Bundestag beschließt Kritis-Dachgesetz – ein wichtiger Schritt, aber kein ausreichender

Mit der Verabschiedung des Kritis-Dachgesetzes hat der Deutsche Bundestag einen lange überfälligen Schritt zum besseren Schutz kritischer Infrastrukturen vollzogen. Energieversorgung, Wasserwirtschaft, Telekommunikation, Verkehr oder Rechenzentren bilden das Rückgrat unserer Volkswirtschaft und unseres gesellschaftlichen Zusammenhalts. Ihre Funktionsfähigkeit entscheidet über Sicherheit, Stabilität und Wettbewerbsfähigkeit des Standorts Deutschland – insbesondere in Zeiten zunehmender geopolitischer Spannungen, hybrider Bedrohungen und wachsender Cyberangriffe.

Das neue Gesetz verschärft die Anforderungen an Betreiber kritischer Infrastrukturen erheblich. Vorgesehen sind unter anderem verbindliche Schutzmaßnahmen gegen physische Angriffe, strengere Zugangskontrollen, Risikoanalysen sowie Meldepflichten bei sicherheitsrelevanten Vorfällen. Unternehmen, die diese Vorgaben nicht einhalten, drohen empfindliche Bußgelder von bis zu einer Million Euro. Damit setzt das Kritis-Dachgesetz die europäische CER-Richtlinie (Critical Entities Resilience) in nationales Recht um – ein Schritt, der unter der vorherigen Legislaturperiode zwar vorbereitet, politisch aber nicht mehr abgeschlossen worden war.

Aus Sicht der Bundesarbeitsgruppe Digitale Infrastruktur des Wirtschaftsrates ist besonders zu begrüßen, dass Resilienz nicht länger ausschließlich als Frage der IT-Sicherheit verstanden wird. Physische Sicherheit, organisatorische Vorsorge, Krisenmanagement und digitale Schutzmaßnahmen werden erstmals systematisch zusammengedacht. Ereignisse wie der Brandanschlag auf Teile der Berliner Stromversorgung haben schmerzhaft vor Augen geführt, wie verwundbar selbst hochentwickelte Infrastrukturen sein können – mit unmittelbaren Folgen für Wirtschaft und Bevölkerung.

Gleichzeitig wirft das Gesetz zentrale Fragen auf. Die nun enthaltene Öffnungsklausel erlaubt es den Bundesländern, die Pflichten auch auf Betreiber kleinerer Anlagen auszuweiten. Damit reagiert der Gesetzgeber auf berechtigte Kritik von Kommunen und kommunalen Unternehmen, wonach die bislang angesetzten Schwellenwerte – etwa ab 500.000 Einwohnerinnen und Einwohnern – realitätsfern sind. Kritische Infrastrukturen existieren nicht nur in Metropolen. Auch kleinere Städte und ländliche Regionen sind auf funktionierende Energie-, Wasser- und Kommunikationsnetze angewiesen.

Dennoch bleibt die praktische Umsetzung eine große Herausforderung. Viele Unternehmen stehen bereits heute unter erheblichem Investitionsdruck – sei es durch den Ausbau digitaler Netze, die Transformation der Energieversorgung oder steigende regulatorische Anforderungen. Zusätzliche Sicherheitsauflagen sind notwendig, dürfen aber nicht zu einem weiteren Bürokratiehemmnis werden. Entscheidend wird sein, dass Meldepflichten, Dokumentationsanforderungen und Prüfprozesse praxistauglich ausgestaltet werden und Doppelregulierungen vermieden werden, insbesondere im Zusammenspiel mit NIS2, IT-Sicherheitsgesetz und sektorspezifischen Vorgaben.

Auch der Zeitfaktor ist kritisch. Wie der Verband kommunaler Unternehmen zu Recht betont, haben jahrelange politische Verzögerungen wertvolle Zeit gekostet. Nun müssen Unternehmen in kurzer Frist umfangreiche Maßnahmen umsetzen – häufig ohne Klarheit über untergesetzliche Regelungen, Zuständigkeiten und konkrete Auslegungsvorgaben. Planungssicherheit ist jedoch eine Grundvoraussetzung für Investitionen in Sicherheit und Resilienz.

Für die digitale Infrastruktur gilt dabei besonders: Resilienz entsteht nicht allein durch Zäune, Kameras und Meldeketten. Sie erfordert leistungsfähige, moderne Netze, sichere Rechenzentrumsstandorte, redundante Systeme und qualifiziertes Fachpersonal. Ohne flächendeckenden Glasfaserausbau, leistungsfähige Mobilfunknetze und robuste Cloud- und Edge-Infrastrukturen bleibt der Schutz kritischer Systeme Stückwerk.

Das Kritis-Dachgesetz muss der Auftakt für eine kohärente nationale Resilienzstrategie sein. Wir fordern die Bundesregierung auf, Sicherheitsanforderungen konsequent mit Investitionsanreizen zu verbinden, Bürokratie abzubauen und klare, einheitliche Standards für Bund und Länder zu schaffen. Kritische Infrastruktur braucht nicht nur mehr Pflichten, sondern vor allem verlässliche Rahmenbedingungen, schnellere Genehmigungen und gezielte Förderinstrumente für digitale und physische Resilienz. Nur so lässt sich die Sicherheit kritischer Infrastrukturen nachhaltig stärken – und damit die Zukunftsfähigkeit des Wirtschaftsstandorts Deutschland sichern.