Zum Hauptinhalt springen

KRITIS-Dachgesetz: Startschuss 17.07.2026 – auch für Errichter

13/06/2026
Beliebte Impulse
Premiere
Urlaubsaufschaltung – Flexibel abgesichert ohne Abo
Erfolgreiche Partnertage 2025: Impulse, Technik und echte Begegnungen.
NSL-News: Hikvision Alarmbild-Integration und neue Alarmformate
B2C-Marketingformat „Praxistipps vom Alarmprofi“

Noch nicht fürs Marketing Hub und Partnerportal registriert?

nach oben

KRITIS-Dachgesetz: Am 17.07.2026 öffnet die BBK-Registrierung. Was wirklich gilt, welche Bußgelder drohen und wo das Geschäftsfenster für Errichter liegt.

KRITIS-Dachgesetz: Am 17.07.2026 öffnet die BBK-Registrierung. Was wirklich gilt, welche Bußgelder drohen und wo das Geschäftsfenster für Errichter liegt.

Was am 17. Juli 2026 wirklich passiert

Drei Dinge — und keines davon ist eine Abgabefrist:

  • Die Registrierungsplattform von BBK und BSI öffnet. Vorher sind keine Registrierungen möglich.
  • Die Registrierungspflicht greift: Betreiber müssen sich spätestens drei Monate, nachdem ihre Anlage als kritisch gilt, registrieren — frühestens ab dem 17. Juli 2026. Der erste harte Termin liegt damit Mitte Oktober 2026.
  • Die Pflichtenkette beginnt zu laufen — Risikoanalyse, Resilienzplan, Meldewesen folgen gestaffelt nach der Registrierung.

Eine wichtige Einschränkung: Ob eine Anlage „als kritisch gilt“, legt eine Rechtsverordnung mit kritischen Dienstleistungen und Schwellenwerten fest. Diese Verordnung steht noch aus. Das Bundesinnenministerium hat erklärt, die Registrierung sei abzuschließen, sobald die Rechtsverordnungen gelten. Als Regelwert nennt das Gesetz die Versorgung von 500.000 Personen.

Registrierungspflichtig werden Betreiber kritischer Anlagen in 11 Sektoren:
Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Ernährung, IT und Telekommunikation, Weltraum, Siedlungsabfallentsorgung sowie Öffentliche Verwaltung.

Für einzelne Sektoren — etwa IT/TK und Teile des Finanzwesens — gelten Ausnahmen von den Resilienz- und Meldepflichten, weil dort EU-Spezialrecht greift. Die Gesetzesbegründung beziffert den Kreis auf rund 1.300 Betreiber.

Bußgelder: ein Satz zur Einordnung

Das Sanktionen sind Betreiber-Thema, nicht Errichter-Thema — relevant ist für Sie nur die eine kursierende Fehlinformation: „Frist verpasst = 500.000 €“ stimmt nicht.

Die verspätete Registrierung kostet nach § 24 KRITIS-DachG bis 100.000 €; die hohen Beträge der Staffel (bis 1 Mio. €) betreffen die Nichtbefolgung behördlicher Anordnungen, nicht den Termin. Wer Kunden mit der falschen Zahl unter Druck setzt, verliert Glaubwürdigkeit. Die Verantwortung für die Umsetzung liegt ohnehin bei der Geschäftsleitung des Betreibers (§ 20). Wer mehr über die Fristen erfahren möchte, kann dies in unserem Artikel „KRITIS-Dachgesetz: Wer ist betroffen und was Betreiber 2026 wissen müssen“ erfahren.

Was ein Resilienzplan ist — und warum darin Ihre Aufträge stecken

Der Resilienzplan ist das Herzstück des Gesetzes und der eigentliche Hebel für Errichter. Anders als bei NIS2, wo es um IT-Sicherheit geht, verlangt das KRITIS-DachG ausdrücklich physische Resilienz: Die Anlage muss gegen Naturgefahren, menschliches Versagen, Anschläge, Sabotage und hybride Bedrohungen widerstandsfähig sein — und der Betreiber muss diese Widerstandsfähigkeit dokumentiert nachweisen.

Ein Resilienzplan ist kein Formular, sondern ein Maßnahmenkonzept entlang einer Risikoanalyse. Aus jeder identifizierten Schwachstelle leitet sich eine konkrete technische oder organisatorische Maßnahme ab. Genau hier entsteht der Bedarf, der über Jahre trägt:

  • Perimeterschutz: Zaunsicherung, Außenhautüberwachung, Freilanddetektion an Umspannwerken, Wasserwerken, Rechenzentren, Logistikzentren
  • Videoüberwachung: Detektion und Verifikation an Zufahrten und Perimeter, zunehmend mit KI-gestützter Objektklassifikation zur Fehlalarmreduktion und für die Alarmvorprüfung
  • Zutritts- und Zufahrtskontrolle: abgestufte Zonen, Vereinzelung, Schließtechnik, Kennzeichenerkennung
  • Einbruch- und Sabotageüberwachung: Meldetechnik nach EN 50131 mit höherem Grade in sensiblen Bereichen
  • Redundanz und Notstrom: Absicherung gegen Ausfall der Sicherungstechnik selbst
  • Alarmweiterleitung und Reaktion: Aufschaltung auf eine VdS-zertifizierte Notruf- und Serviceleitstelle, damit ein Ereignis nicht nur detektiert, sondern auch verifiziert und eskaliert wird

Der entscheidende Punkt für Ihr Geschäft: Der Resilienzplan zwingt Betreiber, ihre physische Sicherung systematisch zu bewerten und nachweisbar zu verbessern. Bestandsanlagen, die jahrelang „gut genug“ waren, müssen gegen ein dokumentiertes Schutzziel gehalten werden. Was dort als Lücke auffällt, wird zur Investition — und die plant, liefert und wartet der Fachbetrieb.

Nach der Registrierung: 9 und 10 Monate für Risikoanalyse und Resilienzplan

Die Folgefristen laufen ab der Registrierung (§§ 12 und 13 KRITIS-DachG):

  • 9 Monate: Risikoanalyse — Naturgefahren, menschliches Versagen, Anschläge, Sabotage und hybride Bedrohungen
  • 10 Monate: Resilienzplan inklusive Maßnahmenumsetzung — physische Sicherung, Redundanzen, Krisenmanagement — sowie Nachweis- und Meldepflichten
  • Laufend: Eine jederzeit erreichbare Kontaktstelle ist bereits Bestandteil der Registrierung; erhebliche Vorfälle sind binnen 24 Stunden zu melden, ein ausführlicher Bericht folgt nach spätestens einem Monat (§ 18)

Das BBK soll Vorlagen und Muster für Resilienzpläne bereitstellen; veröffentlicht ist davon bislang nichts.

Rechnet man die Kette durch — Registrierung ab Juli bis Oktober 2026, plus 9 bzw. 10 Monate — liegt die Umsetzungsphase für physische Sicherungsmaßnahmen ab Frühjahr 2027 bis weit in die zweite Jahreshälfte 2027.

Das Geschäftsfenster für Errichter: drei Phasen

Die korrigierte Frist-Mechanik ist keine Entwarnung — sie ist ein Planungsvorteil.

Drei Phasen:

Phase 1 — jetzt bis Oktober 2026: Positionieren. Bestandskunden auf KRITIS-Sektoren und den 500.000er-Regelwert screenen. Betreiber ansprechen, bevor die Plattform öffnet — mit Quick-Check und sauberer Einordnung der Rechtslage. Wer hier mit Drohkulissen arbeitet, verliert Glaubwürdigkeit; wer präzise informiert, wird zum Ansprechpartner für alles Weitere.

Phase 2 — Q4/2026 bis Frühjahr 2027: Zuarbeiten. Die Risikoanalyse der Betreiber braucht eine Bestandsaufnahme der physischen Sicherung. Gap-Analysen zu Perimeterschutz, Zutrittskontrolle, Videoüberwachung, Einbruchmeldetechnik und Notstrom sind die natürliche Errichter-Leistung in dieser Phase.

Phase 3 — ab Frühjahr 2027: Umsetzen. Der Resilienzplan verlangt Maßnahmenumsetzung. Wer in Phase 1 und 2 präsent war, ist im Umsetzungsfenster gesetzt. Die jederzeit erreichbare Kontaktstelle und die 24-Stunden-Meldewege sind zudem der direkte Anknüpfungspunkt für professionelle Alarmaufschaltung auf eine zertifizierte Notrufzentrale.

Für die Kundenansprache: Betreiber sollten jetzt Anlagen-Überprüfung betreiben (Schwellenwerte pro Standort), Zuständigkeiten in der Geschäftsleitung klären und Registrierungsdaten vorbereiten — Stammdaten, Anlagenbeschreibung, Kontaktstelle. Diese Checkliste eignet sich als Gesprächseinstieg.

Viel Erfolg. Bei Fragen oder Anregungen gerne eine E-Mail an ed.netrepxefurtonobfsctd-4cf61a@tkatnok

Häufig gestellte Fragen

Muss die Registrierung bis zum 17. Juli 2026 abgeschlossen sein?

Nein. Am 17. Juli 2026 öffnet die gemeinsame Registrierungsplattform von BBK und BSI — erst ab diesem Tag greift die Registrierungspflicht. Betreiber müssen sich spätestens drei Monate nach Einstufung ihrer Anlage als kritisch registrieren, frühestens ab dem 17. Juli 2026. Die Einstufung setzt zudem die noch ausstehende Rechtsverordnung voraus.

Was ist ein Resilienzplan — und was bedeutet er für die Sicherheitstechnik?

Der Resilienzplan ist ein Maßnahmenkonzept, mit dem der Betreiber die physische Widerstandsfähigkeit seiner Anlage gegen Naturgefahren, Sabotage, Anschläge und hybride Bedrohungen nachweist. Aus der zugrunde liegenden Risikoanalyse leiten sich konkrete Maßnahmen ab — typischerweise Perimeterschutz, Videoüberwachung, Zutrittskontrolle, Einbruch- und Sabotageüberwachung, Notstrom sowie die Aufschaltung auf eine zertifizierte Notruf- und Serviceleitstelle. Für Fachbetriebe ist der Resilienzplan damit der zentrale Auftragsgenerator.

Was muss nach der Registrierung passieren?

Innerhalb von 9 Monaten eine Risikoanalyse, innerhalb von 10 Monaten ein Resilienzplan mit Maßnahmenumsetzung sowie Nachweis- und Meldepflichten. Erhebliche Vorfälle sind binnen 24 Stunden zu melden. Typische Maßnahmen: Perimeterschutz, Zutrittskontrolle, Videoüberwachung, Notstromversorgung.

Welche Sektoren fallen unter das KRITIS-Dachgesetz?

Elf Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Ernährung, IT und Telekommunikation, Weltraum, Siedlungsabfallentsorgung, Öffentliche Verwaltung. Regelschwellenwert: Versorgung von 500.000 Personen; Details legt eine Rechtsverordnung fest.

Was ist der Unterschied zwischen KRITIS-Dachgesetz und NIS2?

Das KRITIS-DachG regelt die physische Resilienz unter Aufsicht des BBK. NIS2 — umgesetzt im BSIG — regelt die Cybersicherheit unter Aufsicht des BSI; die dortige Registrierungsfrist lief am 6. März 2026 ab. Beide Regime betreffen häufig dieselben Anlagen, werden aber getrennt beaufsichtigt und sanktioniert.