Am 29. Januar hat der Bundestag das Gesetz zum Schutz kritischer Infrastrukturen (KRITIS-Dachgesetz) verabschiedet, das die EU-Richtlinie CER zur Resilienz kritischer Einrichtungen umsetzt.
Das Gesetz führt einheitliche Regeln für den physischen Schutz wichtiger Einrichtungen in den Sektoren Energie, Verkehr und Kommunikation, Finanzwesen und Versicherungen, Gesundheitswesen, Trinkwasser, Abwasser- und Abfallwirtschaft, Informations- und Kommunikationstechnologie, Lebensmittelversorgung, Raumfahrt sowie öffentliche Verwaltung ein.
Das Gesetz betrifft Einrichtungen, die mindestens 500.000 Menschen versorgen, etwa Bahnen, Banken oder Kraftwerke. Betreiber müssen regelmäßig, mindestens alle vier Jahre, Risikoanalysen durchführen, geeignete technische und organisatorische Maßnahmen zur Risikominderung umsetzen und schwerwiegende Sicherheitsvorfälle melden. Die Bundesländer können zudem eigene kritische Objekte in den Bereichen benennen, die in ihre Zuständigkeit fallen, und in jedem Land entsteht eine Institution, die für die Umsetzung der neuen Vorschriften verantwortlich ist. Die Aufsicht über das Gesetz hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das bei Verstößen Geldbußen zwischen 100.000 und 1 Million Euro verhängen kann.
Die neuen Vorschriften ergeben sich nicht nur aus EU-Vorgaben, sondern auch aus der wachsenden Zahl von Angriffen auf die Infrastruktur. Bisher wurden Schutzfragen vor allem in branchenspezifischen Gesetzen und IT-Sicherheitsvorschriften geregelt. Das neue Gesetz führt gemeinsame, sektorübergreifende Grundsätze ein und stärkt den physischen Schutz zentraler Einrichtungen.
Seit 2022 nimmt in Deutschland die Zahl sowohl physischer als auch cyberbezogener Angriffe zu. Immer häufiger kommt es zu verdächtigen Drohnenüberflügen über militärischen, energie- und verkehrsrelevanten Objekten; laut Bundeskriminalamt (BKA) wurden im vergangenen Jahr über 1.000 solcher Fälle registriert. BKA und der Verfassungsschutz (BfV) verweisen zudem auf eine Zunahme von Sabotageakten, auch unter Beteiligung ausländischer Staaten; in der ersten Jahreshälfte 2025 wurden 143 Vorfälle verzeichnet, darunter eine Brandstiftung im Hafen von Rostock.
Auch die Zahl der Cyberangriffe steigt: Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden von Mitte 2024 bis Mitte 2025 über 720 Ereignisse gezählt (im Vorjahr 490), am häufigsten in den Sektoren Gesundheit, Energie und Verkehr. Die Täter sind Kriminelle, Extremisten sowie staatlich verbundene Akteure, insbesondere aus Russland, China, Iran und Nordkorea.
Das Gesetz stieß auf Kritik als unzureichend angesichts der Bedrohungslage. Es wird darauf hingewiesen, dass detaillierte Leitlinien für Betreiber erst bis 2030 vorliegen sollen, was die vollständige Umsetzung verzögert. Zudem wird betont, dass die Regelungen nur die größten Akteure erfassen. Nicht berücksichtigt wurden unter anderem Erkenntnisse aus dem Angriff linksradikaler Extremisten auf das Berliner Stromnetz im Januar, einschließlich der Forderung nach einem Verbot der Veröffentlichung genauer Standortdaten von Energie- und Wasserleitungsnetzen; die Regierung kündigte hierzu eine separate Initiative an.
Betreiber weisen auf die Schutzkosten hin, die sie derzeit selbst tragen, und fordern Unterstützung, etwa aus dem Haushalt des Verteidigungsministeriums. Ein Problem bleibt auch die Aufteilung der Zuständigkeiten zwischen Bund und Ländern, was die Koordination der Maßnahmen erschwert.
Autor: MJ
Quelle: 1.
