Krankenhäuser, Wasserwerke, Energieversorger, Verkehrsbetriebe: Sie alle fallen unter den Begriff der kritischen Infrastruktur, kurz KRITIS. Seit März 2026 gilt für ihre Betreiber ein neues Bundesgesetz, das erstmals physische Sicherheit, Brandschutz und Gebäudedokumentation unter einen einheitlichen Rechtsrahmen stellt. Wer in einem der betroffenen Sektoren tätig ist, hat damit laufende Nachweis- und Dokumentationspflichten, die weit über bisherige Brandschutzanforderungen hinausgehen.
Was bedeutet KRITIS?
KRITIS steht für kritische Infrastrukturen, Einrichtungen und Anlagen, deren Ausfall oder Beeinträchtigung die Versorgung großer Bevölkerungsteile gefährden würde. Dazu gehören Strom- und Wasserversorgung, Krankenhäuser, Verkehrsinfrastruktur, Lebensmittelversorgung und weitere gesellschaftlich unverzichtbare Bereiche.
Der Begriff ist in Deutschland seit Jahren im Einsatz, etwa im IT-Sicherheitsgesetz und in der NIS2-Richtlinie. Bislang lag der Fokus dabei auf Cybersicherheit. Das hat sich mit dem KRITIS-Dachgesetz geändert.
Kritische Infrastruktur funktioniert, weil Menschen dafür sorgen und weil das dokumentiert ist.
Aktueller Stand: Das KRITIS-Dachgesetz ist am 17. März 2026 in Kraft getreten. Die erste Pflicht, die Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ist bis zum 17. Juli 2026 zu erfüllen. Wer diesen Schritt noch nicht abgeschlossen hat, sollte ihn unverzüglich nachholen. Die weiteren Pflichten (Risikoanalyse, Resilienzplan, laufende Nachweise) gelten dauerhaft.
Das KRITIS-Dachgesetz: Physische Sicherheit erstmals bundeseinheitlich geregelt
Das KRITIS-Dachgesetz (vollständiger Titel: Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen) setzt die europäische CER-Richtlinie in deutsches Recht um. Kern des Gesetzes: Betreiber kritischer Anlagen müssen ihre Einrichtungen nicht nur vor Cyberangriffen, sondern auch vor physischen Bedrohungen schützen und das systematisch dokumentieren und nachweisen.
Für den Gebäudebetrieb bedeutet das: Brandschutz, Zugangskontrolle, Prüfpflichten und Notfallkonzepte sind keine isolierten Compliance-Themen mehr, sondern Bestandteile eines gesetzlich geforderten Resilienzrahmens.
Welche Sektoren sind betroffen?
Das Gesetz gilt für Betreiber kritischer Anlagen in elf Sektoren:
- Energie
- Transport und Verkehr
- Wasser und Abwasser
- Gesundheit
- Ernährung
- Finanz- und Versicherungswesen
- Informationstechnik und Telekommunikation
- Weltraum (Bodeninfrastrukturen)
- Siedlungsabfallentsorgung
- Öffentliche Verwaltung
- Digitale Infrastruktur
Als Schwellenwert gilt grundsätzlich die Versorgung von mindestens 500.000 Personen. Die genaue Einstufung erfolgt anhand gesetzlich vorgegebener Kriterien und nachgelagerter Rechtsverordnungen des BBK. Jeder Betreiber muss seine Betroffenheit selbst prüfen.
Krankenhäuser zählen zu den kritischen Infrastrukturen, ihr Ausfall betrifft unmittelbar Menschenleben.
Checkliste: Persönliche Schutzausrüstung
Behalten Sie den Überblick und schließen Sie Sicherheitslücken – für maximale Arbeitssicherheit in Ihrem Betrieb.
Welche Pflichten entstehen dauerhaft?
Die Anforderungen des KRITIS-Dachgesetzes sind keine einmalige Aufgabe. Sie greifen laufend in den Betrieb ein.
Risikoanalyse nach dem All-Gefahren-Ansatz
Das Gesetz folgt einem sogenannten All-Gefahren-Ansatz: Betreiber müssen Risiken aus allen Richtungen systematisch bewerten – Sabotage, Naturkatastrophen, technische Ausfälle, menschliches Versagen. Für den Gebäudebetrieb heißt das konkret: Brandrisiken, Zugangsszenarien, Ausfallsicherheit technischer Anlagen und die Abhängigkeit von externen Dienstleistern müssen bewertet und dokumentiert vorliegen.
Resilienzplan und Dokumentationspflicht nach § 13 KRITISDachG
§ 13 des KRITIS-Dachgesetzes ist die zentrale Handlungsnorm für den laufenden Betrieb. Er verpflichtet Betreiber zu verhältnismäßigen technischen, baulichen, organisatorischen und personellen Maßnahmen. Diese Maßnahmen müssen in einem Resilienzplan dokumentiert werden – inklusive der Begründungen, warum welche Maßnahmen gewählt wurden.
§ 13 fordert unter anderem:
- physischen Schutz von Anlagen und Liegenschaften gegen unbefugten Zugang, Sabotage und sonstige physische Einwirkungen
- Maßnahmen zur Erkennung und Reaktion auf Vorfälle
- Konzepte zur zügigen Wiederherstellung kritischer Dienstleistungen nach einem Störfall
- Sicherung des Personals, das kritische Aufgaben wahrnimmt
Brandschutzbegehungen, Prüfprotokolle, Wartungsnachweise und Mängelmanagement sind damit nicht nur baurechtliche Pflicht, sie fließen direkt in den Resilienzplan ein. Wer diese Unterlagen nicht lückenlos und abrufbar vorlegen kann, hat ein Nachweisproblem gegenüber der Aufsichtsbehörde.
Meldepflicht bei Störfällen
Erhebliche Störungen und sicherheitsrelevante Ereignisse sind binnen 24 Stunden über die gemeinsame Plattform von BBK und BSI zu melden. Bei andauernden Vorfällen sind laufende Updates zu übermitteln; spätestens nach einem Monat ist ein vollständiger Abschlussbericht einzureichen. Das setzt voraus, dass Betreiber im Ernstfall sofort auf vollständige, aktuelle Dokumentation zugreifen können.
Nachweise und Wiederholungsaudits
Die Einhaltung der Resilienzanforderungen ist dem BBK alle zwei Jahre nachzuweisen. Aufsichtsbehörden können darüber hinaus jederzeit Unterlagen anfordern und Vor-Ort-Prüfungen durchführen. Mängel müssen fristgerecht behoben und dokumentiert nachgewiesen werden.
Erhebliche Störungen müssen binnen 24 Stunden gemeldet werden. Wer im Ernstfall nicht sofort auf vollständige Dokumentation zugreifen kann, verliert wertvolle Zeit.
Was bedeutet das für die Praxis im Gebäudebetrieb?
Technische Facility Manager und Betreiber, die bereits strukturierte Prüfprozesse im Brandschutz und in der Gebäudetechnik unterhalten, stehen hier nicht bei null. Viele Anforderungen des KRITIS-Dachgesetzes decken sich mit Pflichten, die aus der Betriebssicherheitsverordnung (BetrSichV), den DGUV-Vorschriften und dem baulichen Brandschutz ohnehin bestehen.
Der Unterschied liegt in der Nachweistiefe und der behördlichen Prüfbarkeit: Ein Prüfprotokoll im Papierordner ist nicht dasselbe wie ein audit-fähiger Nachweis mit Zeitstempel, Mängelhistorie und dokumentierter Maßnahmenabwicklung. Das KRITIS-Dachgesetz verlangt Letzteres.
Wer bislang auf Excel-Tabellen und lose Prüfprotokolle gesetzt hat, wird feststellen: Der Aufwand liegt weniger in den Maßnahmen selbst als in ihrer lückenlosen, jederzeit abrufbaren Dokumentation.
Viele Betreiber führen Brandschutzbegehungen, Wartungen und Prüfungen bereits gewissenhaft durch – aber die Dokumentation dazu ist über Papierordner, Excel-Tabellen und E-Mail-Anhänge verteilt. Im Auditfall oder bei einer unangekündigten Behördenprüfung wird genau das zum Problem: Nicht die fehlende Maßnahme, sondern der fehlende Nachweis. Eine digitale Dokumentationslösung wie KEVOX schafft hier Abhilfe: Prüfprotokolle, Bauteilhistorien und Mängelmanagement laufen in einem System zusammen, sind jederzeit abrufbar und bilden die Grundlage für den Resilienzplan – ohne dass dafür ein separater Dokumentationsaufwand entsteht.
Haftung: Wer trägt die Verantwortung?
Das KRITIS-Dachgesetz stellt die Geschäftsleitung persönlich in die Pflicht. Vorstände und Geschäftsführer sind nach § 20 KRITISDachG verpflichtet, die erforderlichen Resilienzmaßnahmen umzusetzen und ihre Umsetzung durch organisatorische Sicherheitsmaßnahmen sicherzustellen. Dieses Thema lässt sich nicht dauerhaft delegieren.
Die Bußgeldrahmen sind empfindlich: Bei Verstößen gegen Registrierungspflichten drohen bis zu 500.000 Euro. Kommen gleichzeitig Verstöße gegen NIS2 hinzu, sind Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes möglich.
Das Grundprinzip dahinter ist aus dem allgemeinen Haftungsrecht bekannt: Haftung trifft nicht die, die nichts getan haben – sie trifft die, die es nicht beweisen können. Das KRITIS-Dachgesetz macht diesen Grundsatz nun für den physischen Infrastrukturschutz verbindlich.
Physische Resilienz braucht lückenlose Nachweise
KRITIS ist kein Nischenthema für Großkonzerne. Jeder Betreiber einer Anlage in den elf definierten Sektoren steht in der Pflicht – und diese Pflichten sind dauerhaft, nicht einmalig. Brandschutz, Zugangskontrolle, Prüfnachweise und Notfallkonzepte sind der operative Kern des KRITIS-Dachgesetzes. Wer diese Prozesse bereits strukturiert führt, erfüllt die Grundanforderungen weitgehend – vorausgesetzt, die Dokumentation ist audit-fähig und jederzeit abrufbar.
Quellen
- Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITISDachG), BGBl. 2026 I Nr. 66 vom 16.03.2026
- Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK): Kritische Infrastrukturen
- Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates (CER-Richtlinie)
- IHK Köln: KRITIS-Dachgesetz – Was Unternehmen jetzt wissen und tun müssen (2026)
- Taylor Wessing: Registrierungspflicht für betroffene Unternehmen ab 17. Juli 2026 (März 2026)
Häufige Fragen zu KRITIS
Für wen gilt das KRITIS-Dachgesetz?
Für Betreiber kritischer Anlagen in elf definierten Sektoren, deren Einrichtungen bei Ausfall mindestens 500.000 Personen versorgungsseitig betreffen würden. Die genaue Einstufung erfolgt anhand gesetzlich vorgegebener Schwellenwerte und nachgelagerter Rechtsverordnungen des BBK. Jeder Betreiber muss seine Betroffenheit selbst prüfen.
Was ist der Unterschied zwischen KRITIS-Dachgesetz und NIS2?
NIS2 reguliert die digitale Cybersicherheit. Das KRITIS-Dachgesetz adressiert physische Resilienz: Gebäudeschutz, Zugangssicherheit, Brandschutz, Notfallkonzepte. Viele Betreiber fallen unter beide Gesetze gleichzeitig – und müssen dann beiden Anforderungen parallel gerecht werden.
Müssen bestehende Brandschutzprotokolle angepasst werden?
Nicht zwingend inhaltlich – aber in Bezug auf Struktur und Abrufbarkeit. Das KRITIS-Dachgesetz verlangt audit-fähige Nachweise, die bei Behördenanfragen und Vor-Ort-Prüfungen vollständig und sofort vorgelegt werden können. Papierordner und nicht versionierte Tabellen erfüllen diesen Anspruch in der Praxis nicht zuverlässig.
Wie oft muss die Einhaltung nachgewiesen werden?
Alle zwei Jahre gegenüber dem BBK. Zusätzlich können Aufsichtsbehörden jederzeit Unterlagen anfordern und Vor-Ort-Prüfungen anordnen.
Wer haftet, wenn Nachweise fehlen?
Primär die Geschäftsleitung. § 20 KRITISDachG stellt Vorstände und Geschäftsführer persönlich in die Pflicht. Eine reine Delegation an den Facility Manager oder Brandschutzbeauftragten entbindet die Unternehmensführung nicht von der Verantwortung.
Quellen
- Musterbauordnung (MBO), § 14 Brandschutz, Fassung November 2002 (letzte Änderung September 2022): https://bauministerkonferenz.de
- DGUV Information 205-040 „Wiederkehrende Prüffristen im Brandschutz", März 2023: https://publikationen.dguv.de
- DIN 18650 – Wartung und Prüfung von Brandschutztüren; GEZE Praxishinweise: https://www.geze.de
- CWS Brandschutz – Wartungsübersicht Brandschutzeinrichtungen: https://www.cws.com
- Arbeitsstättenverordnung (ArbStättV) und ASR A2.2 „Maßnahmen gegen Brände": https://www.baua.de
