KRITIS-Dachgesetz Checkliste: 12 Pflichten bis Juli 2026

Die Frist läuft. Am 17.07.2026 muss jeder Betreiber kritischer Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registriert sein. Diese KRITIS-Dachgesetz Checkliste fasst die zwölf operativen Pflichten zusammen, benennt den Bußgeldrahmen und liefert einen 14-Wochen-Plan. Sie ersetzt kein Rechtsgutachten. Sie ist die Arbeitsgrundlage für Geschäftsführung und Sicherheitsleitung, mit der wir, Raphael Nagel und Marcus Köhnlein, den KRITIS-Praxisleitfaden (ESBN 978-3-912703-01-6) geschrieben haben und mit der Betreiber heute in die Umsetzung gehen.

Was das KRITIS-Dachgesetz 2026 wirklich verlangt

Das Gesetz adressiert zehn Sektoren: Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur, Staat und Verwaltung sowie Siedlungsabfallentsorgung. Die Schwellenwerte werden über die KritisV fortgeschrieben. Wer 2024 knapp unter Schwelle lag, sollte 2026 neu prüfen. Versorgungsgrad und Anlagenklasse entscheiden, nicht der Umsatz.

Der wesentliche Unterschied zum bisherigen BSIG: physische Resilienz ist eigenständige Pflicht. Bisher war Objektschutz ein Nebenkapitel im Cyber-Schutzkonzept. Jetzt verlangt der Gesetzgeber separate Bedrohungsanalyse, separates Schutzkonzept und separaten Audit-Nachweis für die physische Ebene. Drohnen, Sabotage am Perimeter, Innentäter, Naturereignisse: alles eigene Kapitel. Der Gesetzentwurf in Bundestag-Drucksache 20/9262 macht das in § 9 und § 10 explizit.

Stichtag BBK-Registrierung ist der 17.07.2026 laut Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Wer nicht registriert ist, gilt als pflichtverletzend ab Tag eins. Bußgeldverfahren laufen unabhängig davon, ob ein Vorfall eingetreten ist.

Verhältnis zu NIS-2: Die meisten KRITIS-Betreiber unterliegen parallel dem NIS2UmsuCG. Cyber-Pflichten nach NIS-2 und physische Pflichten nach KRITIS-Dachgesetz greifen ineinander, sind aber separat zu dokumentieren. Doppelarbeit ist die Regel, nicht die Ausnahme.

Die 12 Pflichten im operativen Überblick

1. Risk-Assessment mit Bedrohungsanalyse und Schutzkonzept. Schriftlich, datiert, mindestens jährlich fortgeschrieben. Bedrohungsszenarien nach BBK-Methodik.
2. Stand der Technik bei physischer und Cyber-Sicherheit. Der § 8a BSIG-Erbe gilt fort. Neu hinzu: physische Komponenten wie Perimeterdetektion, Zutrittssteuerung, Sensorik. Stand der Technik bemisst sich an verfügbaren Marktlösungen, nicht am Wunsch der Beschaffung.
3. Meldepflicht erheblicher Vorfälle binnen 24 Stunden an BBK und BSI. Erstmeldung formlos, Detailbericht innerhalb 72 Stunden.
4. Personal-Zuverlässigkeitsprüfung für sicherheitsrelevante Rollen. Wachpersonal nach §34a GewO bleibt Mindeststandard, reicht aber nicht für Schlüsselpositionen.
5. Audit-fester Streifen-Nachweis. Zeitstempel, Position, Sensorlog. Handgeschriebene Wachbücher sind ab 2026 nicht mehr auditkonform.
6. Notfallpläne mit dokumentierter Übungspflicht. Mindestens eine Vollübung pro Jahr, Teilübungen quartalsweise.
7. Krisenmanagement-Struktur mit benannten Verantwortlichen. Stellvertreterregelung Pflicht, 24/7-Erreichbarkeit Pflicht.
8. Lieferanten-Risikomanagement. Sicherheitsdienstleister, IT-Provider, Wartungsfirmen werden Teil des Risikoperimeters.
9. Mitarbeiterschulungen und Awareness. Nachweispflicht über Inhalt, Teilnehmer, Datum.
10. Dokumentations- und Aufbewahrungspflichten. Zehn Jahre für sicherheitsrelevante Aufzeichnungen.
11. Zusammenarbeit mit Behörden. Auskunftspflicht, Zutrittsgewährung für BBK-Prüfer.
12. Externes Audit alle zwei Jahre. Akkreditierte Prüfstelle, Bericht an BBK.

Diese zwölf Pflichten sind nicht verhandelbar. Ihre Umsetzung ist es. Wer heute Streifen mit Papierbuch dokumentiert, hat in Pflicht 5 ein Substanzproblem. Wer kein Lieferantenregister führt, hat in Pflicht 8 keine Antwort. Den Kostenvergleich der Umsetzungswege beschreiben wir im Detail unter Wachschutz Kosten 2026 (TCO-Vergleich).

BBK-Registrierung Schritt für Schritt

Das BBK-Portal verlangt drei Datenblöcke. Erstens Betreiber-Stammdaten: Firma, Anschrift, Handelsregisternummer, vertretungsberechtigte Person. Zweitens Anlagenklasse: Sektor, Subsektor, Anlagenkategorie nach KritisV-Anhang. Drittens Schwellenwert-Belegung: konkreter Versorgungsgrad mit Berechnungsgrundlage, Stichtag, Quelle.

Unterschrieben wird von einem vertretungsberechtigten Vorstandsmitglied. Persönlich. Eine Delegation an die Sicherheitsleitung ist nicht vorgesehen. Wer mit Kollektivunterschrift im Handelsregister steht, koordiniert mit dem zweiten Zeichnungsberechtigten.

Nach der Registrierung kommt eine Eingangsbestätigung per qualifiziertem Bescheid. Damit beginnt die Pflicht zur fortlaufenden Aktualisierung: Änderungen der Anlagenklasse, der Schwellenwerte, der Verantwortlichen sind innerhalb von vier Wochen nachzumelden.

Die Frist 17.07.2026 ist hart. Es gibt keine Verlängerung. Es gibt keinen Vertrauensschutz für Betreiber, die ihre Schwellenwerte erst später erkennen. Wer im August 2026 feststellt, dass er kritisch war, hat bereits ein laufendes Bußgeldverfahren am Hals. Nächster Schritt: Perimeterschutz mit autonomer Patrouille als baulichen Nachweis für Pflicht 2 und 5.

Bußgeldrahmen und persönliche Geschäftsführerhaftung

Der Bußgeldrahmen reicht bis 10 Millionen Euro oder 2 Prozent des weltweiten Konzernumsatzes, je nachdem, welcher Wert höher ist. Die genaue Höhe staffelt sich nach Pflichtverletzung. Versäumte Registrierung, fehlende Meldung erheblicher Vorfälle und systematische Verletzung des Stand der Technik führen zum oberen Rahmen.

Die persönliche Haftung der Geschäftsführung wird über die analoge Übertragung aus der NIS-2 Richtlinie EU 2022/2555 Artikel 34 in das deutsche Umsetzungsrecht hineingetragen. Vorstände haften mit privatem Vermögen für Pflichtverletzungen, die sie kannten oder kennen mussten. Die Details haben wir unter NIS-2 Vorstandshaftung im Detail aufgearbeitet.

Tätigkeitsverbot ist die ultima ratio. Bei Wiederholungsfällen kann die Aufsichtsbehörde dem verantwortlichen Vorstand die Geschäftsführungstätigkeit untersagen. Das Verbot kann bis zu fünf Jahre wirken und gilt für alle Gesellschaften, in denen die Person Leitungsfunktion ausübt.

Strafrechtliche Risiken bestehen bei vorsätzlicher Verletzung der Meldepflicht. Wer einen meldepflichtigen Vorfall verschweigt, um Reputationsschaden zu vermeiden, riskiert Strafverfolgung wegen Verstoßes gegen das KRITIS-Dachgesetz in Verbindung mit den allgemeinen Untreuetatbeständen, wenn dem Unternehmen daraus Schaden entsteht.

Wo Robotik den Nachweis liefert

Pflicht 5 ist der operative Engpass. Audit-fester Streifen-Nachweis bedeutet: jede Streife muss mit Zeitstempel, Position und Sensor-Capture belegbar sein. Ein handgeschriebenes Wachbuch erfüllt das nicht. Ein Wachbuch lässt sich nachtragen, glätten, schönen. Wer um 03:14 Uhr im Wachbuch "Rundgang erfolgt, keine Vorkommnisse" stehen hat, kann nicht beweisen, dass der Rundgang tatsächlich erfolgt ist.

Autonome Patrouille schließt diese Lücke. Der QR-2 Sicherheitsroboter mit Wärmebild loggt jede Bewegung mit GPS-Position, Zeitstempel und Sensordaten. Das Log ist manipulationssicher, exportierbar, BBK-konform. Wärmebild dokumentiert Frühwarnung bei Nacht und Nebel automatisch, ohne dass ein Wachmann durch dichten Schneefall die Sichtkontrolle improvisieren muss.

24/7-Perimeterpatrouille ohne Schichtlücken bedeutet auch: keine geschönten Einträge mehr. In jeder Auditprüfung, die wir begleitet haben, fanden sich im Wachbuch Streifgänge, die laut Zutrittssystem nicht stattgefunden haben können. Mit Robotik fällt diese Diskrepanz weg.

Was Robotik nicht ersetzt, gehört ehrlich benannt: physische Intervention, Personenkontrolle am Tor, Schlüsselübergabe, Eskalation gegenüber Unberechtigten. Diese Anteile bleiben menschlich und müssen durch qualifiziertes Wachpersonal nach §34a GewO abgedeckt sein. Das Robotics-as-a-Service Modell kombiniert beide Ebenen: Roboter für Routine und Nachweis, Mensch für Intervention und Entscheidung.

Operative Checkliste für die kommenden 14 Wochen

Der Plan setzt voraus, dass die Geschäftsführung in Woche 1 zustimmt und Budget bis zur Schwelle des Schutzkonzepts freigibt.

Woche 1 bis 2: Sektor- und Schwellenwert-Prüfung intern abschließen. Anlagen kartieren, Versorgungsgrad rechnen, KritisV-Anhang abgleichen. Ergebnis: schriftliche Feststellung, ob das Unternehmen kritisch ist, mit welchen Anlagen, in welcher Anlagenklasse.

Woche 3 bis 6: Schutzkonzept-Entwurf gegen Stand der Technik abgleichen. Bestehende Maßnahmen dokumentieren, gegen BBK-Vorgaben spiegeln, Lücken benennen. Der Entwurf soll am Ende der Woche 6 in einer Fassung vorliegen, die ein externer Prüfer lesen kann.

Woche 7 bis 10: Lücken-Analyse und Investitionsentscheidung. Jede Lücke mit Kostenrahmen, Umsetzungszeit, Pflichtbezug. Entscheidung der Geschäftsführung am Ende der Woche 10. Ohne diese Entscheidung verfehlt der Zeitplan die Frist.

Woche 11 bis 13: Implementierung der gefundenen Lücken. Physische Komponenten installieren, Robotik in Betrieb nehmen, Audit-Log scharfschalten. Schulungen ansetzen, Notfallübung terminieren.

Woche 14: BBK-Registrierung absenden und Bestätigung archivieren. Stammdaten, Anlagenklasse, Schwellenwert-Belegung. Eingangsbestätigung in das Compliance-Archiv. Damit ist Pflicht eins erfüllt. Die elf weiteren laufen ab Tag der Registrierung als Dauerpflicht.

Der enge Zeitplan funktioniert nur, wenn die Geschäftsführung in Woche 1 entscheidet, wer intern führt und welcher externe Partner liefert. Für Schweizer und süddeutsche Betreiber koordiniert Marcus Köhnlein, Sales Lead Schweiz die technische Vorprüfung in den ersten 14 Tagen.

Wer heute startet, hält die Frist. Wer im Juni 2026 startet, hält sie nicht. Termin für ein strukturiertes Vorgespräch zur Schwellenwert-Prüfung und zum Schutzkonzept-Entwurf vereinbaren Sie unter /de/contact. Bringen Sie die Anlagenliste mit. Wir liefern die Lückenanalyse.