verbleibenden Unsicherheiten empfiehlt sich jedoch bereits jetzt die Vorbereitung der Registrierung. Die Pflicht ist bußgeldbewehrt (§ 24 KRITIS-DachG), während wesentliche Vorarbeiten – insbesondere die Betroffenheitsanalyse, die Benennung einer Kontaktstelle sowie die Zusammenstellung der erforderlichen Registrierungsangaben – schon heute erfolgen können.

KRITIS-Compliance und Organverantwortung: Neue Pflichten für Geschäftsleitung und Vorstand

Inhaltlicher Kern des KRITIS-DachG ist der All-Gefahren-Ansatz. Betreiber müssen sämtliche relevanten Risiken berücksichtigen und geeignete, verhältnismäßige Maßnahmen nach dem Stand der Technik treffen, um Vorfälle zu verhindern, ihre Auswirkungen zu begrenzen und die Wiederherstellung kritischer Dienstleistungen sicherzustellen. Grundlage hierfür ist eine mindestens alle vier Jahre fortzuschreibende Risikoanalyse sowie ein darauf aufbauender Resilienzplan.

Besondere Aufmerksamkeit verdient die ausdrückliche Verantwortungszuweisung an die Leitungsebene. Die Geschäftsleitung muss die Umsetzung der Resilienzmaßnahmen organisieren und überwachen (§ 20 KRITIS-DachG). Bei Pflichtverletzungen haftet sie nach den allgemeinen gesellschaftsrechtlichen Grundsätzen; das KRITIS-DachG enthält insoweit eine subsidiäre Auffangregelung. Daneben drohen Bußgelder nach § 24 KRITIS-DachG.

Resilienz wird damit ausdrücklich zur Governance-Aufgabe. Die Anforderungen des KRITIS-DachG richten sich nicht allein an Sicherheits-, Compliance- oder Krisenmanagementfunktionen, sondern erfordern eine aktive Einbindung von Vorstand und Geschäftsführung.

Was Unternehmen jetzt tun sollten

  • Betroffenheit prüfen: Das eigene Anlagenportfolio mit den Kategorien und Schwellenwerten des Verordnungsentwurfs abgleichen – insbesondere in den neu oder erweitert erfassten Bereichen Energie, Gesundheit, Finanzwesen, Verkehr und Weltraum. 
  • Regulatorische Schnittstellen identifizieren: Bestehende KRITIS-, BSIG- und NIS2-Compliance-Strukturen daraufhin überprüfen, welche Synergien genutzt und Doppelprozesse vermieden werden können. 
  • Registrierung vorbereiten: Die erforderlichen Registrierungsangaben zusammentragen, eine Kontaktstelle benennen und interne Prozesse für die Registrierung auf der gemeinsamen Plattform von BBK und BSI vorbereiten. 
  • Governance etablieren: Zuständigkeiten auf Geschäftsleitungs-, Compliance- und Sicherheitsseite festlegen und die erforderlichen Berichts- und Entscheidungswege definieren. 
  • Resilienzpflichten vorbereiten: Risikoanalyse und Resilienzplan auf Basis des bereits bekannten Rahmens konzeptionell vorbereiten und am gestaffelten Fristenregime des § 8 Abs. 7 KRITIS-DachG ausrichten.
  • Regulatorische Entwicklung beobachten: Das weitere Verordnungsverfahren sowie die angekündigten Mindestanforderungen und Handreichungen des BBK eng verfolgen.

Fazit: Mehr Klarheit bei kritischen Anlagen, offene Fragen bei der Umsetzung

Der Entwurf gibt Unternehmen erstmals eine belastbare Grundlage, um zu beurteilen, wer künftig unter das KRITIS-Dachgesetz fallen wird. Wie die Pflichten im Einzelnen auszugestalten sind, bleibt dagegen weitgehend offen. Gerade deshalb sollten Unternehmen die verbleibende Zeit nutzen, um ihre Betroffenheit belastbar zu prüfen und die erforderlichen Organisationsstrukturen aufzubauen.

Weitere Insights
TMC - Technology, Media & Communications Datenschutzrecht & Recht der IT-Sicherheit IT-Recht Life Sciences & Healthcare Infrastruktur & Projekte Energienetze im Wandel

Mehr zu diesem Thema

Energienetze im Wandel

See more
Legal Update Deutschland

Update zum AgNes-Ver­fah­ren

29 Mai 2026 12 min. Lesezeit
Legal Update Deutschland

Der Entwurf des StromVKG im Überblick

27 Mai 2026 8 min. Lesezeit
Legal Update Deutschland

EU-Grids Package

06 Mai 2026 10 min. Lesezeit
Legal Update Deutschland

Neue CMS Blogserie: Energienetze im Wandel

22 Apr 2026 5 min. Lesezeit
Legal Update Deutschland

Neues Rei­fe­grad­ver­fah­ren über Netz­an­schlüs­se am Über­tra­gungs­netz

07 Apr 2026 11 min. Lesezeit
See more

Entdecken Sie mehr

Podcast Deutschland

EU AI Act im Umbruch: Was Unternehmen jetzt wissen müssen

29 Mai 2026 1 min. Lesezeit
Event Deutschland

Zwischen Regulierung und Rendite – Wie viel Regulierung verträgt der Woh­nungs­markt?

23 Jun 2026
Expert Guide International

Protection of Graphical User Interfaces as Registered Design Rights or Design Patents in Germany

15 min. Lesezeit

Weiterführende Expertise

TMC - Technology, Media & Com­mu­ni­ca­ti­ons

Da­ten­schutz­recht & Recht der IT-Sicherheit

IT-Recht

En­er­gie­wirt­schaft & Klimaschutz

Life Sciences & Healthcare

Infrastruktur & Projekte

Zurück nach oben Zurück nach oben
Law-Now, RegZone, LEXplicite and Blogtt have moved to CMS.law. Sie finden CMS Law-Now ab sofort auf cms.law. Sie finden CMS RegZone ab sofort auf cms.law. Sie finden CMS LEXplicite ab sofort auf cms.law. Sie finden CMS bloggt ab sofort auf cms.law.
Mehr erfahren Mehr erfahren Mehr erfahren Mehr erfahren
Wenn Sie die Tools von Drittanbietern nutzen möchten, aktivieren Sie bitte in den Cookie-Einstellungen die Personalisierungscookies. Sie können diese Einstellung jederzeit ändern, indem Sie auf die folgende Schaltfläche klicken oder die Cookie-Richtlinie aufrufen.