Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
KRITIS Federal Act

KRITIS Federal Act · what it means for operators.

Germany's transposition of the EU CER directive 2022/2557. The first federal law that harmonises physical resilience across all ten KRITIS sectors. § 7 state of the art, two-year audit, fines to €10M, personal management liability — what the law actually demands.

Free site analysisKRITIS file
In force
2026
Anchor §
§7
Fine max.
10 M€
CER

Definition

The KRITIS Federal Act harmonises physical resilience across ten sectors.

Officially the 'Act on the implementation of the CER directive and the strengthening of resilience of critical infrastructures' (KRITIS-DG). Transposes EU directive 2022/2557, complements the BSI Act (which only covers IT security), and names the BBK as additional supervisor alongside BSI. In force from 2026.

  • 01 · Scope

    All ten KRITIS sectors. ~4,500 facilities, ~2,300 operators, plus ~25,000 entities through NIS-2 overlap.

  • 02 · Anchor §

    § 7 KRITIS-DG · state of the art for physical AND IT security, audited every two years.

  • 03 · Fines

    Up to €2M per breach (KRITIS-DG § 11). With NIS-2 overlap up to €10M or 2% group turnover. Personal liability.

What changes vs the prior regime

Physical resilience is now state-supervised. Personal liability cannot be delegated.

  • 01Physical security audited

    Until 2025, BSIG only covered IT. From 2026, the Federal Act puts perimeter, access control, and sabotage protection under state supervision — auditor-checked, BSI-reported.

    KRITIS-DG § 7 · BBK Leitfaden 2025

  • 02Tenth sector

    Siedlungsabfallentsorgung (waste management) joins the nine prior KRITIS sectors. Already foreshadowed in NIS-2 Annex I (2022); now formally part of German law.

    KRITIS-DG § 2 · NIS-2 Anhang I

  • 03Personal liability

    Management is now personally liable for compliance failures (§ 11 (4) KRITIS-DG). Fines up to €2M personally, plus possible occupational ban. NIS-2 Art. 20 adds mandatory training duty.

    KRITIS-DG § 11 (4) · NIS-2 Art. 20

Where to next

The ten sectors, requirements catalogue, who counts as KRITIS, hospital case.

Sector page lists all ten domains. Companies page maps the threshold logic. Requirements page details § 7 in operational checklists. Hospital page handles the health-sector special case.

SectorsCompaniesRequirementsHospitalsKRITIS filePricingContact

FAQ

Eight questions on the law itself.

  • Was ist das KRITIS-Dachgesetz?

    Das KRITIS-Dachgesetz (offiziell: Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Infrastrukturen, KRITIS-DG) ist das deutsche Bundesgesetz, das die EU-CER-Richtlinie 2022/2557 in nationales Recht umsetzt. Es harmonisiert erstmals die physische Resilienz aller zehn KRITIS-Sektoren bundesweit, ergänzt das BSI-Gesetz (das nur IT-Sicherheit regelt) und benennt das BBK als zusätzliche Aufsichts­behörde. Der Bundestag hat den Regierungs­entwurf 2024 verabschiedet; das Gesetz tritt 2026 in Kraft.

  • Wer fällt unter das KRITIS-Dachgesetz?

    Betreiber kritischer Infrastrukturen in den zehn Sektoren Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanz/Versicherung, Transport, Medien, Staat und neu Siedlungs­abfallentsorgung. Maßgeblich sind die Schwellen­werte der BSI-KritisV (anlagen­bezogen) — z. B. 500.000 versorgte Personen für Wasser, 30.000 voll­stationäre Fälle für Krankenhäuser, 3.700 GWh/a für Stromerzeuger. BMI-Schätzung im Gesetzes­entwurf: rund 4.500 Anlagen, betrieben von etwa 2.300 Unternehmen — plus zusätzlich rund 25.000 weitere Unternehmen über NIS-2-Überlapp.

  • Was verlangt § 7 KRITIS-Dachgesetz?

    § 7 KRITIS-DG verlangt Maßnahmen, die nach dem Stand der Technik geeignet, geprüft und am Markt verfügbar sind, um Sicherheits­vorfälle zu vermeiden, die Auswirkung von Vorfällen zu begrenzen und die Wieder­herstellung der Funktions­fähigkeit zu gewährleisten. Anders als § 8a BSIG (nur IT) umfasst § 7 KRITIS-DG erstmals auch die physische Resilienz: Perimeter, Zutritts­kontrollen, Brand- und Sabotage­schutz, Strom- und Wasser­ausfall­vorsorge. Die Konkretisierung erfolgt durch BSI-Orientierungs­hilfen, branchen­spezifische B3S-Standards und ISO-Normen.

  • Welche Bußgelder drohen unter dem Dachgesetz?

    Nach KRITIS-DG § 11 Bußgelder bis 2 Mio. € pro Verstoß. Bei gleichzeitiger NIS-2-Anwendung greift Art. 34 NIS-2 mit Bußgeldern bis 10 Mio. € oder 2 % des weltweiten Konzern­umsatzes — je nachdem, was höher ist. Persönliche Haftung der Geschäfts­leitung nach KRITIS-DG § 11 Abs. 4, einschlie­ßlich möglicher Berufs­untersagung. Strafrechtlich relevant wird der Verstoß bei daraus resultierenden Vorfällen mit Personen­schaden oder erheblichem Versorgungs­ausfall (§ 109e StGB Sabotage­schutz lebenswichtiger Einrichtungen).

  • Wann tritt das KRITIS-Dachgesetz in Kraft?

    Das KRITIS-Dachgesetz tritt 2026 in Kraft. Der Bundestag verabschiedete den Regierungs­entwurf 2024 (Bundestags-Drucksache 20/12805); die EU-CER-Richtlinie verlangt bis 17. Oktober 2024 die Umsetzung in nationales Recht — Deutschland überschritt diese Frist und steht im Vertrags­verletzungs­verfahren. Das Inkrafttreten 2026 schließt eine 24-Monats-Übergangs­frist für die Erst­registrierung der Betreiber an. Die zweijährliche Resilienz­prüfung beginnt 24 Monate nach Erst­registrierung.

  • Wie unterscheidet sich das Dachgesetz vom BSI-Gesetz?

    Das BSIG regelt die IT-Sicherheit kritischer Infrastrukturen (§ 8a/8b BSIG). Das KRITIS-DG ergänzt erstmals die physische Resilienz und harmonisiert sie sektor­übergreifend. Drei Konsequenzen: (1) Aufsichts­behörde wird neben dem BSI auch das BBK; (2) physische Schutz­maßnahmen — Perimeter, Zutritt, Sabotage­schutz — werden staatlich geprüft und nicht mehr sektor­intern verantwortet; (3) Sanktions­rahmen, Audit­zyklen und Krisen­pflichten werden bundesweit einheitlich. BSIG bleibt für IT-Spezifika gültig; das Dachgesetz steht als Rahmen darüber.

  • Wie hängt das Dachgesetz mit NIS-2 zusammen?

    NIS-2 (EU-Richtlinie 2022/2555) und CER (EU-Richtlinie 2022/2557) sind zwei parallele EU-Rechts­akte: NIS-2 regelt Cyber­sicherheit, CER physische Resilienz. Deutschland setzt NIS-2 mit dem NIS-2-Umsetzungs­gesetz (NIS2UmsuCG) und CER mit dem KRITIS-Dachgesetz um. Etwa 80 % der Pflichten überlappen — Risiko­management, Stand der Technik, Melde­pflicht. Wer beide Regime trifft (was häufig ist), lebt unter dem strengeren Standard. Die Bußgeld­obergrenze richtet sich nach NIS-2 Art. 34 (10 Mio. € bzw. 2 % Konzern­umsatz).

  • Was bedeutet das Dachgesetz für die Geschäftsleitung?

    Drei direkte Konsequenzen für Vorstände und Geschäfts­führer: (a) Persönliche Haftung nach KRITIS-DG § 11 Abs. 4 — Pflicht­verletzungen werden mit Bußgeld bis 2 Mio. € persönlich geahndet, kombiniert mit potenzieller Berufs­untersagung; (b) Schulungs­pflicht nach NIS-2 Art. 20 — die Geschäfts­leitung muss nachweislich in Risiko­management der Cyber­sicherheit geschult sein; (c) Verantwortung für Stand der Technik — der Vorstand kann Compliance delegieren, aber nicht die Letzt­verantwortung. Das ändert das Versicherungs­bild: D&O-Policen schließen NIS-2/KRITIS-Bußgelder zunehmend aus.

Call now+49 711 656 267 63Free quote · 24 hCalculate price →