All-Gefahren-Ansatz im Fokus
Das Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS-Dachgesetz) läutet in Deutschland eine neue Ära ein: Neben der Cybersicherheit rücken verstärkt die Kerndisziplinen der operativen Resilienz, wie physische Sicherheit, Business Continuity Management und Krisenmanagement in den Fokus. Das KRITIS-Dachgesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie) um und gilt sektorübergreifend für öffentliche wie private Betreiber kritischer Infrastruktur.
Ziel ist es, sektorenübergreifende und sektorspezifische Standards zur Stärkung der operativen Resilienz in zentralen Versorgungssektoren mittels einheitlicher Mindestanforderungen für kritische Anlagen zu verankern und deren Umsetzung durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen sicherzustellen. Der All-Gefahren-Ansatz verpflichtet unter anderem zu regelmäßigen Risikoanalysen, physischen Sicherheitsmaßnahmen sowie Melde- und Nachweispflichten. Da das Gesetz die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) ergänzt, müssen viele Betreiber beide Regelwerke berücksichtigen. Wichtig: Verstöße gegen die Vorgaben können mit Bußgeldern geahndet werden – daher besteht jetzt Handlungsbedarf.
PwC Deutschland bietet über das Global Center for Crisis & Resilience (GCCR) passgenaue Lösungen zur Umsetzung des KRITIS-Dachgesetzes und führt die Einzeldisziplinen der operativen Resilienz zu einem integrierten Ansatz zusammen.
Hinweis: Diese Informationen bzgl. des KRITIS-Dachgesetzes beruhen auf dem aktuell veröffentlichten Gesetzesentwurf (BTDrs. 21/2510) und können sich mit künftigen Änderungen am Entwurf des KRITIS-Dachgesetzes kurzfristig ändern.
Fundierte Prüfung und praxisorientierte Handlungsempfehlungen
Erhebung Ihres aktuellen Resilienz-Reifegrads
End-to-End-Begleitung zur Erreichung Ihrer KRITIS-Readiness
Maßgeschneiderte Resilienzstrategie zur Steigerung des Reifegrads
Gezielte Risikosteuerung mit aussagekräftigen Dashboards und Kennzahlen
Durchführung rollen- und szenariobasierter Trainings
Nachhaltige Stärkung der Sicherheits- und Resilienzkultur
Das KRITIS-Dachgesetz verankert einen All-Gefahren-Ansatz. Es adressiert physische Bedrohungen, Lieferketten- und Standortabhängigkeiten sowie klima- und geopolitisch bedingte Risiken – und macht die resiliente Organisation zur zentralen Managementaufgabe, um die Geschäftstätigkeit auch in volatilen Zeiten sicherzustellen. Benennen Sie eine zentrale Verantwortlichkeit (Resilience Owner) und verankern Sie Resilienz in Ihrer Governance und Ihrem Zielsystem.
Das Gesetz gilt für öffentliche und private Betreiber kritischer Anlagen in zentralen Versorgungssektoren. Schwellenwerte und Anlagenkategorien werden per Verordnung konkretisiert (Richtwert: Versorgung von 500.000 Personen). Damit schafft das KRITIS-Dachgesetz einheitliche, wirksame Standards über Sektoren hinweg und stellt eine enge Verzahnung mit bestehenden Regelwerken wie der NIS-2-Richtlinie her. Prüfen Sie umgehend, ob Sie betroffen sind, und leiten Sie priorisierte Handlungsfelder ab.
Mit Inkrafttreten des KRITIS-Dachgesetzes greifen verbindliche Pflichten. Nach einer Einstufung ist die Registrierung als Betreiber kritischer Infrastruktur innerhalb von drei Monaten (spätestens bis 17. Juli 2026) erforderlich; die erste All-Gefahren-orientierte Risikoanalyse folgt binnen neun Monaten nach Registrierung. Ergänzend gelten strenge Melde- und Nachweispflichten. Setzen Sie einen Umsetzungsplan mit klaren Zuständigkeiten, Meilensteinen und Ressourcen auf, um die Fristen einzuhalten.
Die Umsetzung des KRITIS-Dachgesetzes ist mehr als Compliance. Es bietet den Rahmen, die Resilienz von Organisationen gezielt auszubauen, die Geschäftskontinuität und Widerstandsfähigkeit in den Fokus zu rücken und einen nachhaltigen Wettbewerbsvorteil zu erzielen. Mit einer bewährten Operational-Resilience-Methode lassen sich Anforderungen effizient umsetzen, Synergien aus der Umsetzung der NIS-2-Richtlinie nutzen, das operationelle Risiko minimieren und Maßnahmen auditfest verankern – für messbaren Geschäftsnutzen.
Das KRITIS-Dachgesetz erfasst – ähnlich wie die NIS-2-Richtlinie – zahlreiche Sektoren, die für die Sicherheit, Stabilität und Versorgung unserer Gesellschaft von zentraler Bedeutung sind. Die nachfolgende Abbildung gibt einen Überblick über die Sektoren im Geltungsbereich des KRITIS-Dachgesetzes.
Das KRITIS-Dachgesetz fordert mit seinem All-Gefahren-Ansatz ein integriertes Zusammenspiel unterschiedlicher Resilienzdisziplinen – von Business Continuity Management und Krisenmanagement bis zu physischer Sicherheit und Schutz von Lieferketten.
Operative Resilienz ist die Fähigkeit, kritische Prozesse trotz Unterbrechungen aufrechtzuerhalten und Geschäftsziele auch unter operativem Stress zu erfüllen; sie umfasst Vorbereiten, Erkennen und Schützen, Reagieren und Anpassen sowie Erholen und Lernen. Die folgende Abbildung beschreibt das PwC Enterprise Resilience Framework und zeigt per Icon und Rahmen hervorgehoben, welche Kerndisziplinen der operativen Resilienz die Anforderungen des KRITIS-Dachgesetzes adressieren.
Annekathrin Enke
Director, Business Continuity & Resilience Management, PwC Germany
Tel.: +49 1512 5336606
