Seit dem 17. März 2026 ist das KRITIS-Dachgesetz (KRITIS-DachG) in Kraft, verkündet im Bundesgesetzblatt 2026 I Nr. 66. In der öffentlichen Wahrnehmung verkürzt sich das Gesetz häufig auf den 17. Juli 2026 — verbunden mit dem Hinweis, bis dahin müsse die Registrierung stehen, sonst drohten 500.000 € Bußgeld. Beides trifft so nicht zu.
Der 17. Juli ist der Startschuss, nicht die Ziellinie. Wer als Betreiber kritischer Anlagen die Mechanik präzise kennt, bereitet sich strukturiert vor und vermeidet Fehlinvestitionen aus Aktionismus.
Was am 17. Juli 2026 wirklich passiert
Drei Dinge — und keines davon ist eine Abgabefrist:
- Die gemeinsame Registrierungsplattform von BBK und BSI öffnet. Vorher sind keine Registrierungen möglich.
- Die Registrierungspflicht greift: Betreiber müssen sich spätestens drei Monate, nachdem ihre Anlage als kritisch gilt, registrieren — frühestens ab dem 17. Juli 2026. Der erste harte Termin liegt damit Mitte Oktober 2026.
- Die Pflichtenkette beginnt zu laufen: Risikoanalyse, Resilienzplan und Meldewesen folgen gestaffelt nach der Registrierung.
- Eine wichtige Einschränkung: Ob eine Anlage „als kritisch gilt“, legt eine Rechtsverordnung mit kritischen Dienstleistungen und Schwellenwerten fest. Diese Verordnung steht noch aus. Das Bundesinnenministerium hat erklärt, die Registrierung sei abzuschließen, sobald die Rechtsverordnungen gelten. Als Regelwert nennt das Gesetz die Versorgung von 500.000 Personen.
Wer ist betroffen — die 11 Sektoren
Registrierungspflichtig werden Betreiber kritischer Anlagen in elf Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Ernährung, IT und Telekommunikation, Weltraum, Siedlungsabfallentsorgung sowie Öffentliche Verwaltung. Für einzelne Sektoren — etwa IT/TK und Teile des Finanzwesens — gelten Ausnahmen von den Resilienz- und Meldepflichten, weil dort EU-Spezialrecht greift. Die Gesetzesbegründung beziffert den Kreis auf rund 1.300 Betreiber.
Der Regelschwellenwert: 500.000 versorgte Personen. Die genaue Schwellenwert-Logik für jede kritische Dienstleistung wird in der noch ausstehenden Rechtsverordnung definiert.
Bußgelder: gestaffelt bis 1 Mio. € — wofür welche Summe gilt
Die Bußgeldstaffel nach § 24 KRITIS-DachG wurde im Innenausschuss gegenüber dem Entwurf verdoppelt:
- Bis 1 Mio. €: Nichtbefolgung von BBK-Anordnungen, etwa zur Vorlage von Unterlagen bei Verdacht auf fehlende Registrierung
- Bis 500.000 €: Verstöße gegen Audit- und Meldepflichten
- Bis 200.000 €: Fehlende Nachweise, fehlender Resilienzplan, unterlassene Mängelbeseitigung
- Bis 100.000 €: Unvollständige oder verspätete Registrierung sowie Zugangsverweigerung bei behördlicher Kontrolle
Die häufig genannten „500.000 € bei verpasster Frist“ treffen so nicht zu — die verspätete Registrierung selbst kostet bis 100.000 €. Die hohen Beträge stehen auf Ignoranz gegenüber der Behörde, nicht auf einmalige Versäumnisse. Getrennt davon läuft das NIS2-Regime: Bei Verstößen gegen das BSIG drohen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Die NIS2-Registrierungsfrist beim BSI lief bereits am 6. März 2026 ab.
Die Geschäftsleitung muss die Resilienzmaßnahmen umsetzen und deren Umsetzung sicherstellen (§ 20). BBK und BSI teilen sich die Aufsicht über physische und digitale Resilienz.
Nach der Registrierung: 9 und 10 Monate für Risikoanalyse und Resilienzplan
Die Folgefristen laufen ab der Registrierung (§§ 12 und 13 KRITIS-DachG):
- 9 Monate: Risikoanalyse — Naturgefahren, menschliches Versagen, Anschläge, Sabotage und hybride Bedrohungen
- 10 Monate: Resilienzplan inklusive Maßnahmenumsetzung — physische Sicherung, Redundanzen, Krisenmanagement — sowie Nachweis- und Meldepflichten
- Laufend: Eine jederzeit erreichbare Kontaktstelle ist bereits Bestandteil der Registrierung; erhebliche Vorfälle sind binnen 24 Stunden zu melden, ein ausführlicher Bericht folgt nach spätestens einem Monat (§ 18).
Das BBK soll Vorlagen und Muster für Resilienzpläne bereitstellen. Sobald mehr Informationen voriliegen stellen wir sie hier zur Verfügung.
Rechnet man die Kette durch — Registrierung ab Juli bis Oktober 2026, plus 9 bzw. 10 Monate — liegt die Umsetzungsphase für physische Sicherungsmaßnahmen ab Frühjahr 2027 bis weit in die zweite Jahreshälfte 2027.
Was Sie als Betreiber jetzt tun sollten
Die korrigierte Frist-Mechanik ist keine Entwarnung — sondern ein Planungsvorteil. Fünf Schritte für die Vorbereitungsphase bis zur Plattform-Öffnung:
- Selbstprüfung: Sind Sie betroffen? Prüfen Sie Anlage für Anlage, ob sie zu einem der elf KRITIS-Sektoren gehört und ob die Versorgungsschwelle erreicht wird. Solange die Rechtsverordnung nicht in Kraft ist, gilt eine Vorabbewertung als Planungsgrundlage. Eine kompakte Orientierung gibt unser KRITIS-Quick-Check.
- Zuständigkeit in der Geschäftsleitung klären. Die Verantwortung für die Resilienzpflichten liegt ausdrücklich bei der Geschäftsleitung (§ 20). Benennen Sie die verantwortliche Person und richten Sie eine jederzeit erreichbare Kontaktstelle ein — diese ist bereits Bestandteil der Registrierung.
- Registrierungsdaten zusammenstellen. Stammdaten, Anlagenbeschreibung, Versorgungsgrad, Standorte, Sektor-Zuordnung und Kontaktstelle sollten vor dem 17. Juli 2026 vorliegen. So lässt sich die Registrierung zügig abschließen, sobald die Plattform geöffnet hat.
- Bestandsaufnahme der physischen Sicherung. Risikoanalyse und Resilienzplan verlangen ab dem 9. und 10. Monat nach Registrierung konkrete Maßnahmen — typisch sind Perimeterschutz, Zutrittskontrolle, Videoüberwachung, Einbruchmeldetechnik und Notstromversorgung. Eine frühe Gap-Analyse vermeidet Investitionsdruck unter Zeitnot. Den passenden Fachbetrieb finden Sie über unser Errichter-Verzeichnis.
- Meldewege und Aufschaltung vorbereiten. Die 24-Stunden-Meldepflicht und die jederzeit erreichbare Kontaktstelle sind operative Anforderungen, die im Resilienzplan nachweisbar abgebildet sein müssen. Eine professionelle Alarmaufschaltung auf eine zertifizierte Notrufzentrale ist hier der direkte Anknüpfungspunkt — sowohl für die Detektion als auch für die Dokumentation.
Häufig gestellte Fragen
Muss die Registrierung bis zum 17. Juli 2026 abgeschlossen sein?
Nein. Am 17. Juli 2026 öffnet die gemeinsame Registrierungsplattform von BBK und BSI — erst ab diesem Tag greift die Registrierungspflicht. Betreiber müssen sich spätestens drei Monate nach Einstufung ihrer Anlage als kritisch registrieren, frühestens ab dem 17. Juli 2026. Die Einstufung setzt zudem die noch ausstehende Rechtsverordnung voraus.
Wie hoch ist das Bußgeld bei verspäteter KRITIS-Registrierung?
Bis 100.000 € (§ 24 KRITIS-DachG). Die Staffel reicht bis 1 Mio. € — etwa bei Nichtbefolgung von BBK-Anordnungen. Bei gleichzeitigen NIS2-Verstößen nach BSIG drohen separat bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Was muss nach der Registrierung passieren?
Innerhalb von 9 Monaten eine Risikoanalyse, innerhalb von 10 Monaten ein Resilienzplan mit Maßnahmenumsetzung sowie Nachweis- und Meldepflichten. Erhebliche Vorfälle sind binnen 24 Stunden zu melden. Typische Maßnahmen: Perimeterschutz, Zutrittskontrolle, Videoüberwachung, Notstromversorgung.
Welche Sektoren fallen unter das KRITIS-Dachgesetz?
Elf Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Ernährung, IT und Telekommunikation, Weltraum, Siedlungsabfallentsorgung, Öffentliche Verwaltung. Regelschwellenwert: Versorgung von 500.000 Personen; Details legt eine Rechtsverordnung fest.
Was ist der Unterschied zwischen KRITIS-Dachgesetz und NIS2?
Das KRITIS-DachG regelt die physische Resilienz unter Aufsicht des BBK. NIS2 — umgesetzt im BSIG — regelt die Cybersicherheit unter Aufsicht des BSI; die dortige Registrierungsfrist lief am 6. März 2026 ab. Beide Regime betreffen häufig dieselben Anlagen, werden aber getrennt beaufsichtigt und sanktioniert.
1. Bundesgesetzblatt Teil I 2026 Nr. 66 vom 16.03.2026 — https://www.recht.bund.de/bgbl/1/2026/66/regelungstext.pdf
2. KRITIS-Dachgesetz (KRITISDachG), Gesetzestext — https://www.buzer.de/KRITISDachG.htm —
3. beck-aktuell: Kritis-Dachgesetz — in Kraft, aber noch wirkungslos (17.04.2026) — https://www.beck-aktuell.de/heute-im-recht/rechtspolitik-gesetzgebung/kritis-dachgesetz-infrastruktur-it-sicherheit-umsetzung-2026-04-17
4. beck-aktuell: Sonder/Genter — Physische Resilienz als Betreiberpflicht: Das neue KRITIS-Dachgesetz (27.03.2026) — https://www.beck-aktuell.de/heute-im-recht/rechtspolitik-gesetzgebung/kritische-infrastruktur-physische-resilienz-betreiberpflicht-kritis-dachgesetz-2026-03-27
5. GÖRG: KRITIS-Dachgesetz — neuer bundeseinheitlicher Rechtsrahmen (09.03.2026) — https://www.goerg.de/de/aktuelles/veroeffentlichungen/09-03-2026/kritis-dachgesetz-neuer-bundeseinheitlicher-rechtsrahmen-fuer-den-physischen-schutz-kritischer-infrastrukturen-tritt-in-kraft
6. Luther Rechtsanwaltsgesellschaft: KRITIS-Dachgesetz in Kraft — neue Pflichten, hohe Bußgelder und viele offene Fragen — https://www.luther-lawfirm.com/newsroom/blog/detail/kritis-dachgesetz-in-kraft-neue-pflichten-hohe-bussgelder-und-viele-offene-fragen-fuer-betreiber-kritischer-anlagen
7. Rödl & Partner: Bundestag beschließt KRITIS-Dachgesetz (02.02.2026) — https://www.roedl.com/insights/bundestag-beschliesst-kritis-dachgesetz-kritisdachg/
8. Bundesregierung: Schutz kritischer Infrastruktur gestärkt (17.03.2026) — https://www.bundesregierung.de/breg-de/aktuelles/kritis-dachgesetz-2383682
9. OpenKRITIS: KRITIS-Dachgesetz — Resilienz Kritischer Infrastrukturen — https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html
10. ChannelPartner: Die zweite KRITIS-Frist naht — was jetzt zu tun ist — https://www.channelpartner.de/article/4179709/die-zweite-kritis-frist-naht-was-jetzt-zu-tun-ist.html
Ähnliche Artikel
