KRITIS-Dachgesetz zwingt Betreiber zu strengen Personalprüfungen
Seit März 2026 gilt das KRITIS-Dachgesetz: Rund 1.300 Betreiber kritischer Infrastrukturen müssen Risikoanalysen, Resilienzpläne und Zuverlässigkeitsprüfungen umsetzen. Im Fokus steht erstmals auch die systematische Personalsicherheit.
Mit dem Inkrafttreten des KRITIS-Dachgesetzes am 16. März 2026 verschärft Deutschland den Schutz kritischer Infrastrukturen deutlich. Betreiber aus elf Sektoren – darunter Energie, Gesundheit, Verkehr, Finanzwesen und digitale Infrastruktur – stehen nun unter erheblichem Handlungsdruck. Neben technischen Schutzmassnahmen rückt erstmals auch die Sicherheit von Mitarbeitern und externen Dienstleistern in den Mittelpunkt.
Das Gesetz setzt die europäische CER-Richtlinie zur Resilienz kritischer Einrichtungen um und ergänzt die bereits geltenden NIS2-Vorgaben zur Cybersicherheit. Ziel ist ein umfassender Schutz vor Sabotage, Terrorismus, Cyberangriffen und Lieferkettenstörungen.
„Das KRITIS-Dachgesetz ist am 17. März 2026 in Kraft getreten. Es gilt. Jetzt“, heisst es in einer Einschätzung von pleXtec. „Risikoanalyse, Resilienzplan, Meldepflichten – und eine Pflicht zur Überprüfung von Personal in sicherheitsrelevanten Positionen.“
Betreiber müssen Fristen und Bußgelder beachten
Bis spätestens 17. Juli 2026 müssen sich betroffene Unternehmen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Danach folgen verbindliche Risikoanalysen und Resilienzpläne. Diese müssen neben baulichen und organisatorischen Schutzmassnahmen ausdrücklich auch Personalsicherheitskonzepte enthalten.
Wer gegen die Vorgaben verstösst, riskiert empfindliche Sanktionen. Das Gesetz sieht Bußgelder von bis zu 500.000 Euro vor. In Verbindung mit NIS2-Verstössen können sogar bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes fällig werden. Zusätzlich droht persönliche Haftung für Geschäftsführer und Vorstände.
Personalsicherheit wird zur Kernpflicht
Besonders brisant ist die neue Verpflichtung zur Zuverlässigkeitsüberprüfung von Mitarbeitern und externen Partnern. Betroffen sind nicht nur interne Beschäftigte, sondern auch IT-Dienstleister, Wartungstechniker und Lieferanten mit Zugang zu kritischen Anlagen.
Gefordert werden dokumentierte Zugangsregelungen, Identitätsprüfungen sowie regelmässige Schulungen zur Sabotageprävention und zum Verhalten in Sicherheitslagen. Die Vorgaben orientieren sich am sogenannten All-Gefahren-Ansatz und berücksichtigen physische wie digitale Risiken gleichermassen. „Physische Resilienz wird Pflicht“, betonen Kapellmann Rechtsanwälte. „Das KRITIS-Dachgesetz definiert ein klares zeitliches Pflichtenprogramm.“
Digitale Plattformen sollen Umsetzung erleichtern
Anbieter wie Validato positionieren sich bereits als technische Partner für die Umsetzung der neuen Anforderungen. Mit der Plattform „Validato Regulations CER“ sollen Unternehmen Zuverlässigkeitsprüfungen, Sanktionslisten-Screenings und Audit-Dokumentationen DSGVO-konform digital abwickeln können.
Der Markt gilt als erheblich: Laut Gesetzesbegründung betrifft das Regelwerk rund 1.300 Betreiber kritischer Anlagen in Deutschland. Die einmaligen Umsetzungskosten werden auf 1,7 Milliarden Euro geschätzt, hinzu kommen jährliche Belastungen von rund 500 Millionen Euro.
Mit dem KRITIS-Dachgesetz entsteht damit erstmals ein bundesweit einheitlicher Rahmen für die physische Resilienz kritischer Infrastrukturen – und ein neuer Standard für den Umgang mit menschlichen Sicherheitsrisiken.
