Deutschland März 2026: KRITIS-Dachgesetz in Kraft – CER verpflichtet 1.300 Betreiber zu Zuverlässigkeitsüberprüfungen. Validato Regulations CER digita
Am 16. März 2026 trat das KRITIS-Dachgesetz in Kraft. Rund 1.300 Betreiber in elf Sektoren müssen Resilienzpläne, Risikoanalysen und Personalsicherheitskonzepte umsetzen. Validato Regulations CER liefert die rechtskonforme Plattform für Integritäts-
Frankfurt, 26.05.2026 (PresseBox) - Sabotage an Strom- und Gasinfrastruktur, Anschläge auf Schienennetze, Cyberangriffe auf Krankenhäuser: Die hybride Bedrohungslage gegenüber kritischen Infrastrukturen in Europa hat eine neue Qualität erreicht. Die EU hat mit der CER-Richtlinie (Critical Entities Resilience Directive, EU 2022/2557) einen einheitlichen Rechtsrahmen für die physische Resilienz kritischer Einrichtungen geschaffen.
In Deutschland trat das korrespondierende KRITIS-Dachgesetz am 16. März 2026 in Kraft. Es definiert klare Pflichten – darunter, oft unterschätzt, die systematische Überprüfung von Personal und externen Dienstleistern. Validato unterstützt mit dem Modul „Validato Regulations CER“ betroffene Organisationen beim strukturierten, DSGVO-konformen und revisionssicheren Human Risk Management.
Deutschland 2026: KRITIS-Dachgesetz – Inkrafttreten und Pflichtenprogramm
Das KRITIS-Dachgesetz (BGBl. 2026 I Nr. 66 vom 16. März 2026) schafft erstmals einen bundeseinheitlichen Rechtsrahmen für die sektorenübergreifende physische Sicherheit kritischer Infrastrukturen und ergänzt die seit Dezember 2025 geltenden NIS2-Cybersicherheitspflichten um physischen Resilienzschutz nach dem „All-Gefahren-Ansatz“.
- Registrierung beim BBK: Bis spätestens 17. Juli 2026 müssen sich alle Betreiber kritischer Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) digital registrieren.
- Risikoanalyse (§ 12 KRITISDachG): Spätestens neun Monate nach Registrierung; All-Gefahren-Ansatz (Naturgefahren, Terrorismus, Sabotage, Lieferkettenunterbrechungen); Wiederholung mindestens alle vier Jahre.
- Resilienzplan (§ 13 KRITISDachG): Spätestens zehn Monate nach Registrierung; muss technische, bauliche und organisatorische Massnahmen umfassen – ausdrücklich inkl. Personalsicherheitskonzepte und Zuverlässigkeitsüberprüfungen.
- Meldepflichten: Erstmeldung innerhalb von 24 Stunden; vollständiger Bericht innerhalb von 30 Tagen an das BBK.
- Bussgelder: Bis zu 500.000 Euro bei KRITIS-DachG-Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei gleichzeitigen NIS2-Verstössen. Persönliche Geschäftsleiterhaftung nach § 43 GmbHG / § 93 AktG.
– pleXtec, März 2026
Die unterschätzte Kernpflicht: Personalsicherheit als Teil des Resilienzplans
Gemäss § 13 KRITISDachG und Artikel 12/13 der CER-Richtlinie muss der Resilienzplan folgende personalrelevante Massnahmen enthalten:
- Zuverlässigkeitsüberprüfungen: Mitarbeitende und externe Dienstleister in sicherheitsrelevanten Positionen können einer Sicherheitsüberprüfung unterzogen werden – ausdrücklich im KRITIS-Dachgesetz verankert.
- Externe Partner und Servicetechniker: Lieferanten und Servicetechniker mit physischem oder digitalem Zugang zu kritischen Anlagen unterliegen denselben Integritäts- und Zuverlässigkeitsanforderungen wie interne Mitarbeitende.
- Zugangskontrollen: Wer wann welche kritische Anlage betreten darf – Zugangsberechtigung, Identitätsnachweise und Aktualisierung der Zugangsrechte müssen dokumentiert sein.
- Awareness und Schulungen: Regelmässige Schulungen zu Sicherheitsbedrohungen, Sabotagepravention und Verhaltensregeln; Schulungsprogramm muss dokumentiert und Wirksamkeit nachgewiesen sein.
Die CER-Richtlinie trat am 16. Januar 2023 in Kraft und erfasst Betreiber kritischer Einrichtungen in elf wesentlichen Sektoren:
- Energie: Elektrizität, Erdgas, Fernwärme, Erdöl, Wasserstoffversorgung
- Transport und Verkehr: Luftverkehr, Eisenbahn, See- und Binnenschifffahrt, Strassenverkehr
- Bankwesen und Finanzmarktinfrastruktur
- Gesundheitswesen: Krankenhäuser, Labore, Pharmaunternehmen, Medizingeräte
- Trinkwasser und Abwasser
- Digitale Infrastruktur: Internet Exchange Points, DNS, TLD-Registrierungen, Cloud-Anbieter
- Öffentliche Verwaltung (nationale und regionale Behörden)
- Weltraum (Bodeninfrastrukturen für raum-gestützte Dienste)
- Ernährung (Produktion, Verarbeitung und Vertrieb von Lebensmitteln)
Österreich hat die CER-Richtlinie durch das Gesetz „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG) umgesetzt, das am 16. Oktober 2025 verkündet wurde. Zuständige Behörde ist das Bundesministerium für Inneres (BMI). Validato unterstützt österreichische KRITIS-Betreiber mit denselben Überprüfungsprozessen, abgestimmt auf das österreichische Datenschutzrecht (DSG 2018 und DSGVO).
CER und NIS2: Das komplementäre Resilienz-Duo für Deutschland und die EU
- NIS2 (Cybersicherheit) + CER (physische Resilienz) = Vollständige Resilienz: Wer nur eines umsetzt, hat systemische Lücken.
- DORA (seit Januar 2025): CER-Anforderungen zur physischen Resilienz und Personalsicherheit gelten ergänzend für Finanzinfrastrukturen.
- EU AI Act: KI-Systeme in kritischen Infrastrukturen sind Hochrisiko-KI (Anhang III, Nr. 2). CER-Betreiber mit KI-gestützten Steuerungs- oder Zugangskontrollsystemen müssen beide Regelwerke erfüllen.
- ISO 22301 (BCM): Der Resilienzplan nach KRITIS-DachG ist kompatibel mit ISO 22301 – solide Ausgangsbasis für Betreiber mit bestehendem BCM.
- ISO 27001: Das ISMS nach ISO 27001 deckt wesentliche Teile der CER-Anforderungen ab. Integriertes Managementsystem spart erhebliche Dopplungsaufwände.
- Pre-Employment-Screening: Rechtskonforme Überprüfung von Kandidaten in sicherheitsrelevanten Positionen – Identität, Strafregister, Insolvenz- und Betreibungsregister, Beschäftigungshistorie, Qualifikationen.
- In-Employment-Monitoring: Laufendes Screening gegen SECO/OFAC/EU-Sanktionslisten, PEP-Datenbanken und Adverse Media; automatische Alerts bei neuen Treffern.
- Externe Dienstleister-Überprüfung: Servicetechniker, IT-Dienstleister und Partner mit Zugang zu kritischen Anlagen; weltweite Abdeckung in über 200 Ländern.
- Zuverlässigkeitsüberprüfungen nach CER/KRITIS: Strukturiertes Framework mit Differenzierung nach Sicherheitsstufen; DSGVO-konformer Einwilligungsprozess mit digitaler E-Signatur.
- Zugangskontrolle und Dokumentation: Verwaltung von Zugangsberechtigung und Überprüfungsstatus; automatische Eskalation bei auslaufenden Überprüfungen.
- DSGVO-konformer Überprüfungsworkflow: Rechtsgrundlagen nach DSGVO Art. 6, Art. 9 und sektorspezifischen Öffnungsklauseln; Compliance mit BDSG (Deutschland) und DSG 2018 (Österreich).
- Globale Überprüfungsabdeckung: Besonders relevant für KRITIS-Betreiber mit internationalen Lieferketten, multinationalen Serviceverträgen oder global operierenden Infrastrukturen.
- Revisionssicherer Audit-Trail: Zeitgestempelt, bereit für Audits durch BBK, BSI und sektorspezifische Aufsichtsbehörden (Bundesnetzagentur, BaFin, BfArM usw.).
- Januar 2023: CER-Richtlinie (EU 2022/2557) tritt in Kraft.
- Oktober 2024: Ursprüngliche EU-Umsetzungsfrist – von Deutschland und mehreren Mitgliedstaaten verpasst.
- Januar 2026: Bundestag beschliesst das KRITIS-Dachgesetz.
- März 2026: Bundesrat stimmt dem KRITIS-Dachgesetz zu.
- März 2026: KRITIS-Dachgesetz tritt in Kraft (BGBl. 2026 I Nr. 66).
- Juli 2026: Registrierungsfrist für Betreiber kritischer Anlagen beim BBK.
- 1.300 betroffene Betreiber kritischer Anlagen in Deutschland (Schätzung Gesetzgebründung).
- 1,7 Mrd. Euro einmaliger Belastungsrichtwert; 500 Mio. Euro jährlicher Belastungsrichtwert (Gesetzgebründung, November 2024).
- 11 Sektoren durch die CER-Richtlinie erfasst – von Energie und Transport bis Weltraum und Ernährung.
- Bis zu 500.000 Euro Bussgelder bei rein physischen Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes bei gleichzeitigen NIS2-Verstössen.
– Kapellmann Rechtsanwälte, Januar 2026
