Deutschland März 2026: KRITIS-Dachgesetz in Kraft – CER verpflichtet 1.300 Betreiber zu Zuverlässigkeitsüberprüfungen. Validato Regulations CER digita

In Deutschland trat das korrespondierende KRITIS-Dachgesetz am 16. März 2026 in Kraft. Es definiert klare Pflichten – darunter, oft unterschätzt, die systematische Überprüfung von Personal und externen Dienstleistern. Validato unterstützt mit dem Modul „Validato Regulations CER“ betroffene Organisationen beim strukturierten, DSGVO-konformen und revisionssicheren Human Risk Management.

Deutschland 2026: KRITIS-Dachgesetz – Inkrafttreten und Pflichtenprogramm

Das KRITIS-Dachgesetz (BGBl. 2026 I Nr. 66 vom 16. März 2026) schafft erstmals einen bundeseinheitlichen Rechtsrahmen für die sektorenübergreifende physische Sicherheit kritischer Infrastrukturen und ergänzt die seit Dezember 2025 geltenden NIS2-Cybersicherheitspflichten um physischen Resilienzschutz nach dem „All-Gefahren-Ansatz“.

• Registrierung beim BBK: Bis spätestens 17. Juli 2026 müssen sich alle Betreiber kritischer Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) digital registrieren.
• Risikoanalyse (§ 12 KRITISDachG): Spätestens neun Monate nach Registrierung; All-Gefahren-Ansatz (Naturgefahren, Terrorismus, Sabotage, Lieferkettenunterbrechungen); Wiederholung mindestens alle vier Jahre.
• Resilienzplan (§ 13 KRITISDachG): Spätestens zehn Monate nach Registrierung; muss technische, bauliche und organisatorische Massnahmen umfassen – ausdrücklich inkl. Personalsicherheitskonzepte und Zuverlässigkeitsüberprüfungen.
• Meldepflichten: Erstmeldung innerhalb von 24 Stunden; vollständiger Bericht innerhalb von 30 Tagen an das BBK.
• Bussgelder: Bis zu 500.000 Euro bei KRITIS-DachG-Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei gleichzeitigen NIS2-Verstössen. Persönliche Geschäftsleiterhaftung nach § 43 GmbHG / § 93 AktG.

“Das KRITIS-Dachgesetz ist am 17. März 2026 in Kraft getreten. Es gilt. Jetzt. Risikoanalyse, Resilienzplan, Meldepflichten – und eine Pflicht zur Überprüfung von Personal in sicherheitsrelevanten Positionen.”
– pleXtec, März 2026

Die unterschätzte Kernpflicht: Personalsicherheit als Teil des Resilienzplans

Gemäss § 13 KRITISDachG und Artikel 12/13 der CER-Richtlinie muss der Resilienzplan folgende personalrelevante Massnahmen enthalten:

• Zuverlässigkeitsüberprüfungen: Mitarbeitende und externe Dienstleister in sicherheitsrelevanten Positionen können einer Sicherheitsüberprüfung unterzogen werden – ausdrücklich im KRITIS-Dachgesetz verankert.
• Externe Partner und Servicetechniker: Lieferanten und Servicetechniker mit physischem oder digitalem Zugang zu kritischen Anlagen unterliegen denselben Integritäts- und Zuverlässigkeitsanforderungen wie interne Mitarbeitende.
• Zugangskontrollen: Wer wann welche kritische Anlage betreten darf – Zugangsberechtigung, Identitätsnachweise und Aktualisierung der Zugangsrechte müssen dokumentiert sein.
• Awareness und Schulungen: Regelmässige Schulungen zu Sicherheitsbedrohungen, Sabotagepravention und Verhaltensregeln; Schulungsprogramm muss dokumentiert und Wirksamkeit nachgewiesen sein.

Die EU CER-Richtlinie: Elf Sektoren, 27 Mitgliedstaaten, eine Resilienzpflicht

Die CER-Richtlinie trat am 16. Januar 2023 in Kraft und erfasst Betreiber kritischer Einrichtungen in elf wesentlichen Sektoren:

• Energie: Elektrizität, Erdgas, Fernwärme, Erdöl, Wasserstoffversorgung
• Transport und Verkehr: Luftverkehr, Eisenbahn, See- und Binnenschifffahrt, Strassenverkehr
• Bankwesen und Finanzmarktinfrastruktur
• Gesundheitswesen: Krankenhäuser, Labore, Pharmaunternehmen, Medizingeräte
• Trinkwasser und Abwasser
• Digitale Infrastruktur: Internet Exchange Points, DNS, TLD-Registrierungen, Cloud-Anbieter
• Öffentliche Verwaltung (nationale und regionale Behörden)
• Weltraum (Bodeninfrastrukturen für raum-gestützte Dienste)
• Ernährung (Produktion, Verarbeitung und Vertrieb von Lebensmitteln)

Österreich: RKEG seit Oktober 2025

Österreich hat die CER-Richtlinie durch das Gesetz „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG) umgesetzt, das am 16. Oktober 2025 verkündet wurde. Zuständige Behörde ist das Bundesministerium für Inneres (BMI). Validato unterstützt österreichische KRITIS-Betreiber mit denselben Überprüfungsprozessen, abgestimmt auf das österreichische Datenschutzrecht (DSG 2018 und DSGVO).

CER und NIS2: Das komplementäre Resilienz-Duo für Deutschland und die EU

• NIS2 (Cybersicherheit) + CER (physische Resilienz) = Vollständige Resilienz: Wer nur eines umsetzt, hat systemische Lücken.
• DORA (seit Januar 2025): CER-Anforderungen zur physischen Resilienz und Personalsicherheit gelten ergänzend für Finanzinfrastrukturen.
• EU AI Act: KI-Systeme in kritischen Infrastrukturen sind Hochrisiko-KI (Anhang III, Nr. 2). CER-Betreiber mit KI-gestützten Steuerungs- oder Zugangskontrollsystemen müssen beide Regelwerke erfüllen.
• ISO 22301 (BCM): Der Resilienzplan nach KRITIS-DachG ist kompatibel mit ISO 22301 – solide Ausgangsbasis für Betreiber mit bestehendem BCM.
• ISO 27001: Das ISMS nach ISO 27001 deckt wesentliche Teile der CER-Anforderungen ab. Integriertes Managementsystem spart erhebliche Dopplungsaufwände.

Validato Regulations CER: Das digitale Human Risk Management Framework für KRITIS-Betreiber

• Pre-Employment-Screening: Rechtskonforme Überprüfung von Kandidaten in sicherheitsrelevanten Positionen – Identität, Strafregister, Insolvenz- und Betreibungsregister, Beschäftigungshistorie, Qualifikationen.
• In-Employment-Monitoring: Laufendes Screening gegen SECO/OFAC/EU-Sanktionslisten, PEP-Datenbanken und Adverse Media; automatische Alerts bei neuen Treffern.
• Externe Dienstleister-Überprüfung: Servicetechniker, IT-Dienstleister und Partner mit Zugang zu kritischen Anlagen; weltweite Abdeckung in über 200 Ländern.
• Zuverlässigkeitsüberprüfungen nach CER/KRITIS: Strukturiertes Framework mit Differenzierung nach Sicherheitsstufen; DSGVO-konformer Einwilligungsprozess mit digitaler E-Signatur.
• Zugangskontrolle und Dokumentation: Verwaltung von Zugangsberechtigung und Überprüfungsstatus; automatische Eskalation bei auslaufenden Überprüfungen.
• DSGVO-konformer Überprüfungsworkflow: Rechtsgrundlagen nach DSGVO Art. 6, Art. 9 und sektorspezifischen Öffnungsklauseln; Compliance mit BDSG (Deutschland) und DSG 2018 (Österreich).
• Globale Überprüfungsabdeckung: Besonders relevant für KRITIS-Betreiber mit internationalen Lieferketten, multinationalen Serviceverträgen oder global operierenden Infrastrukturen.
• Revisionssicherer Audit-Trail: Zeitgestempelt, bereit für Audits durch BBK, BSI und sektorspezifische Aufsichtsbehörden (Bundesnetzagentur, BaFin, BfArM usw.).

Zahlen, Daten, Fakten: CER-Richtlinie und KRITIS-Dachgesetz in Deutschland

• Januar 2023: CER-Richtlinie (EU 2022/2557) tritt in Kraft.
• Oktober 2024: Ursprüngliche EU-Umsetzungsfrist – von Deutschland und mehreren Mitgliedstaaten verpasst.
• Januar 2026: Bundestag beschliesst das KRITIS-Dachgesetz.
• März 2026: Bundesrat stimmt dem KRITIS-Dachgesetz zu.
• März 2026: KRITIS-Dachgesetz tritt in Kraft (BGBl. 2026 I Nr. 66).
• Juli 2026: Registrierungsfrist für Betreiber kritischer Anlagen beim BBK.
• 1.300 betroffene Betreiber kritischer Anlagen in Deutschland (Schätzung Gesetzgebründung).
• 1,7 Mrd. Euro einmaliger Belastungsrichtwert; 500 Mio. Euro jährlicher Belastungsrichtwert (Gesetzgebründung, November 2024).
• 11 Sektoren durch die CER-Richtlinie erfasst – von Energie und Transport bis Weltraum und Ernährung.
• Bis zu 500.000 Euro Bussgelder bei rein physischen Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes bei gleichzeitigen NIS2-Verstössen.

“Physische Resilienz wird Pflicht – Das KRITIS-Dachgesetz definiert ein klares zeitliches Pflichtenprogramm. Risikoanalyse, Resilienzplan, Meldewesen – und ausdrücklich: Personalsicherheitskonzepte für Mitarbeitende und Dienstleister in sicherheitsrelevanten Positionen.”
– Kapellmann Rechtsanwälte, Januar 2026