NIS2Compass — NIS2-Compliance-Plattform
Use CasesPreise

Weiterführende Seiten

  • Blog
  • FAQ
  • Glossar
  • Use Cases
  • Branchen
  • Preisgestaltung

Offizielle Quellen

  • BSI – Bundesamt für Sicherheit in der Informationstechnik
  • NIS2-Richtlinie (EUR-Lex)
  • NIS2UmsuCG (Bundesgesetzblatt)
NIS2Compass — NIS2-Compliance-Plattform

Ihr Navigator durch die NIS2-Compliance

Rechtliches

  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen
  • Cookie-Richtlinie
  • Impressum

Ressourcen

  • Blog
  • Use Cases
  • Branchen
  • Preise
  • FAQ
  • Glossar

Kontakt

Kontakt

kontakt@nis2compass.de

NIS2Compass bietet Informationen und Orientierungshilfen zur NIS2-Compliance. Die Inhalte stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar und ersetzen keine individuelle rechtliche oder fachliche Beratung.

© Copyright 2026 NIS2Compass. Alle Rechte vorbehalten.

Entwickelt in DeutschlandAllianz für Cyber-Sicherheit — Teilnehmer
Startseite/Blog/KRITIS-Dachgesetz und NIS2: Was gilt für wen?
Leitfaden

KRITIS-Dachgesetz und NIS2: Was gilt für wen?

Verfasst von NIS2Compass Redaktion, NIS2-Compliance-Experte
Stand:6. Juli 20267 Min. Lesezeit
Zwei überlappende Schutzschilde, links aus Schaltkreislinien für Cybersicherheit, rechts mit Strommast-Symbol für physischen Schutz, in der Mitte ein Kompass-Symbol in Teal – Symbolbild für KRITIS-Dachgesetz und NIS2

Seit Juli 2026 müssen sich rund 2.000 KRITIS-Betreiber zusätzlich zu NIS2 registrieren. Wer NIS2, das KRITIS-Dachgesetz oder beide Regelwerke erfüllen muss – Sektoren, Fristen und Bußgelder im Überblick.

Die Registrierungspflicht nach dem KRITIS-Dachgesetz beginnt frühestens am 17. Juli 2026 und betrifft rund 2.000 Betreiber kritischer Anlagen in Deutschland, deutlich weniger als die rund 30.000 NIS2-verpflichteten Unternehmen. Beide Regelwerke laufen parallel: NIS2 regelt Cybersicherheit, das KRITIS-Dachgesetz den physischen Schutz. NIS2Compass erklärt, wer NIS2, das KRITIS-Dachgesetz oder beide Regelwerke gleichzeitig erfüllen muss.

Was ist das KRITIS-Dachgesetz und seit wann gilt es?

Das KRITIS-Dachgesetz (KRITISDachG) schafft erstmals einen bundeseinheitlichen Rechtsrahmen für den physischen Schutz kritischer Infrastrukturen in Deutschland. Es ist seit dem 17. März 2026 in Kraft. Damit ergänzt es die NIS2-Richtlinie, die ausschließlich die Cybersicherheit regelt.

Das Gesetz setzt die CER-Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen in nationales Recht um und schließt damit eine Lücke, die NIS2 bewusst offenließ. Der Gesetzgebungsprozess durchlief mehrere Stationen: Der Bundestag beschloss das Gesetz am 29. Januar 2026, der Bundesrat stimmte am 6. März 2026 zu. Die Verkündung im Bundesgesetzblatt erfolgte am 16. März 2026, das Inkrafttreten einen Tag später.

Inhaltlich zielt das KRITIS-Dachgesetz auf Objektschutz, Betriebskontinuität und Personalsicherheit ab, also auf die physische und organisatorische Widerstandsfähigkeit kritischer Anlagen. NIS2 hingegen adressiert IT-Sicherheitsmaßnahmen, Risikomanagement und Meldepflichten bei Cyberangriffen. Beide Regelwerke greifen ineinander, betreffen aber teilweise unterschiedliche Betreiberkreise.

Betreiber kritischer Anlagen müssen sich spätestens drei Monate nach ihrer Identifikation als kritische Anlage registrieren, frühestens jedoch ab dem 17. Juli 2026. Zuständig ist eine gemeinsame Registrierungsplattform des BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) und des BSI. Wer beide Pflichten parallel erfüllen muss, findet in NIS2Compass eine strukturierte Übersicht der jeweiligen Anforderungen.

Wie unterscheiden sich KRITIS-Dachgesetz und NIS2?

NIS2 schützt Netz- und Informationssysteme vor Cyberangriffen, das KRITIS-Dachgesetz schützt kritische Anlagen vor physischen Bedrohungen. Beide Regime ergänzen sich, statt sich zu überschneiden, und werden von unterschiedlichen Behörden beaufsichtigt. Das KRITIS-Dachgesetz ersetzt dabei nicht das frühere IT-Sicherheitsgesetz-Konzept, sondern erweitert NIS2 gezielt um den physischen Schutz.

Die Unterschiede zeigen sich an fünf zentralen Punkten:

  • Schutzgut: NIS2 adressiert Cybersicherheit, also Netzwerke, IT-Systeme und Datenverarbeitung. Das KRITIS-Dachgesetz regelt physische Resilienz: Objektschutz, Zugangskontrollen, Betriebskontinuität, Personalsicherheit und Krisenmanagement.
  • Zuständige Behörde: Für NIS2 ist primär das BSI zuständig. Beim KRITIS-Dachgesetz liegt die Federführung beim BBK, ergänzt durch die BNetzA für Energie und Telekommunikation sowie die Länder für Gesundheit, Wasser und Ernährung.
  • Schwellenwert: NIS2 orientiert sich an Mitarbeiterzahl und Umsatz, besonders wichtige Einrichtungen ab 250 Mitarbeitenden oder über 50 Mio. Euro Umsatz. Das KRITIS-Dachgesetz misst dagegen den Versorgungsgrad, Standardschwelle sind 500.000 versorgte Personen.
  • Bußgeldrahmen: NIS2 sieht bis zu 10 Mio. Euro oder 2 Prozent des Jahresumsatzes vor, das KRITIS-Dachgesetz separat bis zu 1 Mio. Euro, vor allem bei Registrierungs- und Nachweispflichten. Details zu den NIS2-Bußgeldern finden Sie im Artikel NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.
  • Meldeweg: Beide Regime kennen eine Meldekaskade mit Erstmeldung innerhalb von 24 Stunden und ausführlichem Bericht binnen eines Monats. Cybervorfälle gehen ans BSI, physische Vorfälle ans BBK.

Für betroffene Unternehmen bedeutet das: Beide Meldewege und Zuständigkeiten müssen parallel im Blick bleiben.

Welche Sektoren und Schwellenwerte gelten für das KRITIS-Dachgesetz?

Die Standardschwelle im KRITIS-Dachgesetz liegt bei 500.000 versorgten Personen (§3, §5 KRITISDachG). Wer diesen Wert überschreitet, gilt als kritische Anlage. Das Gesetz erfasst elf Sektoren gemäß CER-Richtlinie, ergänzt um eine zwölfte Sonderkategorie mit reduzierten Pflichten, deren physische Resilienz künftig verbindlich geregelt ist.

Zu den betroffenen Sektoren zählen:

  • Energie
  • Transport und Verkehr
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Öffentliche Verwaltung
  • Weltraum
  • Ernährung

Die Siedlungsabfallentsorgung nimmt eine Sonderstellung ein: Sie fällt zwar unter das Dachgesetz, unterliegt aber reduzierten Pflichten. Eine wichtige Ausnahme betrifft das Finanzwesen: Finanzunternehmen, die unter die EU-Richtlinie DORA fallen, sowie Versicherungen sind laut §4 Abs. 2 KRITISDachG vom Dachgesetz ausgenommen. Für sie gelten vorrangig NIS2 beziehungsweise DORA.

Die Schwellenwerte sind nicht in Stein gemeißelt. Der Bundesrat hatte eine Absenkung auf 150.000 versorgte Personen vorgeschlagen, was in der finalen Fassung nicht umgesetzt wurde. Laut einer Protokollerklärung der Bundesregierung von März 2026 ist innerhalb von zwei Jahren dennoch eine Novelle geplant, die Schwellenwerte und weitere Sektoren wie Staat, Medien, Kultur und Sozialwesen betreffen könnte. Unternehmen, die knapp unter der aktuellen Schwelle liegen, sollten diese Entwicklung im Blick behalten.

Ob Ihr Unternehmen unter NIS2, das KRITIS-Dachgesetz oder beides fällt, hängt stark von Sektor und Größe ab. NIS2Compass erklärt die Zuordnung Schritt für Schritt: Bin ich von NIS2 betroffen? So prüfen Sie es.

Fällt mein Unternehmen unter NIS2, KRITIS-Dachgesetz oder beides?

Ob NIS2, KRITIS-Dachgesetz oder beide Regime greifen, hängt von Sektor und Unternehmensgröße ab. KRITIS-Betreiber sind keine separate Gruppe, sondern eine Teilmenge der NIS2-Betroffenen. Wer unter das Dachgesetz fällt, ist damit fast immer auch NIS2-verpflichtet, trägt aber zusätzliche physische Schutzpflichten obendrauf.

Drei Gruppen lassen sich unterscheiden. Nur NIS2: Unternehmen im Finanzwesen unterliegen der DORA-Regulierung, Versicherungen und IT-/TK-Dienstleister sind vom Dachgesetz nach §4 Abs. 2 KRITISDachG ausdrücklich ausgenommen. Beide Regime: Betreiber in Energie, Transport, Gesundheit, Wasser, Ernährung und Weltraum, die oberhalb der 500.000-Personen-Versorgungsschwelle liegen, etwa große Stadtwerke, überregionale Wasserversorger oder Bahnbetreiber. Nur NIS2, für die große Mehrheit: Die meisten NIS2-betroffenen KMU liegen unterhalb der KRITIS-Schwelle und tragen ausschließlich NIS2-Pflichten.

Das Größenverhältnis macht die Einordnung greifbar: Von rund 30.000 NIS2-Einrichtungen in Deutschland sind nur rund 2.000 zusätzlich KRITIS-Dachgesetz-pflichtig. Für die überwiegende Mehrheit bleibt es bei den NIS2-Pflichten allein. NIS2Compass' Vor-Check ordnet Unternehmen den relevanten NIS2-Kategorien zu und macht sichtbar, wenn zusätzlich KRITIS-Dachgesetz-Schwellen relevant sein könnten.

Welche Fristen gelten jetzt — und was passiert bei Verstößen?

Betroffene Betreiber müssen sich ab dem 17. Juli 2026 registrieren, spätestens drei Monate nach ihrer Identifikation als kritische Anlage. Danach beginnt eine gestaffelte Fristenkette: Risikoanalyse binnen neun Monaten, Resilienzplan und Meldewesen binnen zehn Monaten. Wer diese Termine reißt, riskiert Bußgelder nach dem KRITIS-Dachgesetz und zusätzlich nach NIS2.

Nach der Registrierung greifen folgende Fristen:

Risikoanalyse (9 Monate, §12 KRITISDachG): Betreiber bewerten natürliche, technische und menschengemachte Gefahren sowie Abhängigkeiten von Dritten und anderen kritischen Anlagen.

Resilienzmaßnahmen und Resilienzplan (10 Monate, §13 KRITISDachG): Der Plan deckt Prävention, physischen Schutz, Krisenmanagement, Betriebskontinuität und Personalsicherheit ab.

Meldewesen (10 Monate, §18 KRITISDachG): Vorfälle müssen binnen 24 Stunden an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeldet werden, ein ausführlicher Bericht folgt binnen einem Monat.

Verpflichtung der Geschäftsleitung (10 Monate, §20 KRITISDachG): Die Geschäftsleitung muss die Umsetzung der Resilienzmaßnahmen aktiv verantworten, nicht nur zur Kenntnis nehmen.

Bei Verstößen drohen zwei getrennte Bußgeldrahmen. Das KRITIS-Dachgesetz sieht nach §24 bis zu 1 Million Euro vor, etwa bei fehlender oder verspäteter Registrierung, fehlenden Nachweisen oder unterlassener Mängelbeseitigung. NIS2 sanktioniert unabhängig davon deutlich härter: bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes bei besonders wichtigen Einrichtungen, bis zu 7 Millionen Euro oder 1,4 Prozent bei wichtigen Einrichtungen.

"Die größte Fehleinschätzung im Markt ist, dass NIS2 die alte KRITIS-Regulierung ersetzt", heißt es bei NIS2Compass. "Das Gegenteil trifft zu: Betroffene Betreiber haben mit dem KRITIS-Dachgesetz jetzt mehr Pflichten als vorher, nicht weniger."

Ein Stadtwerk im Energiesektor mit mehr als 500.000 versorgten Personen zeigt, wie beide Regelwerke ineinandergreifen. Es gilt gleichzeitig als NIS2-"besonders wichtige Einrichtung" und als KRITIS-Betreiber nach dem Dachgesetz, mit zwei parallelen Fristenkalendern und zwei Meldewegen: das BSI für Cybervorfälle nach NIS2, das BBK für physische Vorfälle nach dem Dachgesetz. Für die Geschäftsleitung bleibt das Governance-Thema dennoch eines: Verantwortlichkeiten klären, Dokumentation führen, Schulungen nachweisen. Eine ähnliche Registrierungslogik kannten betroffene Unternehmen bereits von der NIS2-BSI-Registrierung.

Der NIS2 Guide unterstützt in Kapitel 1 beim Aufbau der Governance-Struktur, die auch für das Dachgesetz relevant ist.

Häufig gestellte Fragen

Muss ich mich sowohl für NIS2 als auch für das KRITIS-Dachgesetz registrieren?

Ja, wenn Sie als KRITIS-Betreiber eingestuft sind. NIS2-Betroffenheit und KRITIS-Status werden getrennt geprüft und erfordern jeweils eine eigene Registrierung. NIS2Compass hilft dabei, beide Pflichtenkataloge auseinanderzuhalten und den jeweils passenden Umsetzungspfad zu finden.

Was passiert, wenn ich die KRITIS-Registrierungsfrist am 17. Juli 2026 verpasse?

Nach §24 KRITISDachG drohen Bußgelder bis zu 1 Million Euro. Diese Sanktion steht unabhängig neben möglichen NIS2-Bußgeldern, da beide Gesetze eigene Meldepflichten und eigene Sanktionsmechanismen vorsehen. Eine rechtzeitige Registrierung vermeidet dieses Risiko.

Gilt das KRITIS-Dachgesetz auch für IT-Dienstleister?

Nein. IT-Dienstleister und Telekommunikationsunternehmen sind laut §4 Abs. 2 KRITISDachG ausdrücklich ausgenommen. Für diese Unternehmen gilt ausschließlich die NIS2-Richtlinie über das NIS2UmsuCG, nicht der physische Resilienz-Pflichtenkatalog des Dachgesetzes.

Was ist der Unterschied zwischen der NIS2-Schwelle und der KRITIS-Dachgesetz-Schwelle?

NIS2 misst nach Mitarbeiterzahl und Umsatz, ab 50 beziehungsweise 250 Beschäftigten. Das KRITIS-Dachgesetz misst nach Versorgungsgrad, in der Regel ab 500.000 versorgten Personen. Ein Unternehmen kann die NIS2-Schwelle deutlich überschreiten und dennoch unterhalb der KRITIS-Schwelle bleiben.

Ersetzt das KRITIS-Dachgesetz die bisherige KRITIS-Regulierung?

Nein, es ersetzt nicht die bisherige BSI-KritisV. Das Dachgesetz ergänzt die bestehenden Regeln um Pflichten zum physischen Schutz kritischer Anlagen. Die bisherigen Cybersicherheitspflichten für KRITIS-Betreiber laufen weiterhin über NIS2 und das BSIG.

NIS2 strukturiert umsetzen

NIS2Compass führt Sie Schritt für Schritt durch die Umsetzung – mit Leitfaden, Vorlagen und Wissens-Hub.

Jetzt starten

Ähnliche Artikel

guide

NIS2 ISO 27001 Mapping: Das Excel-Checklist zum Download

ISO 27001 deckt rund 70 % der NIS2-Anforderungen ab. Das Mapping-Excel zeigt auf einen Blick, was bereits abgedeckt ist — und wo die regulatorische Lücke bleibt.

6 Min. Lesezeit

guide

NIS2 BSI-Registrierung: Frist verpasst — was jetzt?

Die gesetzliche NIS2-Registrierungsfrist ist abgelaufen, doch das BSI setzt eine Nachfrist bis 31. Juli 2026. So holen Sie die Registrierung im BSI-Portal Schritt für Schritt nach.

9 Min. Lesezeit

guide

NIS2-Checkliste als Excel-Vorlage: die 10 §30-Pflichten

Die 10 Mindestmaßnahmen aus §30 BSIG als Excel-Checkliste: Aufbau in 6 Schritten, ISO-27001-Mapping und typische Fehler. Mit kostenlosem Vor-Check von NIS2Compass.

8 Min. Lesezeit

Zurück zum Blog