KRITIS-DACHGESETZ: RESILIENZ-PFLICHTEN FÜR NETZBETREIBER
Mit dieser Seite bieten wir Ihnen einen Überblick zu den Grundlagen des KRITIS-Dachgesetzes.
Die Inhalte erheben weder den Anspruch noch können Sie eine professionelle rechtliche Beratung ersetzen.
Als Netzbetreiber sind Sie Teil der kritischen Infrastrukturen (KRITIS) in Deutschland und müssen damit rechnen, unter das anstehende KRITIS-Dachgesetz (KRITIS-DachG) zu fallen.
Auf dieser Seite erhalten Sie einen Überblick darüber, ob Sie betroffen sein könnten, welche Anforderungen Sie in diesem Fall erfüllen müssen und wie GridCal Ihnen dabei hilft, eine KRITIS-DachG-konforme Netzdigitalisierung zu realisieren.
WARUM EINE STARKE RESILIENZ FÜR NETZBETREIBER ESSENZIELL IST
Die CER-Richtlinie (Critical Entities Resilience) ist die bedeutendste europäische Vorgabe zur Regulierung der Ausfallsicherheit kritischer Infrastrukturen in der Europäischen Union.
Angesichts zunehmender Extremwetter und der steigenden Gefahr durch Sabotage, Terrorismus, (hybride) Kriegsführung und der Einschränkung von Lieferketten müssen Betreiber kritischer Anlagen deren physische Sicherheit und Abwehrfähigkeit stärken. Gemeinsam mit der NIS-2-Richtlinie (Network and Information Security) soll so der Ausfall essenzieller Versorgungseinrichtungen verhindert werden.
Im Zuge der Netzdigitalisierung benötigen Netzbetreiber zusätzliche Hard- und Softwarekomponenten und arbeiten verstärkt mit Dienstleistern zusammen. Sie müssen daher sicherstellen, dass auch Vertriebswege und externe Services zuverlässig funktionieren und vertrauenswürdig sind.
Der europäische Binnenmarkt mit seinen eng verknüpften Sektoren ist auf die länderübergreifende Funktionsfähigkeit seiner kritischen Infrastrukturen angewiesen. Dazu gehört auch das europäische Verbundsystem der länderübergreifenden Stromnetze und im weitesten Sinne die damit verbundenen Verteilnetze.
Die CER-Richtlinie (EU 2022/2557) verfolgt deshalb das Ziel, einheitliche rechtliche Standards zur Resilienz und Ausfallsicherheit von KRITIS innerhalb der Union zu etablieren.
Wie bereits bei NIS-2 hätte die Umsetzung in Deutschland bis zum 17. Oktober 2024 erfolgen sollen. Am 04. Februar 2026 wurde das Gesetz vom Bundestag verabschiedet und benötigt aktuell noch die Zustimmung des Bundesrates.
Der aktuelle Entwurf des KRITIS-DachG geht in einigen Punkten über die in der EU-Richtlinie geforderten Maßnahmen hinaus. Die wesentlichen Unterschiede sind:
- Konkretisierter Anwendungsbereich: Betroffene in den 11 KRITIS-Sektoren werden anhand von Schwellenwerten definiert.
- Höherer Schutzumfang: Neben physischen fließen explizit auch organisatorische und sektorübergreifende Gefahren mit ein.
- Weitergehende Pflichten: Zusätzlich zu Risikoanalysen und Meldepflichten besteht die Pflicht zur Registrierung und zu konkreten Resilienzplänen und Audit-Nachweisen.
- Sanktionen: Der von der EU vorgegebene Rahmen wurde um klare Bußgeld- und Vollzugsregelungen ergänzt.
- Gesetzlicher Rahmen: Statt autonom findet eine Verzahnung zur deutschen Umsetzung von NIS-2 (NIS2UmsuCG), dem IT-Sicherheitsgesetz und dem erweiterten Energiewirtschaftsgesetz (EnWG) statt.
Das KRITIS-DachG gilt, sobald es im Bundesgesetzblatt verkündet wurde. Federführend bei der Aufsicht und Koordination ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) als nationale Resilienzbehörde.
Die Aufsicht speziell im Energiesektor wird die Bundesnetzagentur (BNetzA) übernehmen. Sie ist auch dafür zuständig, bis spätestens 17. Juli 2026 alle kritischen Einrichtungen zu identifizieren, die unter das KRITIS-DachG fallen.
Im Wesentlichen gelten darunter Einrichtungen („kritische Anlage“) mit einem Schwellenwert von >500.000 zur Versorgung betroffener Personen.
Achtung: Auch Einrichtungen unter dieser Schwelle können unter das KRITIS-DachG fallen, wenn sie als „erheblich“ gelten. Dazu könnten etwa Netzbetreiber zählen, die Teil einer kritischen Kette (z. B. zur Versorgung einer anderen kritischen Anlage) oder regionale Alleinanbieter sind.
Derartige Einzelfallentscheidungen trifft das Bundesinnenministerium (BMI) oder das BBK. Es ist daher empfehlenswert, sich während der Prüfungs- und Identifikationsphase (bis 17. Juli 2026) an die BNetzA zu wenden, um eine Fallentscheidung zu forcieren.
Fristen in der Übersicht:
Ähnlich wie bei NIS-2 erfordert auch das KRITIS-DachG die Durchführung einer Risikoanalyse, die Umsetzung zahlreicher organisatorischer und technischer Maßnahmen und umfasst Registrierungs- und Meldepflichten. Der primäre Fokus liegt hierbei jedoch auf der (physischen) Resilienz.
1. Risikoanalyse (alle vier Jahre)
Alle vier Jahre ist eine Risikoanalyse und -bewertung auf Grundlage der „nationalen Risikoanalysen und Risikobewertungen und anderer vertrauenswürdiger Informationsquellen“ (§12 KRITIS-DachG) erforderlich. Dabei werden u. a. „Extremereignisse durch Unfälle, Naturgefahren und gesundheitliche Notlagen sowie hybride Bedrohungen, sicherheitsgefährdende oder andere feindliche Bedrohungen, einschließlich terroristischer Straftaten“ betrachtet.
Die Risikoanalyse spannt folgenden Rahmen auf:
- Ergebnisse aus den Nationalen Risikoanalysen
- Verfügbarkeit eigener kritischer Dienstleistungen abhängig von anderen Betreibern und Sektoren
- Allgemeine Abhängigkeit(en) von anderen Betreibern und Sektoren
- Besonderheiten maritimer Infrastruktur (z. B. Offshore)
2. Der Resilienzplan
Auf Basis der Ergebnisse der Risikoanalyse muss ein konkreter Resilienzplan nach §13 KRITIS-DachG entworfen werden. Mittels verhältnismäßiger technischer, sicherheitsbezogener und organisatorischer Maßnahmen sollen vier Ziele verfolgt werden:
- Verhindern von Vorfällen
- Gewährleistung eines angemessenen Schutzes von Liegenschaften und kritischen Anlagen
- Reaktion auf Vorfälle durch Abwehr und Begrenzung ihrer negativen Auswirkungen
- Zügige Wiederherstellung der kritischen Dienstleistung nach Vorfällen
Zu den dazu erforderlichen Maßnahmen zählen u. a.:
- Notfallvorsorge, Risiko- und Krisenmanagement
- Bauliche und technische Sicherung, Detektionsgeräte, Zugangskontrollen
- Ermittlung alternativer Lieferketten
- Sicherheitsmanagement für eigenes und externes Personal
- Schulungen, Übungen und Informationsmaterialien zur Sensibilisierung
Wie beim NIS-2-Umsetzungsgesetz wird auch im Zuge des KRITIS-DachG das Energiewirtschaftsgesetz (EnWG) erweitert.
Während die Resilienzpflichten selbst dem §13 KRITIS-DachG zu entnehmen sind, werden die Nachweise zur Erfüllung dieser Pflichten unter §5f EnWG-E geregelt. Die Kontrolle darüber unterliegt der BNetzA.
Auszug aus §5f EnWG-E (Nachweispflichten):
- Dokumentation und Nachweis: KRITIS-Betreiber müssen ihre Resilienz- und Sicherheitsmaßnahmen dokumentieren und etwa durch Zertifizierung auf Verlangen der BNetzA nachweisen.
- IT-Sicherheitskataloge: Die BNetzA erstellt (einvernehmlich mit BBK und BSI) IT-Sicherheitskatalog(e) zur Festlegung der Anforderungen an Nachweise und Zertifizierungen.
- Übermittlungspflicht: Die BNetzA kann gegenüber KRITIS-Betreibern verlangen, neben durchgeführten Risikoanalysen, -bewertungen und dem Resilienzplan auch Dokumentationen und Zertifikate zur Einhaltung der Resilienzpflichten zu übermitteln.
- Prüfungsrecht: Die BNetzA hat das Recht, die Einhaltung der Resilienzpflichten jederzeit – auch mithilfe qualifizierter unabhängiger Dritter – zu überprüfen.
- Zugang und Unterstützung: KRITIS-Betreiber müssen Zugang zu Informationen und Räumlichkeiten gewähren, Auskunft erteilen und aktiv unterstützen.
- Anordnung von Maßnahmen: Bei festgestellten Mängeln kann die BNetzA Maßnahmen und Fristen zur Beseitigung anordnen.
Die Nichteinhaltung der Vorgaben des KRITIS-DachG wird bei Vorsatz als Ordnungswidrigkeit gewertet und hat je nach Tatbestand gestaffelte Bußgelder zur Folge.
Dem aktuellen Entwurf nach lässt sich nach §24 KRITIS-DachG vorläufig der folgende Bußgeldkatalog identifizieren:
Zusätzlich ist die Geschäftsleitung nach §20 (1) KRITIS-DachG verpflichtet, für die Umsetzung der Resilienzmaßnahmen nach §13 (1) zu sorgen. Dazu gehört auch sicherzustellen, dass geeignete Organisationsmaßnahmen umgesetzt werden. Im Falle einer Pflichtverletzung gelten für die Geschäftsleitung zwei Haftungsregelungen nach §20 (2):
- Haftung nach dem für sie geltenden Gesellschaftsrecht
- Haftung nach dem KRITIS-DachG, wenn das für sie geltende Gesellschaftsrecht keine Haftungsregelungen enthält
- Betroffenheit prüfen
- Registrierung bei BNetzA innerhalb drei Monate nach Identifikation
- Risikoanalyse nach §12 KRITIS-DachG
- Resilienzplan und Maßnahmen nach §13 KRITIS-DachG spätestens zehn Monate nach Registrierung
- Nachweispflichten nach §5f EnWG-E
- Einhaltung der Meldepflichten bei Vorfällen an das BKK nach §18 KRITIS-DachG – Erstmeldung (innerhalb 24 Stunden) / ausführlicher Bericht (innerhalb 30 Tage)
KRITIS-DACHG: MIT GRIDCAL VON EINEM STARKEN PARTNER PROFITIEREN
Wenn Sie als Netzbetreiber unter das KRITIS-DachG fallen, sind Sie zur Einhaltung verpflichtet. Dazu gehört die Sorgfalt, auf zuverlässige Lieferketten und vertrauenswürdige Dienstleister zu setzen, deren Produkte und Services ebenfalls die Sicherheits- und Lieferkettenstandards erfüllen müssen.
Mit den Lösungen und Services von GridCal sind Sie für alles, was Sie für die Verteilnetzdigitalisierung brauchen, auf der sicheren Seite: von zuverlässigen Lieferketten über Services aus einer Hand bis hin zur (IT-)Sicherheit.
DIE VORTEILE VON GRIDCAL IN DER ÜBERSICHT
Lieferketten-Resilienz
GridCal ist modular und herstellerunabhängig. Unsere Hardware-Komponenten lassen sich individuell auf Ihre Bedürfnisse hin ausrichten und sind mit allen gängigen Mess- und Sensorsystemen kompatibel. Sie sind daher nicht auf Komponenten bestimmter Hersteller angewiesen und erhalten so auch schnell Ersatz. Dank Open-Source und Docker-Technologie ist unsere Software systemoffen. Sie können zudem wählen, unsere zentralen Software-as-a-Service-Pakete als On-Premise oder gehostet aus einem sicheren deutschen Rechenzentrum zu nutzen, ohne auf Hyperscaler angewiesen zu sein. Mit GridCal bleiben Sie stets flexibel und unabhängig.
Services
GridCal bietet Ihnen bei Bedarf alle Dienstleistungen zur Digitalisierung Ihres Verteilnetzes aus einer Hand – von Beratung über Implementierung bis Hosting. Unser Fokus liegt neben Zuverlässigkeit und der Einhaltung aller gesetzlicher, technischer und verbandsrechtlicher Normen und Standards auf der Sicherstellung Ihrer physischen und digitalen Souveränität. Durch unsere GridCal Alliance können wir zudem jederzeit auf ein breites Partner- und Expertennetzwerk zurückgreifen. So erhalten Sie schnell passgenaue Leistungen.
(IT-)Sicherheit
GridCal basiert auf dem Ansatz „Made in Germany“ und „IT-Security-by-Design“. Alle unsere Lösungen sind ab Werk mit den neuesten Sicherheitsfeatures ausgestattet und Updates lassen sich dank offener Architektur problemlos und unmittelbar aufspielen und ergänzen. Zu unseren IT-Security-Maßnahmen gehören etwa moderne Ende-zu-Ende-Verschlüsselung, rollenbasierte Zugriffskontrollen, SSO-Authentifizierung mit durchgehenden Security-Audits und die automatische Gerätekonfiguration. So realisieren Sie als KRITIS-Betreiber größtmögliche IT-Sicherheit, die bei der zunehmenden Digitalisierung ihrer physischen Assets (Stichwort IT/OT-Integration) unverzichtbar ist.
Die nächste Generation Cyber-Physischer Infrastrukturlösungen
Entdecken Sie mit Core, Gateway GCX & Nexus das neue Full-Service-Paket von GridCal.
Die hybride Systemlösung von der Station bis zum Netzcockpit
Digitalisieren Sie Ihr Verteilnetz dank GridCal Node und GridCal Operator sicher und wirtschaftlich von Ende zu Ende.
KOSTENLOSES GRIDCAL DEMO-KIT
Interesse geweckt? Vereinbaren Sie jetzt einen Termin für eine kostenlose Live-Demo und lernen Sie alle Vorteile von GridCal kennen!