KRITIS-Dachgesetz: Neue Pflichten für Energieversorger – Der Schutz kritischer Infrastrukturen rückt stärker in den Fokus

,

Unwetter, Hochwasser, Hitzewellen – Umweltkatastrophen nehmen zu und stellen die Versorgungssicherheit vielerorts vor Herausforderungen. Gleichzeitig zeigen geopolitische Bedrohungen, von Russlands Angriffskrieg über Cyberangriffe bis hin zu Drohnensichtungen über Energieanlagen, wie sensibel das Energiesystem geworden ist.

Am 10. September 2025 hat die Bundesregierung den Entwurf für das KRITIS-Dachgesetz (KRITIS-DG) beschlossen. KRITIS ist die Abkürzung für kritische Infrastrukturen, also für Organisationen und Systeme, die für das staatliche Gemeinwesen von entscheidender Bedeutung sind, beispielsweise in den Bereichen Energie, Wasser, Gesundheit und IT.

Ziel des KRITIS-DG ist es, erstmals bundesweit einheitliche Standards für den Schutz kritischer Infrastrukturen zu schaffen, sowohl physisch, organisatorisch als auch digital. Für Energieversorgungsunternehmen (EVU) ist das ein zentrales Thema, denn ihr Ausfall hätte unmittelbare Folgen für das gesamte Gemeinwesen. Das Gesetz soll nach parlamentarischer Beratung 2026 in Kraft treten, mit Übergangsfristen von bis zu zwei Jahren für die vollständige Umsetzung der neuen Anforderungen.

Mehr als IT-Sicherheit: Das Dachgesetz schafft ganzheitliche Resilienzpflichten

Bisherige Regelwerke wie das IT-Sicherheitsgesetz oder die NIS2-Umsetzungsrichtlinie (Netzwerk- und Informationssicherheit zur Umsetzung der EU-Richtlinie) fokussierten auf Cyberabwehr und digitale Prozesse. Das KRITIS-Dachgesetz geht deutlich weiter. Es erweitert den Schutzanspruch auf physische Anlagen, organisatorische Abläufe und strukturelle Vorsorge.

Die wichtigsten Inhalte im Überblick:

  • Geltungsschwelle bei 500.000 Personen:
    Betreiber gelten als KRITIS, wenn sie Leistungen für mindestens 500.000 Menschen bereitstellen. Das betrifft insbesondere Stadtwerke, große Netzbetreiber oder Energieversorgungsunternehmen mit regionaler Verantwortung.

  • Systemrelevanz als ergänzendes Kriterium:
    Auch Anlagen, die unterhalb der Schwelle liegen, können unter das Gesetz fallen – etwa Netzleitstellen, Umspannwerke oder Speicher, wenn sie für die Stabilität größerer Versorgungsnetze eine tragende Rolle spielen. Damit wird deutlich: Es zählt nicht nur die Größe, sondern auch die kritische Funktion im Versorgungssystem.

  • Verpflichtung zu Risikoanalysen und Schutzkonzepten:
    Betreiber müssen künftig systematisch analysieren, welchen Gefahren ihre Infrastruktur ausgesetzt ist – beispielsweise Naturkatastrophen, Sabotage oder technische Störungen. Darauf aufbauend müssen individuelle Resilienzpläne erstellt werden, inklusive Notfallmanagement, Evakuierungskonzepten und Wiederanlaufstrategien.

  • Zentrale Meldepflichten:
    Kritische Störungen oder Vorfälle sind verpflichtend an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu melden. Das BBK übernimmt auch die Aufsicht über die Einhaltung der Vorgaben.

  • Keine Doppelregulierung:
    Bestehende branchenspezifische Sicherheitsvorgaben – etwa aus dem EnWG, der NIS2-Umsetzung oder Zertifizierungen nach ISO 27001 – können anerkannt werden, sofern sie gleichwertige Standards nachweisen. Damit wird insbesondere kleineren EVU ermöglicht, bestehende Strukturen weiterzuverwenden. Die Anerkennung erfolgt auf Antrag beim BBK, das prüft, ob die vorhandenen Regelwerke den Anforderungen des KRITIS-Dachgesetzes entsprechen.

Das Dachgesetz bedeutet für Energieversorger einen Paradigmenwechsel

Für Energieversorgungsunternehmen als klassische KRITIS-Betreiber bedeutet das Dachgesetz eine deutliche Verschiebung der Anforderungen: Weg von rein digitalen Sicherheitskonzepten – hin zu einem ganzheitlichen Resilienzverständnis. Bisher lag der Fokus auf IT-Risiken wie etwa Hackerangriffen auf Netzleittechnik. Künftig müssen EVU ihre gesamte Betriebssicherheit umfassend betrachten.

Das betrifft die physische Sicherung von Anlagen, Zugangs- und Objektschutz, personelle Sicherheitskonzepte, interne Meldeketten sowie die organisatorische Notfallvorsorge. Digitale, physische und organisatorische Schutzmaßnahmen sind künftig integrativ zu managen und systematisch miteinander zu verzahnen. Damit schafft das KRITIS-Dachgesetz die Grundlage für ein neues Sicherheitsniveau im Energiesektor: robuster gegenüber komplexen Gefahrenlagen und besser auf Störungen vorbereitet.

Praktisch bedeutet das: Energieversorger werden neue Prozesse etablieren oder bestehende ausweiten müssen. Dazu gehören bereichsübergreifende Risiko-Workshops, der Aufbau von Resilienzplänen neben vorhandenen Notfall- und IT-Konzepten, regelmäßige Schulungen für Mitarbeitende sowie Investitionen in Schutztechnik wie etwa in Zutrittskontrollen, Drohnendetektion, Ersatzstromlösungen oder redundante Kommunikationswege. Auch wenn das mit Aufwand verbunden ist, bietet es eine Chance: Wer heute gezielt investiert, kann seine Krisenfestigkeit und Wettbewerbsfähigkeit nachhaltig stärken.

Branchenstimmen: Zwischen Zustimmung und Unsicherheit

Die Energiebranche begrüßt grundsätzlich das Ziel, Resilienz umfassender zu regeln. Der Verband kommunaler Unternehmen (VKU) sieht in dem Gesetz einen wichtigen Schritt zur Stärkung der Versorgungssicherheit. Gleichzeitig fordert der VKU aber auch klare Abgrenzungen und praktikable Anforderungen, insbesondere mit Blick auf kleinere und mittlere Versorger.

Ein häufig geäußerter Kritikpunkt: Der Aufwand für Risikoanalysen und Resilienzpläne sei erheblich und müsse in einheitlichen, umsetzbaren Standards definiert werden. Auch die genaue Einordnung systemrelevanter Anlagen unterhalb der Schwelle von 500.000 versorgten Personen wird in der Branche aufmerksam beobachtet.

Fazit: Resilienz wird zur strategischen Pflichtaufgabe für Energieversorger

Das neue KRITIS-Dachgesetz ist mehr als ein weiteres Gesetzesvorhaben. Es zwingt Energieversorger, ihre Sicherheitsarchitektur ganzheitlich zu denken. IT-Sicherheit allein reicht künftig nicht mehr aus. Der physische Schutz von Gebäuden, strukturiertes Notfallmanagement, Schulungen, klare Kommunikationswege und Meldeprozesse werden ebenso wichtig wie Firewalls und Zugangskontrollen.

Für viele Versorger stellt sich nun die Frage: Wo stehen wir in Sachen Resilienz – und was müssen wir organisatorisch und technisch nachrüsten? Wer bereits über Strukturen im Rahmen von NIS2, ISO 27001 oder dem IT-Sicherheitskatalog verfügt, kann darauf aufbauen – muss sie aber um physische und organisatorische Komponenten ergänzen.

Das Gesetz bietet dabei auch eine Chance: Es schafft Orientierung, um Sicherheit, Krisenmanagement und Digitalisierung enger zu verzahnen und damit die Energieversorgung langfristig robuster aufzustellen.

/von
Das könnte Dich auch interessieren
BGH-Urteil stellt strengere Anforderungen an Werbung mit dem Begriff der Klimaneutralität
Referentenentwurf zur EnWG- / MsbG-Novelle hat teilweise enorme Auswirkungen auf Messstellenbetreiber
Das Once-Only Prinzip – Durch Bürokratieabbau in der Energiewirtschaft werden Effizienzgewinne erreicht
EnWG-Referentenentwurf soll Bürokratie abbauen und Netzausbau beschleunigen
Der „Weg in die digitale Dekade“ setzt ambitionierte Ziele für die Digitalisierung in Europa
Energiewirtschaft fordert schnelle Umsetzung von Kraftwerksgesetz
Die Internationale Energieagentur (IEA) sieht beschleunigten Übergang zu erneuerbaren Energien
Die Elektrifizierung schreitet voran – Internationale Energieagentur (IEA) stellt Jahresbericht vor