Post

Deutschland März 2026: KRITIS-Dachgesetz in Kraft – CER verpflichtet 1.300 Betreiber zu Zuverlässigkeitsüberprüfungen. Validato Regulations CER digita

May 26, 2026

AM-NCDJFGerman LanguageMIL OSI
Deutschland März 2026: KRITIS-Dachgesetz in Kraft – CER verpflichtet 1.300 Betreiber zu Zuverlässigkeitsüberprüfungen. Validato Regulations CER digita

Source: Deutsche Nachrichten
Sabotage an Strom- und Gasinfrastruktur, Anschläge auf Schienennetze, Cyberangriffe auf Krankenhäuser: Die hybride Bedrohungslage gegenüber kritischen Infrastrukturen in Europa hat eine neue Qualität erreicht. Die EU hat mit der CER-Richtlinie (Critical Entities Resilience Directive, EU 2022/2557) einen einheitlichen Rechtsrahmen für die physische Resilienz kritischer Einrichtungen geschaffen.

In Deutschland trat das korrespondierende KRITIS-Dachgesetz am 16. März 2026 in Kraft. Es definiert klare Pflichten – darunter, oft unterschätzt, die systematische Überprüfung von Personal und externen Dienstleistern. Validato unterstützt mit dem Modul „Validato Regulations CER“ betroffene Organisationen beim strukturierten, DSGVO-konformen und revisionssicheren Human Risk Management.

Deutschland 2026: KRITIS-Dachgesetz – Inkrafttreten und Pflichtenprogramm

Das KRITIS-Dachgesetz (BGBl. 2026 I Nr. 66 vom 16. März 2026) schafft erstmals einen bundeseinheitlichen Rechtsrahmen für die sektorenübergreifende physische Sicherheit kritischer Infrastrukturen und ergänzt die seit Dezember 2025 geltenden NIS2-Cybersicherheitspflichten um physischen Resilienzschutz nach dem „All-Gefahren-Ansatz“.

  • Registrierung beim BBK: Bis spätestens 17. Juli 2026 müssen sich alle Betreiber kritischer Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) digital registrieren.
  • Risikoanalyse (§ 12 KRITISDachG): Spätestens neun Monate nach Registrierung; All-Gefahren-Ansatz (Naturgefahren, Terrorismus, Sabotage, Lieferkettenunterbrechungen); Wiederholung mindestens alle vier Jahre.
  • Resilienzplan (§ 13 KRITISDachG): Spätestens zehn Monate nach Registrierung; muss technische, bauliche und organisatorische Massnahmen umfassen – ausdrücklich inkl. Personalsicherheitskonzepte und Zuverlässigkeitsüberprüfungen.
  • Meldepflichten: Erstmeldung innerhalb von 24 Stunden; vollständiger Bericht innerhalb von 30 Tagen an das BBK.
  • Bussgelder: Bis zu 500.000 Euro bei KRITIS-DachG-Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei gleichzeitigen NIS2-Verstössen. Persönliche Geschäftsleiterhaftung nach § 43 GmbHG / § 93 AktG.

“Das KRITIS-Dachgesetz ist am 17. März 2026 in Kraft getreten. Es gilt. Jetzt. Risikoanalyse, Resilienzplan, Meldepflichten – und eine Pflicht zur Überprüfung von Personal in sicherheitsrelevanten Positionen.”
– pleXtec, März 2026

Die unterschätzte Kernpflicht: Personalsicherheit als Teil des Resilienzplans

Gemäss § 13 KRITISDachG und Artikel 12/13 der CER-Richtlinie muss der Resilienzplan folgende personalrelevante Massnahmen enthalten:

  • Zuverlässigkeitsüberprüfungen: Mitarbeitende und externe Dienstleister in sicherheitsrelevanten Positionen können einer Sicherheitsüberprüfung unterzogen werden – ausdrücklich im KRITIS-Dachgesetz verankert.
  • Externe Partner und Servicetechniker: Lieferanten und Servicetechniker mit physischem oder digitalem Zugang zu kritischen Anlagen unterliegen denselben Integritäts- und Zuverlässigkeitsanforderungen wie interne Mitarbeitende.
  • Zugangskontrollen: Wer wann welche kritische Anlage betreten darf – Zugangsberechtigung, Identitätsnachweise und Aktualisierung der Zugangsrechte müssen dokumentiert sein.
  • Awareness und Schulungen: Regelmässige Schulungen zu Sicherheitsbedrohungen, Sabotagepravention und Verhaltensregeln; Schulungsprogramm muss dokumentiert und Wirksamkeit nachgewiesen sein.

Die EU CER-Richtlinie: Elf Sektoren, 27 Mitgliedstaaten, eine Resilienzpflicht

Die CER-Richtlinie trat am 16. Januar 2023 in Kraft und erfasst Betreiber kritischer Einrichtungen in elf wesentlichen Sektoren:

  • Energie: Elektrizität, Erdgas, Fernwärme, Erdöl, Wasserstoffversorgung
  • Transport und Verkehr: Luftverkehr, Eisenbahn, See- und Binnenschifffahrt, Strassenverkehr
  • Bankwesen und Finanzmarktinfrastruktur
  • Gesundheitswesen: Krankenhäuser, Labore, Pharmaunternehmen, Medizingeräte
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur: Internet Exchange Points, DNS, TLD-Registrierungen, Cloud-Anbieter
  • Öffentliche Verwaltung (nationale und regionale Behörden)
  • Weltraum (Bodeninfrastrukturen für raum-gestützte Dienste)
  • Ernährung (Produktion, Verarbeitung und Vertrieb von Lebensmitteln)

Österreich: RKEG seit Oktober 2025

Österreich hat die CER-Richtlinie durch das Gesetz „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG) umgesetzt, das am 16. Oktober 2025 verkündet wurde. Zuständige Behörde ist das Bundesministerium für Inneres (BMI). Validato unterstützt österreichische KRITIS-Betreiber mit denselben Überprüfungsprozessen, abgestimmt auf das österreichische Datenschutzrecht (DSG 2018 und DSGVO).

CER und NIS2: Das komplementäre Resilienz-Duo für Deutschland und die EU

  • NIS2 (Cybersicherheit) + CER (physische Resilienz) = Vollständige Resilienz: Wer nur eines umsetzt, hat systemische Lücken.
  • DORA (seit Januar 2025): CER-Anforderungen zur physischen Resilienz und Personalsicherheit gelten ergänzend für Finanzinfrastrukturen.
  • EU AI Act: KI-Systeme in kritischen Infrastrukturen sind Hochrisiko-KI (Anhang III, Nr. 2). CER-Betreiber mit KI-gestützten Steuerungs- oder Zugangskontrollsystemen müssen beide Regelwerke erfüllen.
  • ISO 22301 (BCM): Der Resilienzplan nach KRITIS-DachG ist kompatibel mit ISO 22301 – solide Ausgangsbasis für Betreiber mit bestehendem BCM.
  • ISO 27001: Das ISMS nach ISO 27001 deckt wesentliche Teile der CER-Anforderungen ab. Integriertes Managementsystem spart erhebliche Dopplungsaufwände.

Validato Regulations CER: Das digitale Human Risk Management Framework für KRITIS-Betreiber

  • Pre-Employment-Screening: Rechtskonforme Überprüfung von Kandidaten in sicherheitsrelevanten Positionen – Identität, Strafregister, Insolvenz- und Betreibungsregister, Beschäftigungshistorie, Qualifikationen.
  • In-Employment-Monitoring: Laufendes Screening gegen SECO/OFAC/EU-Sanktionslisten, PEP-Datenbanken und Adverse Media; automatische Alerts bei neuen Treffern.
  • Externe Dienstleister-Überprüfung: Servicetechniker, IT-Dienstleister und Partner mit Zugang zu kritischen Anlagen; weltweite Abdeckung in über 200 Ländern.
  • Zuverlässigkeitsüberprüfungen nach CER/KRITIS: Strukturiertes Framework mit Differenzierung nach Sicherheitsstufen; DSGVO-konformer Einwilligungsprozess mit digitaler E-Signatur.
  • Zugangskontrolle und Dokumentation: Verwaltung von Zugangsberechtigung und Überprüfungsstatus; automatische Eskalation bei auslaufenden Überprüfungen.
  • DSGVO-konformer Überprüfungsworkflow: Rechtsgrundlagen nach DSGVO Art. 6, Art. 9 und sektorspezifischen Öffnungsklauseln; Compliance mit BDSG (Deutschland) und DSG 2018 (Österreich).
  • Globale Überprüfungsabdeckung: Besonders relevant für KRITIS-Betreiber mit internationalen Lieferketten, multinationalen Serviceverträgen oder global operierenden Infrastrukturen.
  • Revisionssicherer Audit-Trail: Zeitgestempelt, bereit für Audits durch BBK, BSI und sektorspezifische Aufsichtsbehörden (Bundesnetzagentur, BaFin, BfArM usw.).

Zahlen, Daten, Fakten: CER-Richtlinie und KRITIS-Dachgesetz in Deutschland

  • Januar 2023: CER-Richtlinie (EU 2022/2557) tritt in Kraft.
  • Oktober 2024: Ursprüngliche EU-Umsetzungsfrist – von Deutschland und mehreren Mitgliedstaaten verpasst.
  • Januar 2026: Bundestag beschliesst das KRITIS-Dachgesetz.
  • März 2026: Bundesrat stimmt dem KRITIS-Dachgesetz zu.
  • März 2026: KRITIS-Dachgesetz tritt in Kraft (BGBl. 2026 I Nr. 66).
  • Juli 2026: Registrierungsfrist für Betreiber kritischer Anlagen beim BBK.
  • 1.300 betroffene Betreiber kritischer Anlagen in Deutschland (Schätzung Gesetzgebründung).
  • 1,7 Mrd. Euro einmaliger Belastungsrichtwert; 500 Mio. Euro jährlicher Belastungsrichtwert (Gesetzgebründung, November 2024).
  • 11 Sektoren durch die CER-Richtlinie erfasst – von Energie und Transport bis Weltraum und Ernährung.
  • Bis zu 500.000 Euro Bussgelder bei rein physischen Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes bei gleichzeitigen NIS2-Verstössen.

“Physische Resilienz wird Pflicht – Das KRITIS-Dachgesetz definiert ein klares zeitliches Pflichtenprogramm. Risikoanalyse, Resilienzplan, Meldewesen – und ausdrücklich: Personalsicherheitskonzepte für Mitarbeitende und Dienstleister in sicherheitsrelevanten Positionen.”
– Kapellmann Rechtsanwälte, Januar 2026

MIL OSI