Gefahrenabwehr Sicherheitskonzepte

KRITIS-Dachgesetz: Resilienz als ganzheitliche Pflicht

12. November 2025
von Holger Berens
Protection concept. Protect mechanism, system privacy. Vector illustration.
© Alex - stock.adobe.com

Ein praxisorientiertes Acht-Phasen-Modell der Resilienz zeigt, wie Betreiber von kritischen Anlagen – am Beispiel eines kommunalen Wasserwerks – den gesamten Resilienzzyklus von Prävention bis zur Wiederherstellung strukturiert umsetzen können.

Darüber hinaus wird hervorgehoben, dass dieses Modell nicht nur für KRITIS-Betreiber gilt, sondern als universeller Rahmen für physische Sicherheit und organisatorische Widerstandsfähigkeit in jedem Unternehmen eingesetzt werden sollte. Durch die Anwendung der Acht-Phasen-Logik können auch Nicht-KRITIS-Unternehmen ihre Betriebssicherheit, Compliance und Wettbewerbsfähigkeit signifikant erhöhen.

Stärkung der Widerstandsfähigkeit

Die Acht-Phasen-Logik verbindet Anforderungen des KRITIS-Dachgesetzes und der NIS-2-Richtlinie, schafft Synergien in Risiko-, Notfall- und Auditprozessen und etabliert Resilienz als ganzheitliche Führungsaufgabe moderner Organisationen.

Die fortschreitende Digitalisierung und die zunehmende Verwundbarkeit kritischer Infrastrukturen haben die Europäische Union und ihre Mitgliedstaaten dazu veranlasst, verbindliche Vorgaben für die Stärkung der physischen, organisatorischen und personellen Widerstandsfähigkeit zu schaffen. Die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (RCE- bzw. CER-Richtlinie) verpflichtet die Mitgliedstaaten, ein nationales Regelwerk einzuführen, das Betreiber kritischer Anlagen zur umfassenden Resilienz befähigt und verpflichtet.

Deutschland setzt diese Richtlinie mit dem KRITIS-Dachgesetz um – dem „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“. Es ist das erste übergreifende Rahmengesetz, das alle Sektoren der kritischen Infrastruktur gleichermaßen adressiert und die physische Resilienz als staatlich beaufsichtigte Dauerpflicht etabliert.

Stand der Gesetzgebung (November 2025)

Die Umsetzungsfrist der EU-RCE-Richtlinie endete am 17. Oktober 2024. Deutschland hat diese Frist verpasst, weshalb die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet hat. Inzwischen liegt jedoch der Kabinettsentwurf des KRITIS-Dachgesetzes vom 10. September 2025 vor. Dieser wurde am 24. Oktober 2025 als Bundesratsdrucksache 558/25 in den Bundesrat eingebracht und am 06. November 2025 im Deutschen Bundestag in erster Lesung beraten. Der Entwurf befindet sich aktuell im Innenausschuss des Bundestages.

Das Gesetz verfolgt die Zielsetzung, physische Resilienz von Betreibern kritischer Anlagen sektorenübergreifend zu harmonisieren, ohne die digitale Resilienz der NIS-2-Richtlinie zu vermischen. Es regelt also nicht Cybersicherheit, sondern den Schutz physischer Infrastrukturen, Prozesse, Menschen und Lieferketten.

Zentrale Inhalte des Entwurfs sind:
  • Pflicht zur Risikoanalyse und Risikomanagementsystemen für alle Betreiber kritischer Anlagen,
  • Pflicht zu Präventions- und Schutzmaßnahmen gegen physische, technische und hybride Bedrohungen,
  • Einrichtung von Melde- und Krisenkommunikationswegen,
  • Pflicht zur Business Continuity und Notfallvorsorge,
  • behördliche Aufsicht und Nachweisführung durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) als zentrale Fachaufsicht.

Der Entwurf legt außerdem fest, welche Einrichtungen unter den Anwendungsbereich fallen: Energieversorgung, Transport, Verkehr, Wasser- und Lebensmittelversorgung, Gesundheitswesen, Finanzwesen, Verwaltung, Abfallwirtschaft sowie Informations- und Kommunikationseinrichtungen, soweit sie physische Anlagen betreiben.

Damit schafft das KRITIS-Dachgesetz erstmals eine bundeseinheitliche Grundlage für den physischen Schutz kritischer Anlagen – unabhängig von länderspezifischen Sicherheitsgesetzen oder Sektorregelungen.

Acht Phasen der Resilienz – Praxisfall

Zur Operationalisierung der gesetzlichen Pflichten eignet sich das Acht-Phasen-Modell der Resilienz. Es bildet den vollständigen Lebenszyklus eines Krisenereignisses ab – von der Prävention bis zur Wiederherstellung.

Praxisbeispiel

Das Kommunale Wasserwerk Nord (KWN) versorgt rund 500.000 Menschen mit Trinkwasser. Aufgrund seiner Größe und Bedeutung fällt es klar in den Anwendungsbereich des KRITIS-Dachgesetzes. Die Risiken umfassen Sabotage, Stromausfälle, Extremwetter, Lieferengpässe bei Chemikalien sowie Angriffe auf die Steuertechnik.

Das Unternehmen etabliert daher ein vollständiges Resilienzmanagement entlang der acht Phasen:

Verhindern – Antizipation und Betroffenheitsprüfung

Das KWN führt eine strukturierte Betroffenheitsanalyse durch, identifiziert kritische Funktionen, Prozesse (Fassung, Aufbereitung, Speicherung, Verteilung) und erstellt eine sektorale Risikoanalyse. Frühwarnindikatoren, Szenario-Workshops und Gefährdungsabschätzungen bilden die Grundlage für präventive Sicherheitsstrategien.

Schützen – technische und organisatorische Schutzmaßnahmen

Es folgen Zutrittskontrollen, redundante Energieversorgung, Brandschutz, Zaunüberwachung, Videoanalyse, Wasserqualitäts-Sensorik, Chemikalienlager-Schutz und regelmäßige Übungen mit Polizei und Feuerwehr. Das Resilienzkonzept wird dokumentiert, regelmäßig auditiert und fortgeschrieben.

Reagieren – Notfallmanagement und Meldepflichten

Im Ereignisfall – etwa einem Eindringversuch auf dem Betriebsgelände – wird das Krisenhandbuch aktiviert. Leitwarte, Geschäftsführung, Sicherheitsbeauftragte und Behörden werden gemäß Meldeordnung eingebunden. Die Erstmaßnahmen sichern den Anlagenbetrieb und die Trinkwasserqualität.

Abwehren – operative Gegenmaßnahmen

Sabotagepunkte werden isoliert, beschädigte Komponenten ersetzt, Pumpen redundant hochgefahren. Parallel läuft die Beweissicherung und Abstimmung mit Polizei und Staatsanwaltschaft.

Folgen begrenzen – Aufrechterhaltung der Versorgung

Durch Umleitung der Fördermengen, Notpumpenbetrieb und Einsatz von Tankwagen kann die Versorgungssicherheit gewährleistet werden. Interne Kommunikation, Medienarbeit und Transparenz gegenüber Bürgern sorgen für Vertrauen.

Auffangen – Dokumentation, Nachsorge, psychologische Betreuung

Nach dem Ereignis erfolgt eine umfassende Dokumentation, Auswertung und Betreuung der Mitarbeitenden. Versicherungsansprüche und rechtliche Fragen werden abgewickelt.

Bewältigen – Wiederherstellung und Verbesserung

Das Wasserwerk prüft alle Prozesse, ändert Dienstpläne und erhöht technische Redundanzen. Die Krisenerfahrung wird in Schulungen und neue Sicherheitskonzepte überführt.

Erholen – Lernen und Weiterentwicklung

Im Management-Review werden Investitionen beschlossen, z. B. für bauliche Härtung, Klimaanpassung und Lieferantenabsicherung. Das System wird zum lernenden Organismus: Prävention, Reaktion und Erholung verschmelzen zum kontinuierlichen Verbesserungsprozess.

Dieses Beispiel zeigt, wie das Acht-Phasen-Modell den gesetzlichen Resilienzpflichten aus dem KRITIS-Dachgesetz entspricht und zugleich ein praktikabler Ordnungsrahmen für alle Betreiber wird.

Sichere Lieferkette als Bestandteil der Resilienzpflicht

Ein zentrales Element des KRITIS-Dachgesetzes ist die Pflicht zur Berücksichtigung von Abhängigkeiten in der Lieferkette. Kritische Anlagen sind nur so widerstandsfähig wie ihre schwächste vorgelagerte oder ausgelagerte Stufe. Deshalb verpflichtet der Gesetzentwurf Betreiber ausdrücklich, Zulieferer, Dienstleister und Outsourcing-Partner in das Resilienzmanagement einzubeziehen.

Diese Anforderung beruht auf zwei Grundgedanken:

  • Systemische Verwundbarkeit: Ein Wasserwerk, das Chemikalien zur Wasseraufbereitung bezieht, ist von der Funktionsfähigkeit seiner Lieferanten abhängig. Fällt die Lieferung wegen eines Unfalls, Streiks oder Sabotage aus, kann die Versorgung zusammenbrechen. Gleiches gilt für Energieversorger, die auf spezialisierte Wartungsfirmen oder IT-Dienstleister angewiesen sind.
  • Gesetzliche Verantwortungskette: Der Betreiber bleibt auch dann verantwortlich, wenn er Leistungen auslagert. Das KRITIS-Dachgesetz verpflichtet ihn daher, über vertragliche Vereinbarungen sicherzustellen, dass seine Zulieferer und Dienstleister angemessene Resilienzmaßnahmen umsetzen.
Konkret bedeutet dies:
  • In Liefer- und Dienstleistungsverträgen müssen Mindeststandards zu Sicherheit, Kontinuität und Notfallvorsorge festgeschrieben werden (z. B. Redundanzpflichten, Reaktionszeiten, Ersatzlieferungen, Krisenkommunikation).
  • Unternehmen müssen regelmäßige Prüfungen und Audits der Lieferkette durchführen.
  • Abhängigkeiten kritischer Komponenten (Chemikalien, Ersatzteile, Energie, Personal, IT-Dienstleistungen) sind zu bewerten und in die Risikoanalyse einzubeziehen.
  • Bei besonders kritischen Lieferanten wird eine Zweitquellenstrategie oder Vorratshaltung verlangt.

Durch diese Vorgaben entsteht ein Kaskadeneffekt rechtlicher Verantwortung: Betreiber verpflichten ihre Lieferanten vertraglich, ihrerseits Resilienzpflichten wahrzunehmen. So entsteht ein Netz gegenseitiger Sicherungen, das über den engeren Anwendungsbereich des Gesetzes hinaus wirkt.

Acht-Phasen-Logik auch für Nicht-KRITIS-Unternehmen sinnvoll

Auch Unternehmen, die nicht direkt unter den Anwendungsbereich des KRITIS-Dachgesetzes fallen, profitieren von der Umsetzung der Acht-Phasen-Resilienz. Erstens erhöhen sie ihre Betriebssicherheit und Verfügbarkeit. Störungen, Ausfälle oder Lieferengpässe können enorme wirtschaftliche Schäden verursachen. Resilienzmanagement senkt diese Risiken messbar.

Zweitens verbessern sie ihre Marktposition in Lieferketten. Große Betreiber kritischer Anlagen verlangen künftig vertraglich nachweisbare Resilienzstandards. Wer diese Standards früh erfüllt, sichert sich Aufträge und Reputation.

Drittens fördern sie Compliance und Nachhaltigkeit: Das Resilienzprinzip korrespondiert mit den Sorgfaltspflichten nach Lieferkettengesetz und ESG-Kriterien. Unternehmen, die Krisenfestigkeit systematisch nachweisen, erfüllen zugleich ihre unternehmerische Verantwortung.

Damit wird Resilienz zu einem universellen Wettbewerbsfaktor: Sie schützt nicht nur kritische Infrastruktur, sondern stärkt auch die gesamte wirtschaftliche und gesellschaftliche Stabilität.

Integration von physischer und digitaler Resilienz

Die Erfahrungen aus der europäischen Sicherheitsgesetzgebung zeigen, dass physische und digitale Resilienz heute nicht mehr getrennt betrachtet werden können. Während das KRITIS-Dachgesetz auf den Schutz kritischer Anlagen und physischer Prozesse zielt, adressiert das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) die Informationssicherheit und die Widerstandsfähigkeit der IT-Systeme, Netzwerke und Datenverarbeitung. Beide Regelwerke beruhen auf demselben Grundprinzip: der Aufrechterhaltung der Funktionsfähigkeit wesentlicher Dienste unter allen Umständen.

Das Acht-Phasen-Modell als verbindendes Rahmenwerk

Genau hier liegt der Mehrwert des Acht-Phasen-Modells: Es bietet einen methodischen Rahmen, der sich auf beide Dimensionen – physisch und digital – anwenden lässt. Jede der acht Phasen beschreibt einen universellen Zyklus der Krisenprävention, -reaktion und -bewältigung, der unabhängig vom Störungsursprung gültig bleibt.

  • Verhindern: In der Informationssicherheit bedeutet dies, IT-Risiken zu erkennen, Schwachstellen zu schließen und Angriffsflächen zu reduzieren. Ebenso wie bei physischen Gefahren werden hier Gefährdungsanalysen, Patch-Management und Zugangskontrollen angewendet.
  • Schützen: Firewalls, Verschlüsselung, Netzwerksegmentierung und Notstromversorgung sind die digitalen Entsprechungen zu Zäunen, Schleusen und Gebäudeschutz – beide dienen der Abschirmung kritischer Werte.
  • Reagieren und Abwehren: Incident-Response-Teams, Security Operation Center (SOC) und forensische Maßnahmen spiegeln die operativen Eingriffsschritte bei physischen Vorfällen wider. Ziel ist die schnelle Eindämmung und Sicherung der Integrität.
  • Folgen begrenzen: In beiden Welten – digital und physisch – geht es um Business-Continuity-Management, redundante Systeme, alternative Prozesse und transparente Kommunikation.
  • Auffangen, Bewältigen und Erholen: Das Lernen aus Störungen, die Dokumentation von Lessons Learned und die permanente Verbesserung schließen den Kreis der Resilienz – egal ob der Auslöser ein Cyberangriff oder ein Stromausfall war.

In der Praxis sollten Betreiber kritischer Einrichtungen daher ihre Resilienz- und Informationssicherheitskonzepte integriert planen. Das bedeutet: ein einheitliches Risikomanagement, abgestimmte Notfall- und Krisenorganisationen, gemeinsame Schulungsprogramme und konsistente Meldewege. Physische Sicherheitsverantwortliche, IT-Sicherheitsbeauftragte und Datenschutzbeauftragte müssen als vernetztes Krisenteam agieren.

Vorteile einer solchen ganzheitlichen Anwendung
  • Vermeidung von Schnittstellenverlusten: Wenn digitale und physische Sicherheit getrennt geführt werden, entstehen blinde Flecken – etwa beim Schutz von OT-Systemen oder beim Zusammenspiel von Gebäudetechnik und Netzwerkinfrastruktur.
  • Effizienz durch Synergien: Gemeinsame Risiko-, Notfall- und Auditprozesse reduzieren Redundanzen und schaffen eine konsistente Sicherheitskultur.
  • Einheitliche Compliance: Sowohl das KRITIS-Dachgesetz als auch NIS2 verlangen Nachweise über Resilienzmaßnahmen. Ein zusammenhängendes Acht-Phasen-System deckt beide Nachweisarten ab und vereinfacht externe Prüfungen.

Damit wird das Acht-Phasen-Modell zu einem integrierten Resilienzrahmen, der physische und digitale Schutzdimensionen verbindet. Es schafft die Voraussetzung, Resilienz als ganzheitliche Führungsaufgabe zu verankern – nicht als Doppelstruktur aus „Safety“ und „Cybersecurity“, sondern als ein gemeinsames System der Unternehmenssicherheit.

Fazit

Die Verbindung beider Perspektiven ist mehr als eine formale Vereinheitlichung: Sie macht Organisationen widerstandsfähig gegen die komplexen Bedrohungen unserer Zeit – hybrid, dynamisch und vernetzt. So entsteht ein modernes Resilienzmanagement, das die Anforderungen des KRITIS-Dachgesetzes und der NIS-2-Richtlinie nicht nur erfüllt, sondern zu einem nachhaltigen Bestandteil der Unternehmensstrategie erhebt.

Das könnte Sie auch interessieren