Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Kraftwerk hinter Sicherheitszaun — physische Resilienz kritischer Infrastruktur nach dem KRITIS-Dachgesetz.

KRITIS-Compliance: physische Resilienz, Meldepflichten und die strafrechtliche Schattenlinie

Von

15 Min.

AUF EINEN BLICK

KRITIS-Compliance bezeichnet die Organisation, Dokumentation und Überwachung der Pflichten von Betreibern kritischer Anlagen zum Schutz der physischen Resilienz ihrer Versorgungsleistungen — insbesondere Risikoanalyse, Resilienzmaßnahmen, Meldewesen und Überwachung durch die Geschäftsleitung. Maßgeblich ist seit März 2026 das KRITIS-Dachgesetz (KRITIS-DachG), das die EU-CER-Richtlinie umsetzt und erstmals bundeseinheitliche, sektorübergreifende Mindestvorgaben für den physischen Schutz normiert — rechtlich getrennt von den Cybersicherheitspflichten des BSIG (NIS-2), aber operativ mit ihnen verzahnt. Die operativen Betreiberpflichten — Registrierung (§ 8), Risikoanalyse (§ 12), Resilienzmaßnahmen (§ 13), Meldung binnen 24 Stunden (§ 18) — greifen frühestens ab dem 17. Juli 2026; Verstöße sind Ordnungswidrigkeiten mit Bußgeldern bis zu 1 Mio. Euro (§ 24). Strafrechtlich relevant wird KRITIS-Compliance nicht über das Dachgesetz selbst, sondern über 2 Anknüpfungen: die Sabotage-Tatbestände (§§ 88, 109e StGB, § 303b Abs. 4 StGB) gegen die Anlage und die Aufsichtspflichtverletzung des eigenen Hauses (§ 130, § 30 OWiG). Die entscheidende Weichenstellung liegt in der Trennschärfe der Regime und in der Beweisbarkeit des eigenen Resilienzkonzepts.

Ein Umspannwerk fällt aus, eine Pumpstation wird manipuliert, ein Drohnenüberflug über einem Werksgelände häuft sich — und sofort stehen mehrere Rechtsfragen zugleich im Raum. Liegt eine meldepflichtige Störung vor? Greift ein Sabotage-Tatbestand? Und trifft den Betreiber womöglich selbst ein Aufsichtsvorwurf? Seit dem KRITIS-Dachgesetz hat die physische Sicherheit kritischer Infrastruktur einen eigenen Rechtsrahmen, der neben die bekannten Cyberpflichten tritt. Für Betreiber verschiebt sich damit nicht nur die Pflichtenlage, sondern auch die strafrechtliche Ausgangslage im Ernstfall.

Dieser Beitrag ordnet KRITIS-Compliance aus der Verteidigerperspektive ein. Er trennt das physisch-resilienzrechtliche Regime des KRITIS-DachG von den Cyberpflichten des BSIG, zeigt, wo aus einem Betriebsvorfall ein Ermittlungsverfahren wird, und benennt die Verteidigungslinien, die vor dem Vorfall entstehen. Die Cyber-Dimension, die Programm-Governance und die Krisenmechanik der ersten Stunden behandeln eigene Analysen, auf die jeweils verwiesen wird.

Rechtsrahmen: das KRITIS-Dachgesetz als eigenes Regime

KRITIS-Compliance ruht seit 2026 auf einem neuen Fundament. Mit dem KRITIS-Dachgesetz vom 11. März 2026 (BGBl. 2026 I Nr. 66) hat der Gesetzgeber die europäische CER-Richtlinie (RL (EU) 2022/2557) umgesetzt. Erstmals gelten bundeseinheitliche, sektorübergreifende Mindestvorgaben für den physischen Schutz kritischer Anlagen.

Entscheidend ist die saubere Abgrenzung zweier Schutzrichtungen. Das BSIG adressiert — in Umsetzung der NIS-2-Richtlinie — vor allem die Cybersicherheit; das KRITIS-DachG adressiert die physische Resilienz. Beide Regime bleiben rechtlich getrennt, sind aber operativ verzahnt — etwa bei der Registrierung (Once-Only-Anknüpfung an § 33 Abs. 1 BSIG), bei Nachweisen und über die gemeinsame Meldeplattform von BBK und BSI. Die technische und strafprozessuale Seite der Cyberpflichten — §§ 30, 38, 65 BSIG, die Computer- und Datendelikte sowie die Beweisverwertung — behandelt der Pillar zum IT-Strafrecht; dieser Beitrag nimmt die physische Schiene in den Blick.

Anwendungsbereich: wer Betreiber kritischer Anlagen ist

Das KRITIS-DachG erfasst Betreiber, deren Anlagen kritische Dienstleistungen in einem der 10 gesetzlich genannten Sektoren erbringen (§ 4 Abs. 1): Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung. Für Einrichtungen der Bundesverwaltung enthält § 7 KRITIS-DachG Sonderregelungen; sie sind kein allgemeiner Sektor des § 4 Abs. 1. Der Regelschwellenwert liegt grundsätzlich bei 500.000 versorgten Personen, bleibt aber durch Rechtsverordnung und mögliche Einzelfeststellungen konkretisierungsbedürftig. Welche Anlagen konkret erfasst sind, bestimmt erst eine noch ausstehende Rechtsverordnung des Bundesinnenministeriums (§ 4 Abs. 3 und 4 KRITIS-DachG), die zugleich die bisherige KRITIS-Verordnungsstruktur neu ordnet. Über die Länderöffnungsklausel des § 5 Abs. 7 KRITIS-DachG können die Länder weitere Anlagen in eigener Zuständigkeit benennen.

Für 2 Konstellationen gelten Bereichsausnahmen: § 4 Abs. 2 KRITIS-DachG nimmt von zentralen Pflichten — darunter Risikoanalyse (§ 12), Resilienzmaßnahmen (§ 13), Meldewesen (§ 18), Geschäftsleitungspflichten (§ 20) und Bußgeld (§ 24) — unter anderem die nach der DORA-Verordnung (VO (EU) 2022/2554) regulierten Finanzunternehmen sowie die Sektoren Informationstechnik und Telekommunikation und Siedlungsabfallentsorgung aus. Das erklärt zugleich, warum der Katalog von „Finanzwesen“ spricht und kein eigenständiges „Versicherungswesen“ als Sektor führt — die Versicherungsaufsicht ist weitgehend dem DORA-Regime zugeordnet.

Zentrale Behörde ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) als Anlauf- und Verbindungsstelle im Sinne der CER-Richtlinie (§ 3 KRITIS-DachG); die sektorspezifische Fachaufsicht verbleibt bei den fachlich zuständigen Behörden.

Die Betreiberpflichten im Überblick

Die operativen Pflichten greifen frühestens ab dem 17. Juli 2026, gestaffelt nach der eigenen Registrierung:

Pflicht Norm Auslösung
Registrierung beim BBK (Once-Only mit § 33 Abs. 1 BSIG) § 8 binnen 3 Monaten nach Identifikation, frühestens 17. Juli 2026
Risikoanalyse und -bewertung § 12 mind. alle 4 Jahre, erstmals 9 Monate nach Registrierung
Resilienzmaßnahmen und Resilienzplan § 13 erstmals 10 Monate nach Registrierung
Meldung erheblicher Störungen (24 Stunden) § 18 erstmals 10 Monate nach Registrierung
Umsetzung/Überwachung durch die Geschäftsleitung § 20 mit den Maßnahmenpflichten

Die Resilienzmaßnahmen nach § 13 KRITIS-DachG sind geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Vorkehrungen, die in einem Resilienzplan zu dokumentieren sind — einschließlich der Erwägungen, die der Maßnahmenauswahl zugrunde liegen. Diese Dokumentationspflicht ist der Dreh- und Angelpunkt der späteren Verteidigung; dazu unten.

Aktuelle Rechtslage und die Sabotage-Tatbestände

Das KRITIS-DachG ist Aufsichts- und Resilienzrecht, kein Strafrecht. Es enthält keinen eigenen Straftatbestand. Die strafrechtliche Relevanz von KRITIS-Compliance entsteht auf 2 getrennten Wegen, die nicht verwechselt werden dürfen.

Sabotage gegen die Anlage

Wird eine kritische Anlage angegriffen, kommen je nach Tatobjekt und Hintergrund verschiedene Tatbestände in Betracht. Bei manipulativen Eingriffen in die Datenverarbeitung greift § 303b StGB; nach § 303b Abs. 4 S. 2 Nr. 3 StGB liegt ein besonders schwerer Fall mit einem Strafrahmen von 6 Monaten bis zu 10 Jahren in der Regel vor, wenn die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik beeinträchtigt — eine KRITIS-nahe Qualifikation, die den Begriff KRITIS selbst nicht verwendet, aber sachlich an dieselbe Schutzrichtung anknüpft. Bei physischer Sabotage an verteidigungswichtigen Einrichtungen ist § 109e StGB einschlägig, bei verfassungsfeindlicher Sabotage gegen lebenswichtige Einrichtungen § 88 StGB.

Diese Sabotage-Tatbestände richten sich gegen den Täter, nicht gegen den Betreiber. Steht ein staatlich gelenkter Hintergrund im Raum, verschiebt sich die Verfahrensarchitektur erheblich — bis zur Zuständigkeit des Generalbundesanwalts und zur Konstellation der angeworbenen Helfer. Diese Staatsschutz-Dimension samt §§ 87, 87a, 88 StGB behandelt der Beitrag zu Wirtschaftsschutz bei staatlich gelenkter Spionage.

Der Aufsichtsvorwurf gegen das eigene Haus

Die für den Betreiber unbequemere Linie verläuft anders. Verletzt das Unternehmen Organisations- oder Aufsichtspflichten und wird dadurch eine betriebsbezogene Straftat oder Ordnungswidrigkeit ermöglicht oder wesentlich erleichtert, die bei gehöriger Aufsicht verhindert oder wesentlich erschwert worden wäre, kann daraus ein Vorwurf nach § 130 OWiG entstehen. Eine Verbandsgeldbuße nach § 30 OWiG setzt zusätzlich eine taugliche Anknüpfungstat einer Leitungsperson voraus. Führt unterlassene Vorsorge zu einem Vermögensschaden des Unternehmens, kann auch § 266 StGB in den Blick geraten — allerdings nur, wenn insbesondere Vermögensbetreuungspflicht, pflichtwidrige Handlung, Vermögensnachteil und Vorsatz tragfähig belegbar sind; nicht jede mangelhafte Vorsorge mit Schaden ist Untreue. Diese Anknüpfungslogik — aus einem Resilienzdefizit wird über die Pflichtenkonstruktion ein strafrechtlich relevanter Organisationsvorwurf — ist die eigentliche neuralgische Stelle der KRITIS-Compliance. Den materiellen Rahmen der Organhaftung vertieft der Beitrag zur Haftung von Compliance Officer und General Counsel; zur Untreue durch unterlassene Sorgfalt siehe Untreue nach § 266 StGB.

Das KRITIS-Dachgesetz schafft keine neue Strafbarkeit — aber es schafft neue, dokumentierte Pflichten. Jede schriftlich festgestellte, aber nicht abgestellte Resilienzlücke ist ein potenzieller Anknüpfungspunkt für den Aufsichtsvorwurf nach § 130 OWiG.

Typische Konstellationen zwischen Betroffenheit und Ermittlungsfokus

Für Betreiber verdichten sich die Pflichten zu wiederkehrenden Konstellationen, in denen sich die eigene Rolle entscheidet.

In der ersten Konstellation ist der Betreiber faktisch betroffen: Eine Anlage wird gestört oder sabotiert, die Versorgung leidet. Hier laufen die verwaltungsrechtliche Meldepflicht nach § 18 KRITIS-DachG — soweit sie bereits anwendbar ist — und, bei Cyberbezug, die Meldung nach § 32 BSIG parallel, mit eigenen Fristen. Zugleich ermitteln die Strafverfolgungsbehörden gegen den Täter; das Unternehmen ist dabei zunächst Geschädigter und Zeuge. Verschont bleibt es deshalb nicht: Als unverdächtiger Dritter kann es Beweissicherung und Durchsuchung nach § 103 StPO ausgesetzt sein. Und die Rollen sind nicht statisch — geraten einzelne Organpersonen in Beschuldigtennähe, verschiebt sich die Lage in die zweite Konstellation.

In der zweiten Konstellation geraten die eigenen Abläufe in den Ermittlungsfokus — etwa, weil die Resilienzorganisation lückenhaft war und eine Störung dadurch erst möglich oder folgenschwerer wurde. Beschuldigte sind dann natürliche Personen; daneben drohen dem Unternehmen Verbandsgeldbuße (§ 30 OWiG), Aufsichtspflichtvorwürfe (§ 130 OWiG) und Einziehungs- sowie Durchsuchungsmaßnahmen. Es geht nicht mehr nur um die Tat, sondern um Berechtigungskonzepte, Meldewege und die Frage, ob der Resilienzplan gelebt wurde.

Beide Konstellationen treffen sich in der Akte: Auf der Geschädigtenseite entscheidet die Dokumentation über die Tragfähigkeit des Tatvorwurfs gegen den Täter; auf der Beschuldigtenseite darüber, ob ein Vorfall als Einzelfehler oder als Organisationsversagen erscheint. Die Verfahrensseite einer behördlichen Maßnahme — Rechte und Pflichten bei Durchsuchung und Sichtung — behandelt die Darstellung zur Durchsuchung im Unternehmen.

Verteidigungsstrategien: Trennschärfe und Beweisvorsorge

Aus der Substanz der Rechtslage ergeben sich mehrere Linien, die für Betreiber den Unterschied machen.

Die Regime nicht vermischen. Der häufigste Fehler im Vorfall ist die Verwechslung dreier Rechtskreise: KRITIS-DachG (physische Resilienz), BSIG (Cyber) und SÜG/Geheimschutzhandbuch (Verschlusssachen). Wer falsch meldet, beruft sich auf die falsche Frist; wer im Vorwurf das falsche Regime adressiert, verfehlt die Anknüpfungstat. Die Trennung der Regime ist deshalb nicht nur Organisations-, sondern Verteidigungsfrage. Wie die drei Stränge im Sicherheitsvorfall ineinandergreifen, zeigt der Leitfaden zum Geheim- und Sabotageschutz für die Geschäftsleitung.

Der Resilienzplan ist Entlastungsbeweis. Was § 13 KRITIS-DachG als Pflicht formuliert — dokumentierte, verhältnismäßige Maßnahmen samt Auswahlerwägungen —, ist im § 130-OWiG-Verfahren zugleich der zentrale Nachweis gehöriger Aufsicht. Ein nachweisbar implementierter und überwachter Resilienzplan reduziert die Exponierung der Leitung erheblich. Diese Beweislage entsteht vor dem Vorfall, nicht danach. Wer Defizite schriftlich feststellt, ohne die Abhilfe zu dokumentieren, liefert den Anknüpfungspunkt für den Aufsichtsvorwurf gleich mit.

Die subjektive Tatseite trägt die Last. Die Sabotage-Tatbestände der §§ 88, 109e StGB und § 303b StGB verlangen Vorsatz, teils qualifizierte Absichten. Organisatorisches Versagen, Nachlässigkeit oder ein technisches Versehen erfüllen diese Anforderungen regelmäßig gerade nicht. Die Abgrenzung von vorsätzlicher Sabotage und fahrlässigem Organisationsmangel ist zentral — strafrechtlich wie für die Bußgeldfrage.

Die Kommunikationsdisziplin gegenüber Behörden. Soweit die Meldepflicht nach § 18 KRITIS-DachG bereits anwendbar ist — sie greift erstmals 10 Monate nach der Registrierung —, ist sie zwingend; die Meldung wird aber Teil der behördlichen Vorgangs- und gegebenenfalls Ermittlungsakte. Sie ist sparsam, faktenbasiert und ohne rechtliche Selbstbewertung zu fassen. Der frühe Wortlaut einer Pflichtmeldung wird zum späten Beweismittel — gerade wenn sich aus dem Vorfall ein Verfahren gegen die eigene Organisation entwickelt.

Praktisches Vorgehen bei Vorfall und behördlicher Maßnahme

Verdichtet sich ein Vorfall, laufen mehrere Linien parallel und müssen koordiniert werden.

Zuerst die Zuordnung: Welches Regime ist betroffen — physische Resilienz (KRITIS-DachG), Cyber (BSIG), Geheimschutz (SÜG), mehrere zugleich? Davon hängen Meldeweg und Frist ab. Die Erstmeldung nach § 18 KRITIS-DachG ist — soweit die Pflicht bereits gilt — unverzüglich, spätestens 24 Stunden nach Kenntnis des Vorfalls über die gemeinsame Plattform von BBK und BSI abzugeben; bei andauernden Vorfällen ist sie zu aktualisieren, spätestens einen Monat nach Kenntnis folgt ein ausführlicher Bericht. Sie ist unabhängig von strafrechtlichen Erwägungen einzuhalten und tritt neben eine etwaige Cyber-Meldung nach § 32 BSIG.

Dann die Beweissicherung: Logdaten, Zugriffsprotokolle und Anlagendokumentation sind zu sichern, nicht zu verändern. Voreilige Aufräumarbeiten zerstören Entlastungsbeweise. Eigenständige interne Auswertungen sind zulässig, ersetzen aber keine behördliche Sicherung und können bei späterer Beschlagnahme zum Aktenstück werden.

Schließlich die strafrechtliche Linie: frühe Klärung der Organrollen und der Frage, ob das Unternehmen Anzeige erstattet. Eine Vorladung der Geschäftsleitung als Zeuge kann sich nach Aktenlage in eine Beschuldigtenvernehmung verwandeln. Kommt es zur Durchsuchung beim geschädigten Betreiber, gelten die Anforderungen an § 102 bzw. § 103 StPO weiter; die Sichtung großer Datenbestände nach § 110 StPO unterliegt dem Verhältnismäßigkeitsgrundsatz.

Für die Programm- und Governance-Ebene — wie technische, organisatorische und personelle Maßnahmen in einem Programm zusammengeführt werden — siehe Wirtschaftsschutz-Compliance als Organisationsaufgabe.

Häufige Fragen

Was ist der Unterschied zwischen dem KRITIS-Dachgesetz und NIS-2/BSIG?
Beide Regime schützen kritische Infrastruktur, aber in unterschiedliche Richtungen. Das BSIG regelt in Umsetzung der NIS-2-Richtlinie die Cybersicherheit — technische und organisatorische Maßnahmen gegen Störungen informationstechnischer Systeme. Das KRITIS-Dachgesetz regelt seit März 2026 in Umsetzung der CER-Richtlinie die physische Resilienz kritischer Anlagen gegen alle Gefahrenlagen, von Naturereignissen über technisches Versagen bis zu Sabotage. Die Pflichten, die zuständigen Behörden und die Bußgeldvorschriften sind getrennt; das BBK ist für die physische Schiene zuständig, das BSI für die Cyberschiene. Betreiber müssen künftig beide Regime parallel beachten.
Welche Pflichten treffen Betreiber kritischer Anlagen ab dem 17. Juli 2026?
Die operativen Pflichten des KRITIS-Dachgesetzes greifen frühestens ab dem 17. Juli 2026, gestaffelt nach der eigenen Registrierung. Dazu zählen die Registrierung beim BBK (§ 8), eine Risikoanalyse und -bewertung mindestens alle 4 Jahre (§ 12), geeignete und verhältnismäßige Resilienzmaßnahmen mit Dokumentation in einem Resilienzplan (§ 13) sowie die Meldung von Vorfällen unverzüglich, spätestens 24 Stunden nach Kenntnis über die gemeinsame Plattform von BBK und BSI (§ 18). Die Geschäftsleitung muss die Maßnahmen billigen und ihre Umsetzung überwachen (§ 20). Für DORA-Finanzunternehmen sowie die Sektoren IT und Telekommunikation und Siedlungsabfallentsorgung bestehen Bereichsausnahmen (§ 4 Abs. 2). Viele Detailvorgaben stehen noch unter dem Vorbehalt nachgelagerter Rechtsverordnungen.
Wann wird ein KRITIS-Vorfall strafrechtlich relevant — und für wen?
Das KRITIS-Dachgesetz selbst enthält keinen Straftatbestand; Pflichtverstöße sind Ordnungswidrigkeiten. Strafrechtliche Relevanz entsteht auf 2 getrennten Wegen. Gegen den Täter einer Sabotage greifen je nach Tatobjekt § 303b StGB (Computersabotage, in der KRITIS-nahen Qualifikation mit erhöhtem Strafrahmen), § 109e StGB oder § 88 StGB. Gegen das Unternehmen und seine Organe kann ein Aufsichtsvorwurf entstehen, wenn eine Pflichtverletzung eine betriebsbezogene Straftat oder Ordnungswidrigkeit ermöglicht oder wesentlich erleichtert hat — über § 130 OWiG, wobei die Verbandsgeldbuße nach § 30 OWiG zusätzlich eine taugliche Anknüpfungstat einer Leitungsperson voraussetzt. Bei Vermögensschaden kann § 266 StGB hinzutreten, sofern dessen Voraussetzungen — Vermögensbetreuungspflicht, Pflichtwidrigkeit, Nachteil, Vorsatz — vorliegen.
Welche Bußgelder drohen nach dem KRITIS-Dachgesetz?
§ 24 KRITIS-Dachgesetz sieht ein gestuftes Bußgeldregime vor: bis zu 1 Mio. Euro für Verstöße gegen Auskunftspflichten bei der Registrierung, bis zu 500.000 Euro bei Verstößen gegen die Vorlage von Audits, bis zu 200.000 Euro bei Verstößen gegen Anordnungen zur Vorlage von Nachweisen und zur Mängelbeseitigung sowie bis zu 100.000 Euro bei unvollständiger oder verspäteter Registrierung und bei Verweigerung des Zugangs zur behördlichen Kontrolle. Dieses Regime ist enger gefasst als die Bußgeldvorschriften des BSIG, die separat bestehen bleiben. Betreiber stehen damit künftig vor einem zweistufigen Sanktionssystem.
Macht sich die Geschäftsleitung bei einer Sabotage gegen eine kritische Anlage strafbar?
Nicht die Sabotage selbst begründet die Strafbarkeit der Leitung — Täter ist, wer die Anlage angreift. Eine Exponierung der Geschäftsleitung entsteht erst, wenn eine unzureichende Resilienzorganisation den Vorfall ermöglicht oder verschärft hat. Dann kommen ein Aufsichtspflichtvorwurf nach § 130 OWiG und — bei tauglicher Anknüpfungstat einer Leitungsperson — eine Verbandsgeldbuße nach § 30 OWiG in Betracht; bei Vermögensschaden kann § 266 StGB hinzutreten, allerdings nur unter dessen Voraussetzungen (Vermögensbetreuungspflicht, Pflichtwidrigkeit, Nachteil, Vorsatz). Hinzu tritt die persönliche Binnenhaftung nach § 20 KRITIS-Dachgesetz, die sich primär nach dem Gesellschaftsrecht richtet. Ein dokumentierter, überwachter Resilienzplan ist hier das wichtigste Entlastungsmittel.
Wer ist nach dem KRITIS-Dachgesetz Betreiber einer kritischen Anlage?
Erfasst sind Betreiber, deren Anlagen kritische Dienstleistungen in einem der 10 gesetzlich genannten Sektoren erbringen (§ 4 Abs. 1 KRITIS-Dachgesetz): Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum und Siedlungsabfallentsorgung. Für Einrichtungen der Bundesverwaltung gelten Sonderregelungen nach § 7. Der Regelschwellenwert liegt grundsätzlich bei 500.000 versorgten Personen, ist aber durch Rechtsverordnung und mögliche Einzelfeststellungen zu konkretisieren. Welche Anlagen konkret erfasst sind, bestimmt eine noch ausstehende Rechtsverordnung des Bundesinnenministeriums; über die Länderöffnungsklausel können die Länder zusätzliche Anlagen benennen.
Welche Meldepflichten gelten bei einem Vorfall in einer kritischen Anlage?
Vorfälle, die die Erbringung kritischer Dienstleistungen erheblich stören oder stören könnten, sind nach § 18 KRITIS-Dachgesetz unverzüglich, spätestens 24 Stunden nach Kenntnis über die gemeinsame Plattform von BBK und BSI zu melden; bei andauernden Vorfällen ist die Meldung zu aktualisieren, spätestens einen Monat nach Kenntnis folgt ein ausführlicher Bericht. Die Pflicht greift erstmals 10 Monate nach der Registrierung. Diese physisch-resilienzrechtliche Meldepflicht besteht unabhängig von einer etwaigen Cyber-Meldung nach § 32 BSIG und von datenschutzrechtlichen Pflichten nach Art. 33 DSGVO. Die Meldungen sollten präzise und faktenbasiert formuliert werden, da sie Teil der behördlichen Vorgangs- und gegebenenfalls Ermittlungsakte werden.

Einordnung und Verfahrens-Ausblick

KRITIS-Compliance hat sich mit dem Dachgesetz von einer technisch-organisatorischen Frage der Sicherheitsabteilung zu einer Leitungsaufgabe mit strafrechtlicher Schattenlinie entwickelt. Der nüchterne Befund für Betreiber: Das KRITIS-DachG begründet keine neue Strafbarkeit, aber es schafft dokumentierte Pflichten, deren Verletzung über § 130 und § 30 OWiG anschlussfähig ist — und deren Erfüllung umgekehrt zum Entlastungsbeweis wird.

Drei Entwicklungen prägen die kommenden Monate: die noch ausstehenden Rechtsverordnungen, die Anlagen und Schwellenwerte konkretisieren; die praktische Handhabung der Länderöffnungsklausel, besonders bei Verbundsystemen im Energiesektor; und das Zusammenspiel von KRITIS-DachG-Nachweis und BSIG-Auditlast. Für die Verteidigung bleibt die entscheidende Weichenstellung zeitlich vor jedem Verfahren — in der Trennschärfe der Regime und in der Beweisbarkeit des eigenen Resilienzkonzepts.

Quellen und Rechtsprechung

Primärquellen:

  • KRITIS-Dachgesetz (KRITIS-DachG) v. 11.03.2026, BGBl. 2026 I Nr. 66; Gesetzestext (§§ 4, 5, 7, 8, 12, 13, 18, 20, 24) — gesetze-im-internet.de/kritisdachg
  • Gesetzentwurf der Bundesregierung, BT-Drs. 21/2510; Beschlussempfehlung Innenausschuss, BT-Drs. 21/3906; Stellungnahme Bundesrat, BT-Drs. 21/3855
  • Richtlinie (EU) 2022/2557 (CER-Richtlinie); Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie); Verordnung (EU) 2022/2554 (DORA)
  • § 303b StGB (i. d. F. d. G. v. 20.03.2026, BGBl. I Nr. 95); §§ 88, 109e StGB; §§ 30, 130 OWiG; § 266 StGB; §§ 102, 103, 110 StPO — gesetze-im-internet.de
  • BSIG i. d. F. v. 06.12.2025 (§§ 30, 32, 33, 38, 65 BSIG)

Ergänzende Fachquellen (Einordnung):

  • GÖRG, Legal Update „KRITIS-Dachgesetz“, 09.03.2026; Rödl & Partner, „Bundestag beschließt KRITIS-Dachgesetz“, 02.02.2026; Bundesrat, 1062. Sitzung 06.03.2026

Aktuelle Analysen aus dieser Kategorie

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Criminal Compliance Briefing

Einmal im Quartal: ausgewählte Entwicklungen im Wirtschaftsstrafrecht, in der Criminal Compliance und bei internen Untersuchungen — eingeordnet aus Verteidigerperspektive.

Erscheint quartalsweise.  Jederzeit abbestellbar.  Datenschutz.

Zum Inhalt springen