KRITIS-Dachgesetz
Basics
| Offizieller Titel: | Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen |
| Initiator: | Bundesministerium des Inneren |
| Status: | In der Ausschussberatung |
| Letzte Änderung: | 21.11.2025 |
| Entwurf PDF: | Download Entwurf |
| Drucksache: | 21/2510 (PDF-Download) |
| Gesetztyp: | Einspruchsgesetz |
| Status Bundesrat: | Beraten |
| Verknüpfungen: | Der Entwurf basiert auf einem Vorhaben aus der vorherigen Legislaturperiode: Entwurf 20. Legislaturperiode |
| Exekutiver Fußabdruck: | ✅ Vorhanden. |
| Verbändebeteiligung: | ✅ Stellungnahmen veröffentlicht.‼️ Beteiligungsfrist unter 1 Woche. (KI-gestützte Schätzung auf Basis der Stellungnahmen) |
Zusammenfassung
Diese Zusammenfassung wurde mit GPT4 erstellt und kann Fehler enthalten.
Basisinformationen:
Das wesentliche Ziel des Gesetzentwurfs ist die Umsetzung der EU-Richtlinie (EU) 2022/2557 („CER-Richtlinie“) in nationales Recht und die Stärkung der physischen Resilienz kritischer Anlagen in Deutschland. Das Gesetz (KRITIS-Dachgesetz, KRITISDachG) schafft erstmals bundeseinheitliche, sektorenübergreifende Mindestanforderungen für den physischen Schutz kritischer Anlagen, ergänzt die bereits bestehenden Regelungen zur IT-Sicherheit und sorgt für Kohärenz zwischen beiden Bereichen. Es verpflichtet Betreiber kritischer Anlagen zu Risikoanalysen, Resilienzplänen, Meldepflichten und zur Umsetzung geeigneter Schutzmaßnahmen. Federführend zuständig ist das Bundesministerium des Innern.
Hintergrund:
Der Gesetzentwurf erläutert ausführlich die Vorgeschichte: Die bisherige EU-Richtlinie 2008/114/EG war auf wenige Sektoren beschränkt und wurde durch die CER-Richtlinie abgelöst, die einen umfassenderen, sektorenübergreifenden Ansatz verfolgt. Die zunehmende Vernetzung der Wirtschaft und neue Bedrohungslagen (z.B. Klimawandel, geopolitische Krisen) machen einen einheitlichen Rahmen für Resilienzmaßnahmen notwendig. Die Umsetzung der CER-Richtlinie ist bis 17. Oktober 2024 vorgeschrieben; ein Vertragsverletzungsverfahren gegen Deutschland wurde bereits eingeleitet, da die Umsetzung noch aussteht. Das Gesetz steht zudem im Kontext der UN-Agenda 2030, insbesondere Ziel 9 (widerstandsfähige Infrastruktur).
Kosten:
Für den Bundeshaushalt entstehen jährliche und einmalige Mehraufwände, die noch nicht beziffert werden können, da branchenspezifische Resilienzstandards und Mindestanforderungen erst konkretisiert werden müssen. Auch für Länder, Gemeinden und Sozialversicherungsträger werden zusätzliche Ausgaben erwartet, aber auch hier keine konkreten Zahlen. Für die Wirtschaft entsteht Erfüllungsaufwand, dessen Höhe derzeit ebenfalls nicht abschätzbar ist, da die Details der Verpflichtungen noch nicht feststehen. Für Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand. Einnahmen werden nicht erwartet. Auswirkungen auf Preise oder das Verbraucherpreisniveau sind nicht zu erwarten.
Inkrafttreten:
Das Gesetz sieht ein stufenweises Inkrafttreten bis spätestens 2029 vor, wobei einzelne Vorgaben sukzessive in Kraft treten. Ein genaues Datum ist dem Text nicht zu entnehmen; falls keine weiteren Angaben gemacht werden, gilt der Tag nach der Verkündung.
Sonstiges:
Der Gesetzentwurf ist als besonders eilbedürftig eingestuft, da die EU-Umsetzungsfrist überschritten ist und bereits ein Vertragsverletzungsverfahren läuft. Das Gesetz enthält eine Evaluierungsklausel (maximal fünf Jahre nach Inkrafttreten der jeweiligen Regelungen). Es ist unbefristet. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erhält eine koordinierende Rolle. Das Gesetz trägt zur Umsetzung mehrerer Nachhaltigkeitsziele der UN-Agenda 2030 bei. Auswirkungen auf Gleichstellung, Siedlungsstruktur oder Demografie sind nicht zu erwarten. Alternativen zum Gesetzentwurf werden nicht gesehen.
Maßnahmen:
Hier sind die wichtigsten Maßnahmen des Gesetzentwurfs stichpunktartig zusammengefasst:
- Die Bundesregierung muss bis Januar 2026 eine nationale Strategie zur Stärkung der Resilienz kritischer Anlagen erarbeiten, gemeinsam mit Ländern und Zivilgesellschaft, die auch bisher nicht erfasste Sektoren wie Medien und Kultur berücksichtigt.
- Definition und Identifizierung von Betreibern kritischer Anlagen anhand von Sektoren, kritischen Dienstleistungen und Schwellenwerten (z.B. Versorgung von mindestens 500.000 Einwohnern).
- Sektoren im Anwendungsbereich sind u.a. Energie, Transport, Gesundheitswesen, Wasser, Ernährung, IT/Telekommunikation, Weltraum, Siedlungsabfallentsorgung, Sozialversicherung/Grundsicherung.
- Betreiber kritischer Anlagen müssen sich zentral registrieren und regelmäßig Angaben aktualisieren.
- Verpflichtung der Betreiber zur Durchführung von Risikoanalysen und Risikobewertungen mindestens alle vier Jahre sowie bei Bedarf, orientiert an nationalen Risikoanalysen.
- Betreiber kritischer Anlagen müssen geeignete und verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Resilienz treffen und diese in einem Resilienzplan dokumentieren.
- Vorgaben für branchenspezifische und sektorenübergreifende Mindestanforderungen sowie die Möglichkeit, branchenspezifische Resilienzstandards zu entwickeln und anerkennen zu lassen.
- Nachweispflichten gegenüber den zuständigen Behörden, einschließlich Vorlage von Resilienzplänen, Durchführung von Audits und Vor-Ort-Kontrollen.
- Meldepflicht für erhebliche physische Vorfälle, die die Erbringung kritischer Dienstleistungen stören oder stören könnten, innerhalb von 24 Stunden an eine zentrale Meldestelle.
- Sanktionsmöglichkeiten bei Verstößen, Bußgelder bis zu 500.000 Euro.
- Besondere Regelungen für Betreiber, die in mindestens sechs EU-Mitgliedstaaten tätig sind („kritische Einrichtungen von besonderer Bedeutung für Europa“), einschließlich spezieller Unterstützung und Monitoring durch die EU-Kommission.
- Ausnahmen für Einrichtungen der Bundesverwaltung (z.B. Bundesministerien, Bundeskanzleramt, Beauftragter für Kultur und Medien); perspektivische Einbeziehung weiterer Bundesbehörden möglich.
- Möglichkeit für Ausnahmegenehmigungen aus Gründen der nationalen Sicherheit, sofern gleichwertige Resilienzmaßnahmen umgesetzt werden.
- Unterstützung und Beratung der Betreiber durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Bereitstellung von Vorlagen, Leitfäden und Schulungen.
- Regelmäßige Berichts- und Evaluationspflichten gegenüber EU-Kommission, Bundestag und Bundesregierung.
- Digitalisierung der Prozesse für Registrierung, Meldung und Nachweisführung, um Bürokratie zu reduzieren.
- Evaluierung des Gesetzes nach spätestens sieben Jahren hinsichtlich Zielerreichung, Kosten und Nutzen.
- Anpassung des Energiewirtschaftsgesetzes: Nachweis- und Kontrollverfahren für Resilienzpflichten im Bereich Strom, Gas und Wasserstoff werden an das neue Gesetz angepasst, Doppelregulierung wird vermieden.
Diese Maßnahmen zielen darauf ab, die physische Resilienz kritischer Anlagen in Deutschland systematisch und sektorübergreifend zu stärken und die EU-Richtlinie 2022/2557 (CER-Richtlinie) umzusetzen.
Informationen aus dem Ministerium
| Datum erster Entwurf: | 27.08.2025 |
| Datum Kabinettsbeschluss: | 10.09.2025 |
| Weiterführende Informationen: | Vorhabenseite des Ministeriums |
„Mit dem Gesetzesvorhaben soll die Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (sog. CER-Richtlinie) in nationales Recht umgesetzt werden. Durch bundeseinheitliche Regelungen für den physischen Schutz kritischer Infrastrukturen sollen die Resilienz der Wirtschaft und dadurch auch die Versorgungssicherheit der Bevölkerung gestärkt werden.
Folgende Regelungen sind vorgesehen:
- Vorgaben zur Identifizierung von Betreibern kritischer Anlagen und kritischen Einrichtungen
- Vorgaben zur Registrierung von Betreibern kritischer Anlagen
- Etablierung von nationalen Risikoanalysen und Risikobewertungen für kritische Dienstleistungen
- Gesetzliche Verankerung wesentlicher nationaler Anforderungen für Resilienzmaßnahmen von Betreibern kritischer Anlagen
- Einführung eines Meldewesens für Vorfälle
Ein Gesetzentwurf wurde bereits am 6. November 2024 vom Kabinett verabschiedet. Aufgrund der verkürzten 20. Legislaturperiode ist dieser Entwurf der Diskontinuität anheimgefallen.“
Exekutiver Fußabdruck
Exekutiver Fußabdruck laut Bundesministerium des Inneren:
„Der Inhalt des Gesetzentwurfs hat sich durch Vorträge von Interessenvertreterinnen und Interessenvertretern sowie von der Bundesregierung beauftragten Dritten nicht wesentlich geändert.“
Stellungnahmen zum Referentenentwurf
Die Stellungnahmen beziehen sich auf den Referentenentwurf, der im Vergleich zur Kabinettsfassung und zur Bundestagsdrucksache abweichen kann.
Die Zusammenfassungen und das Meinungsbild wurden mit GPT4 auf Basis der verlinkten Dokumente erstellt und können Fehler enthalten.
Beteiligungsphase
Mehrere Verbände, darunter der Bundesverband der Energie- und Wasserwirtschaft (BDEW), der Verband kommunaler Unternehmen (VKU), die Gesellschaft für Informatik (GI) und ITAD, machen explizite Angaben zur Dauer der Beteiligungsphase. Nach deren Angaben wurde der Referentenentwurf des KRITIS-Dachgesetzes am 29.08.2025 vom Bundesministerium des Innern (BMI) an die Verbände versandt, mit einer Rückmeldefrist bis zum 04.09.2025. Dies entspricht einer Beteiligungsdauer von lediglich vier Arbeitstagen. Die GI, ITAD, VKU und BDEW kritisieren diese Frist als deutlich zu kurz und als nicht ausreichend für eine fundierte Stellungnahme. Andere Verbände machen keine Angaben zum Zeitraum der Beteiligungsphase.
Allgemeine Bewertung
Das Meinungsbild der Verbände zum KRITIS-Dachgesetz ist grundsätzlich von einer breiten Zustimmung zu Ziel und Notwendigkeit der Stärkung der Resilienz kritischer Infrastrukturen geprägt. Die Umsetzung der EU-Richtlinie 2022/2557 und die Einführung sektorübergreifender Standards werden überwiegend begrüßt. Allerdings herrscht in nahezu allen Stellungnahmen erheblicher Nachbesserungsbedarf, insbesondere hinsichtlich der Ausgestaltung, der praktischen Umsetzbarkeit, der Harmonisierung mit bestehenden Gesetzen (insbesondere NIS2), der Finanzierung der neuen Anforderungen und der Klarheit der Begriffsbestimmungen. Die sehr kurze Beteiligungsfrist wird von mehreren Verbänden scharf kritisiert und als unzureichend für eine differenzierte Auseinandersetzung bewertet.
Meinungen im Detail
Beteiligungsfrist und Beteiligungsprozess: Die kurze Frist von vier Arbeitstagen wird von BDEW, VKU, GI und ITAD als unzureichend und hinderlich für eine fundierte Beteiligung kritisiert. Die GI betont, dass eine differenzierte Auseinandersetzung mit dem Entwurf so kaum möglich sei. Bitkom fordert eine bessere Einbindung der Wirtschaftsverbände und transparente Prozesse.
Begriffsbestimmungen und Anwendungsbereich: Viele Verbände (BDEW, VCI, GI, ITAD, Bundesfachkommission Cybersicherheit, Bitkom) kritisieren unklare oder doppelte Begriffsbestimmungen, insbesondere zur Definition „kritischer Anlagen“ und zentraler Begriffe wie Resilienz, Krise und Katastrophe. Der VCI fordert klare und eindeutige Regelungen zum Anwendungsbereich, ITAD und VKU bemängeln die fehlende Konsistenz und die Gefahr von Parallelregelungen. ZVEI fordert eine Senkung der Schwellenwerte, um auch kleinere Anlagen zu erfassen.
Harmonisierung und Doppelregulierung: Die mangelnde Harmonisierung mit bestehenden Gesetzen, insbesondere dem NIS2-Umsetzungsgesetz, wird von VKU, Bitkom, Bundesfachkommission Cybersicherheit, GI und BDEW als zentrales Problem benannt. Es wird die Gefahr von Doppelregulierung, Normenkollisionen und erhöhter Komplexität für Unternehmen gesehen. Die DIHK warnt vor einem Flickenteppich durch unterschiedliche Regelungen auf Bundes- und Landesebene.
Finanzierung und Umsetzungsaufwand: Die fehlende oder unklare Finanzierung der neuen Anforderungen wird von BDEW, DKG, VKU und Bundesfachkommission Cybersicherheit kritisiert. Die DKG hebt die erheblichen Mehrkosten für Krankenhäuser hervor und fordert eine Refinanzierung der Aufwände. Der VCI und die Bundesfachkommission Cybersicherheit bemängeln eine zu vage Folgenabschätzung der Umsetzungskosten. BDEW und VKU fordern die Anerkennung von Investitionen in Sicherheit als betriebsnotwendige Aufwendungen.
Bürokratie und Vollzug: Viele Verbände (VCI, DIHK, Bitkom, Bundesfachkommission Cybersicherheit, VKU) warnen vor zusätzlicher Bürokratie, Doppelprüfungen und zu komplexen Melde- und Berichtspflichten. Die DIHK fordert praktikable und bundesweit einheitliche Vorgaben sowie längere Umsetzungsfristen. Bitkom und GI fordern transparente und digitale Verwaltungsprozesse.
Zuständigkeiten und Meldewesen: Die unklare Zuständigkeitsverteilung zwischen Bundes- und Landesbehörden wird von DIHK, DKG, GI und VKU kritisiert. Die GI fordert eine stärkere Rolle des BSI als zentrale Meldestelle und eine Vereinheitlichung der Meldepflichten. Die DKG betont die Wahrung föderaler Kompetenzen und die Notwendigkeit klarer Zuständigkeiten bei der Krankenhausplanung.
Branchenspezifische Aspekte:
- Der VCI fordert die Berücksichtigung bestehender Prozesse und Standards der chemisch-pharmazeutischen Industrie und warnt vor zusätzlicher Bürokratie.
- Die DKG hebt die besonderen Herausforderungen für das Gesundheitswesen hervor, insbesondere die Finanzierung und die föderalen Zuständigkeiten.
- ITAD und VKU lehnen die Einbeziehung der Siedlungsabfallentsorgung in das Gesetz ab und sehen darin unnötige Bürokratie und einen Wettbewerbsnachteil.
- Der GKV-Spitzenverband fordert die Einbeziehung von IT-Dienstleistern und die Ergänzung bestehender Standards um physische Aspekte.
- ZVEI fordert niedrigere Schwellenwerte und die Anwendung anerkannter technischer Standards.
Verbindlichkeit und Sanktionen: Die AG KRITIS kritisiert die fehlende Verbindlichkeit der Regelungen, zu lange Übergangsfristen und zu niedrige Bußgelder. Sie fordert eine klare Haftung der Geschäftsleitungen und eine umfassendere Einbeziehung staatlicher Stellen. Die Bundesfachkommission Cybersicherheit fordert verhältnismäßige Sanktionen und einen kooperativen Vollzugsansatz.
Transparenz und Rechtssicherheit: Mehrere Verbände (Bitkom, DIHK, AG KRITIS) fordern, dass zentrale Regelungen direkt im Gesetz und nicht in späteren Rechtsverordnungen verankert werden, um Rechtssicherheit und Planungssicherheit für Unternehmen zu gewährleisten. Die AG KRITIS kritisiert die fehlende Transparenz bei der Einstufung kritischer Dienstleistungen.
Zusammenfassung der Kritikgruppen: Die Kritikpunkte werden vor allem von Wirtschaftsverbänden (BDEW, VKU, DIHK, Bitkom, ZVEI, VCI, ITAD), Branchenverbänden (DKG, GKV-Spitzenverband), Fachgesellschaften (GI) und der AG KRITIS sowie parteinahen Fachkommissionen (Bundesfachkommission Cybersicherheit) vorgetragen. Arbeitgeberverbände und Branchenvertretungen betonen insbesondere die Themen Bürokratie, Finanzierung, Rechtssicherheit und Harmonisierung. NGOs wie die AG KRITIS fordern mehr Verbindlichkeit, Transparenz und Einbeziehung staatlicher Stellen. Gewerkschaften oder Umweltverbände sind in den vorliegenden Stellungnahmen nicht vertreten.
Mehrere Verbände, darunter der Bundesverband der Energie- und Wasserwirtschaft (BDEW), der Verband kommunaler Unternehmen (VKU), die Gesellschaft für Informatik (GI) und ITAD, machen explizite Angaben zur Dauer der Beteiligungsphase. Nach deren Angaben wurde der Referentenentwurf des KRITIS-Dachgesetzes am 29.08.2025 vom Bundesministerium des Innern (BMI) an die Verbände versandt, mit einer Rückmeldefrist bis zum 04.09.2025. Dies entspricht einer Beteiligungsdauer von lediglich vier Arbeitstagen. Die GI, ITAD, VKU und BDEW kritisieren diese Frist als deutlich zu kurz und als nicht ausreichend für eine fundierte Stellungnahme. Andere Verbände machen keine Angaben zum Zeitraum der Beteiligungsphase.
Allgemeine Bewertung
Das Meinungsbild der Verbände zum KRITIS-Dachgesetz ist grundsätzlich von einer breiten Zustimmung zu Ziel und Notwendigkeit der Stärkung der Resilienz kritischer Infrastrukturen geprägt. Die Umsetzung der EU-Richtlinie 2022/2557 und die Einführung sektorübergreifender Standards werden überwiegend begrüßt. Allerdings herrscht in nahezu allen Stellungnahmen erheblicher Nachbesserungsbedarf, insbesondere hinsichtlich der Ausgestaltung, der praktischen Umsetzbarkeit, der Harmonisierung mit bestehenden Gesetzen (insbesondere NIS2), der Finanzierung der neuen Anforderungen und der Klarheit der Begriffsbestimmungen. Die sehr kurze Beteiligungsfrist wird von mehreren Verbänden scharf kritisiert und als unzureichend für eine differenzierte Auseinandersetzung bewertet.
Meinungen im Detail
Beteiligungsfrist und Beteiligungsprozess: Die kurze Frist von vier Arbeitstagen wird von BDEW, VKU, GI und ITAD als unzureichend und hinderlich für eine fundierte Beteiligung kritisiert. Die GI betont, dass eine differenzierte Auseinandersetzung mit dem Entwurf so kaum möglich sei. Bitkom fordert eine bessere Einbindung der Wirtschaftsverbände und transparente Prozesse.
Begriffsbestimmungen und Anwendungsbereich: Viele Verbände (BDEW, VCI, GI, ITAD, Bundesfachkommission Cybersicherheit, Bitkom) kritisieren unklare oder doppelte Begriffsbestimmungen, insbesondere zur Definition „kritischer Anlagen“ und zentraler Begriffe wie Resilienz, Krise und Katastrophe. Der VCI fordert klare und eindeutige Regelungen zum Anwendungsbereich, ITAD und VKU bemängeln die fehlende Konsistenz und die Gefahr von Parallelregelungen. ZVEI fordert eine Senkung der Schwellenwerte, um auch kleinere Anlagen zu erfassen.
Harmonisierung und Doppelregulierung: Die mangelnde Harmonisierung mit bestehenden Gesetzen, insbesondere dem NIS2-Umsetzungsgesetz, wird von VKU, Bitkom, Bundesfachkommission Cybersicherheit, GI und BDEW als zentrales Problem benannt. Es wird die Gefahr von Doppelregulierung, Normenkollisionen und erhöhter Komplexität für Unternehmen gesehen. Die DIHK warnt vor einem Flickenteppich durch unterschiedliche Regelungen auf Bundes- und Landesebene.
Finanzierung und Umsetzungsaufwand: Die fehlende oder unklare Finanzierung der neuen Anforderungen wird von BDEW, DKG, VKU und Bundesfachkommission Cybersicherheit kritisiert. Die DKG hebt die erheblichen Mehrkosten für Krankenhäuser hervor und fordert eine Refinanzierung der Aufwände. Der VCI und die Bundesfachkommission Cybersicherheit bemängeln eine zu vage Folgenabschätzung der Umsetzungskosten. BDEW und VKU fordern die Anerkennung von Investitionen in Sicherheit als betriebsnotwendige Aufwendungen.
Bürokratie und Vollzug: Viele Verbände (VCI, DIHK, Bitkom, Bundesfachkommission Cybersicherheit, VKU) warnen vor zusätzlicher Bürokratie, Doppelprüfungen und zu komplexen Melde- und Berichtspflichten. Die DIHK fordert praktikable und bundesweit einheitliche Vorgaben sowie längere Umsetzungsfristen. Bitkom und GI fordern transparente und digitale Verwaltungsprozesse.
Zuständigkeiten und Meldewesen: Die unklare Zuständigkeitsverteilung zwischen Bundes- und Landesbehörden wird von DIHK, DKG, GI und VKU kritisiert. Die GI fordert eine stärkere Rolle des BSI als zentrale Meldestelle und eine Vereinheitlichung der Meldepflichten. Die DKG betont die Wahrung föderaler Kompetenzen und die Notwendigkeit klarer Zuständigkeiten bei der Krankenhausplanung.
Branchenspezifische Aspekte:
- Der VCI fordert die Berücksichtigung bestehender Prozesse und Standards der chemisch-pharmazeutischen Industrie und warnt vor zusätzlicher Bürokratie.
- Die DKG hebt die besonderen Herausforderungen für das Gesundheitswesen hervor, insbesondere die Finanzierung und die föderalen Zuständigkeiten.
- ITAD und VKU lehnen die Einbeziehung der Siedlungsabfallentsorgung in das Gesetz ab und sehen darin unnötige Bürokratie und einen Wettbewerbsnachteil.
- Der GKV-Spitzenverband fordert die Einbeziehung von IT-Dienstleistern und die Ergänzung bestehender Standards um physische Aspekte.
- ZVEI fordert niedrigere Schwellenwerte und die Anwendung anerkannter technischer Standards.
Verbindlichkeit und Sanktionen: Die AG KRITIS kritisiert die fehlende Verbindlichkeit der Regelungen, zu lange Übergangsfristen und zu niedrige Bußgelder. Sie fordert eine klare Haftung der Geschäftsleitungen und eine umfassendere Einbeziehung staatlicher Stellen. Die Bundesfachkommission Cybersicherheit fordert verhältnismäßige Sanktionen und einen kooperativen Vollzugsansatz.
Transparenz und Rechtssicherheit: Mehrere Verbände (Bitkom, DIHK, AG KRITIS) fordern, dass zentrale Regelungen direkt im Gesetz und nicht in späteren Rechtsverordnungen verankert werden, um Rechtssicherheit und Planungssicherheit für Unternehmen zu gewährleisten. Die AG KRITIS kritisiert die fehlende Transparenz bei der Einstufung kritischer Dienstleistungen.
Zusammenfassung der Kritikgruppen: Die Kritikpunkte werden vor allem von Wirtschaftsverbänden (BDEW, VKU, DIHK, Bitkom, ZVEI, VCI, ITAD), Branchenverbänden (DKG, GKV-Spitzenverband), Fachgesellschaften (GI) und der AG KRITIS sowie parteinahen Fachkommissionen (Bundesfachkommission Cybersicherheit) vorgetragen. Arbeitgeberverbände und Branchenvertretungen betonen insbesondere die Themen Bürokratie, Finanzierung, Rechtssicherheit und Harmonisierung. NGOs wie die AG KRITIS fordern mehr Verbindlichkeit, Transparenz und Einbeziehung staatlicher Stellen. Gewerkschaften oder Umweltverbände sind in den vorliegenden Stellungnahmen nicht vertreten.
👎 Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS)
„Der vorliegende Entwurf bleibt dagegen ein zahnloser Tiger. Ohne eine deutliche Anhebung der Bußgeldrahmen verliert § 24 jede Steuerungswirkung und gefährdet die Umsetzung der gesetzlichen Ziele.“
Die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) bewertet den Referentenentwurf des KRITIS-Dachgesetzes (KRITIS-DachG) kritisch. Sie bemängelt, dass das Gesetz keine konkreten Mindestverpflichtungen für Betreiber kritischer Infrastrukturen (KRITIS) enthält, sondern lediglich regelt, welche Behörden zukünftig Verordnungen erlassen sollen. Dadurch werden konkrete Maßnahmen und deren Umsetzung auf unbestimmte Zeit verschoben. Besonders kritisiert wird, dass große Teile der Bundes- und Landesverwaltungen sowie wichtige Sektoren wie Chemie und Großforschungseinrichtungen nicht ausreichend reguliert werden. Die AG KRITIS fordert eine umfassendere Einbeziehung aller relevanten Behörden und Dienstleistungen, eine klare und verbindliche Haftung für Geschäftsleitungen sowie deutlich höhere Bußgelder, die sich an internationalen Standards wie dem NIS2UmsuCG orientieren. Auch die geplanten langen Übergangsfristen und die fehlende Transparenz bei der Einstufung kritischer Dienstleistungen werden als problematisch angesehen. Drei besonders ausführlich thematisierte Aspekte sind: (1) die fehlende Verbindlichkeit und Transparenz der Regelungen, (2) die unzureichende Einbeziehung staatlicher Stellen und Sektoren, (3) die zu niedrigen Bußgeldrahmen und fehlende Sanktionierungsmöglichkeiten.
Tendenz: ablehnend 👎
Datum: 03.09.2025
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Bitkom e.V.
„Insgesamt bleibt der aktuelle Entwurf jedoch hinter den Erwartungen zurück. Der Bitkom plädiert deshalb für einen Ansatz, der die Vorschläge dieser Anhörung berücksichtigt und im Dialog mit der Wirtschaft umsetzt.“
Die Stellungnahme des Bitkom e.V. zum Referentenentwurf des KRITIS-Dachgesetzes (KRITIS-DachG) bewertet die geplante Umsetzung der EU-Richtlinie 2022/2557 (CER-Richtlinie) in deutsches Recht. Ziel des Gesetzes ist es, die Widerstandsfähigkeit (Resilienz) und Sicherheit kritischer Infrastrukturen zu erhöhen, indem Betreiber zu physischen und organisatorischen Schutzmaßnahmen verpflichtet werden. Bitkom betont die Dringlichkeit eines handlungsfähigen Rechtsrahmens angesichts aktueller Bedrohungen wie Spionage und Sabotage. Der Verband kritisiert jedoch, dass der Entwurf hinter den Erwartungen zurückbleibt und fordert eine stärkere Harmonisierung mit der NIS2-Umsetzung (EU-Richtlinie zur Netz- und Informationssicherheit), die Vermeidung von Doppelregulierung und eine angemessene Berücksichtigung bereits bestehender Sicherheitsstandards. Besonders ausführlich thematisiert werden: 1. Die mangelnde Harmonisierung zwischen KRITIS-DachG und NIS2, was zu unterschiedlichen Anforderungen und erhöhter Komplexität für Unternehmen führt; 2. Die Notwendigkeit, Doppelregulierung und unnötige Mehrbelastungen für Unternehmen zu vermeiden; 3. Die zu kurzen Umsetzungsfristen und die unzureichende Einbindung der Verwaltung sowie die fehlende Klarheit bei Zuständigkeiten und Anforderungen. Bitkom fordert zudem eine bessere Einbindung von Wirtschaftsverbänden, transparente und realistische Angaben zu Erfüllungsaufwänden und eine frühzeitige Veröffentlichung von Vorgaben und Standards. Die Stellungnahme hebt hervor, dass zentrale Regelungen direkt im Gesetz und nicht in späteren Rechtsverordnungen verankert werden sollten, um Rechtssicherheit und Planungssicherheit für Unternehmen zu schaffen.
Tendenz: ablehnend 👎
Datum: 01.09.2025
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Bundesfachkommission Cybersicherheit des Wirtschaftsrates der CDU e.V.
„Nur eine transparente, praxisgerechte und europäisch abgestimmte Gesetzgebung kann die Resilienz kritischer Infrastrukturen nachhaltig stärken. Wir fordern die Verantwortlichen auf, die genannten Punkte bei der weiteren Ausgestaltung zu berücksichtigen, um eine umsetzbare, faire und wettbewerbsfähige Lösung zu gewährleisten.“
Die Bundesfachkommission Cybersicherheit des Wirtschaftsrates der CDU e.V. bewertet den Referentenentwurf für das KRITIS-Dachgesetz (Gesetz zur Umsetzung der EU-Richtlinie 2022/2557 zur Stärkung der Resilienz kritischer Anlagen) grundsätzlich als wichtigen Schritt zur Stärkung der Widerstandsfähigkeit kritischer Infrastrukturen. Sie kritisiert jedoch erhebliche Schwächen in der Ausgestaltung, die die praktische Umsetzung erschweren und Wettbewerbsnachteile für deutsche Unternehmen verursachen könnten. Besonders bemängelt werden die fehlende transparente Kostenschätzung, unklare Begriffsbestimmungen, die Gefahr von Doppelregulierungen (z.B. Überschneidungen mit dem NIS2UmsuCG) sowie übermäßige Bürokratie und unverhältnismäßige Sanktionen. Die Stellungnahme fordert eine Nachbesserung dieser Punkte, insbesondere durch eine nachvollziehbare Kostenschätzung, klarere Rechtsbegriffe, Harmonisierung mit bestehenden Gesetzen und einen kooperativen Ansatz bei Sanktionen. Besonders ausführlich werden folgende Aspekte behandelt: 1) Die Notwendigkeit einer transparenten und sektorspezifischen Kostenschätzung, 2) die Vermeidung von Doppelregulierung und Normenkollision mit anderen Gesetzen, und 3) die Forderung nach verhältnismäßigen Sanktionen und einem kooperativen Vollzugsansatz.
Tendenz: ablehnend 👎
Datum: 27.08.2025
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Bundesverband der Energie- und Wasserwirtschaft (BDEW)
„Angesichts der aktuellen Bedrohungslage benötigen KRITIS-Betreiber schnellstmöglich Rechts- und Investitionssicherheit, damit der Schutz kritischer Infrastrukturen weiterhin vorausschauend gewährleistet werden kann.“
Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) begrüßt grundsätzlich das KRITIS-Dachgesetz, das die EU-Richtlinie 2022/2557 umsetzen und die Widerstandsfähigkeit (Resilienz) von Betreibern kritischer Anlagen stärken soll. Der Verband kritisiert jedoch die späte Verbändebeteiligung und die kurze Frist zur Stellungnahme. Besonders hervorgehoben werden die Notwendigkeit einer klaren Abgrenzung des Begriffs 'kritische Anlage', die Anerkennung bestehender Branchenstandards für IT- und physische Sicherheit sowie die Finanzierung und Kostenanerkennung neuer Schutzsysteme. Der BDEW fordert, dass Investitionen in Sicherheit als betriebsnotwendige Aufwendungen anerkannt und refinanzierbar sind. Zudem wird auf die Bedeutung einer engen Abstimmung zwischen Behörden, insbesondere im maritimen Bereich, hingewiesen. Weitere ausführlich behandelte Aspekte sind die Überarbeitung von Transparenzpflichten, die Klärung der Zuständigkeit bei der Drohnenabwehr und die Vermeidung widersprüchlicher gesetzlicher Anforderungen zwischen Umwelt-, Straf- und KRITIS-Recht. Fachbegriffe wie NIS2 (EU-Richtlinie zur Netz- und Informationssicherheit) und CER-Richtlinie (Critical Entities Resilience) werden im Zusammenhang mit der Harmonisierung von Sicherheitsanforderungen erläutert.
Tendenz: neutral 🤷♀️
Datum: 04.09.2025
Lobbyregister-Nr.: R000888 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 20457441380-38 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Deutsche Industrie- und Handelskammer (DIHK)
„Wir stimmen ausdrücklich dem Ziel des Gesetzes zu, die physische Resilienz kritischer Anlagen zu verbessern. Bei der Erhöhung der Resilienz lassen sich physische Sicherheit und die Sicherheit von Daten und Informationen nicht mehr trennen. Sie sollten im Zusammenhang betrachtet werden.“
Die Deutsche Industrie- und Handelskammer (DIHK) begrüßt grundsätzlich das Ziel des KRITIS-Dachgesetzes, die physische Sicherheit und Widerstandsfähigkeit (Resilienz) von Betreibern kritischer Infrastrukturen zu stärken. Kritische Infrastrukturen sind Anlagen und Dienstleistungen, die für das Funktionieren der Gesellschaft und Wirtschaft unerlässlich sind, etwa in den Bereichen Energie, Gesundheit, Wasser oder Informationstechnik. Der Gesetzentwurf setzt die sogenannte CER-Richtlinie der EU (2022/2557) um und sieht neue Pflichten für Unternehmen vor, darunter Risikoanalysen, Resilienzpläne und Meldepflichten bei Vorfällen. Die DIHK warnt jedoch vor einer zu hohen Komplexität, Doppelregulierungen und einem Flickenteppich unterschiedlicher Regelungen durch die Einbindung von Bundes- und Landesbehörden. Sie fordert praktikable, bundesweit einheitliche und verständliche Vorgaben, angemessene Fristen (z.B. längere Umsetzungsfristen als die vorgesehenen 10 Monate), sowie eine bessere Abstimmung und Unterstützung durch die Behörden. Besonders ausführlich thematisiert werden: (1) die Behördenzuständigkeit und die Gefahr uneinheitlicher Regelungen durch Landesbehörden, (2) die Anforderungen an die Identifikation und Registrierung kritischer Anlagen sowie die Notwendigkeit früher Rechtssicherheit für Unternehmen, und (3) die Meldepflichten und den Umgang mit sensiblen Informationen, wobei ein bürokratiearmer und sicherer Informationsaustausch gefordert wird.
Tendenz: neutral 🤷♀️
Datum: 04.09.2025
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Deutsche Krankenhausgesellschaft
„Unter den aktuellen Rahmenbedingungen werden daher viele der im vorliegenden Referentenentwurf enthaltenen Maßnahmen einer Wirtschaftlichkeitsbetrachtung kaum standhalten können.“
Die Deutsche Krankenhausgesellschaft (DKG) äußert sich zum Referentenentwurf des KRITIS-Dachgesetzes, das die EU-Richtlinie 2022/2557 in deutsches Recht umsetzen und die Widerstandsfähigkeit (Resilienz) kritischer Anlagen, insbesondere im Gesundheitswesen, stärken soll. Das Gesetz sieht sektorenübergreifende Mindeststandards für den physischen Schutz kritischer Anlagen vor und soll mit bestehenden Regelungen, wie dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), abgestimmt werden. Besonders begrüßt wird die geplante gemeinsame Rechtsverordnung zur Bestimmung der Betreiber kritischer Anlagen und die Vereinfachung von Melde- und Registrierungsprozessen. Kritisch sieht die DKG die unklare Zuständigkeitsverteilung zwischen Bundes- und Landesbehörden, insbesondere im Bereich der Krankenhausplanung, sowie das Fehlen einer klaren Finanzierungsregelung für die erheblichen Mehrkosten, die durch das Gesetz auf Krankenhäuser zukommen. Zudem wird bemängelt, dass konkrete Schutzziele und eine nationale Risikoanalyse fehlen, was eine valide Aufwandsschätzung erschwert. Die DKG fordert, dass die finanziellen Aufwände für Resilienzmaßnahmen refinanziert werden und die föderalen Kompetenzen der Länder gewahrt bleiben. Besonders hervorgehobene Aspekte: 1. Die unzureichende Berücksichtigung der föderalen Zuständigkeiten der Bundesländer bei der Krankenhausplanung und der Registrierung/Offenlegung von Vorfällen. 2. Die fehlende Finanzierung und die hohen, nicht refinanzierbaren Mehrkosten für Krankenhäuser durch neue gesetzliche Anforderungen. 3. Die fehlende Definition konkreter Schutzziele und einer nationalen Risikoanalyse, die eine realistische Aufwandsschätzung verhindern.
Tendenz: ablehnend 👎
Datum: 04.09.2025
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Gesellschaft für Informatik e.V. (GI)
„Das BSI muss als zentrale Meldestelle für IT-Sicherheitsschwachstellen und -vorfälle gestärkt werden. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) sollte an relevanten Schnittstellen einbezogen werden, um die CER-Richtlinie abzudecken.“
Die Gesellschaft für Informatik e.V. (GI) bewertet den Referentenentwurf zum KRITIS-Dachgesetz (KRITIS-DachG), der die EU-Richtlinie 2022/2557 (CER-Richtlinie) umsetzt und die Resilienz kritischer Anlagen stärken soll, grundsätzlich positiv, äußert jedoch auch deutliche Kritik und gibt zahlreiche Empfehlungen. Die GI hebt die zu kurze Frist für die Stellungnahme hervor und fordert angemessene Beteiligungsmöglichkeiten. Sie begrüßt die inhaltliche Abstimmung mit dem NIS2-Umsetzungsgesetz und die Schaffung eines kohärenten Meldewesens, fordert aber eine stärkere Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) als zentrale Meldestelle für IT-Sicherheitsvorfälle. Die GI kritisiert die doppelte Definition wichtiger Begriffe im Gesetzentwurf und fordert eine einheitliche, transparente Begriffsklärung, insbesondere zur Abgrenzung von Begriffen wie 'Resilienz', 'Krise' und 'Katastrophe'. Positiv bewertet wird die kostenfreie Bereitstellung branchenspezifischer Resilienzstandards und die Integration von BSI und BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) im Meldewesen. Die GI fordert jedoch eine weitere Vereinheitlichung der Meldepflichten und eine bessere Koordination zwischen den beteiligten Behörden. Die geplante wissenschaftliche Evaluierung des Gesetzes wird begrüßt, verbunden mit der Forderung nach unabhängigen, wissenschaftlichen Kriterien. Besonders ausführlich thematisiert wurden: 1. Die Definition und Abgrenzung zentraler Begriffe und Zuständigkeiten, 2. Die Ausgestaltung und Vereinheitlichung des Meldewesens, 3. Die Notwendigkeit angemessener Beteiligungsfristen und einer transparenten Gesetzgebung.
Tendenz: neutral 🤷♀️
Datum: 04.09.2025
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ GKV-Spitzenverband
„Der GKV-Spitzenverband begrüßt das Ziel des vorliegenden Referentenentwurfs, die Resilienz kritischer Anlagen zu stärken und dabei einen kohärenten Rahmen zwischen IT-Sicherheit und physischem Schutz zu schaffen.“
Der GKV-Spitzenverband äußert sich zum Gesetzentwurf zur Umsetzung der EU-Richtlinie 2022/2557, die darauf abzielt, die Widerstandsfähigkeit (Resilienz) kritischer Infrastrukturen in Deutschland zu stärken. Der Verband begrüßt das Ziel des Gesetzes und die sektorenübergreifende Herangehensweise, sieht aber Änderungsbedarf bei branchenspezifischen Standards und der Einbeziehung von IT-Dienstleistern. Besonders hervorgehoben werden: 1) Die Vereinheitlichung der Meldewege für Vorfälle, die als Verwaltungsvereinfachung und Effizienzsteigerung positiv bewertet wird; 2) Die Einführung zusätzlicher branchenspezifischer Resilienzstandards, die kritisch gesehen wird, da bereits etablierte Sicherheitsstandards existieren und diese lediglich um physische Aspekte ergänzt werden sollten; 3) Die unzureichende Berücksichtigung von IT-Dienstleistern, die für die Versorgungssicherheit der Krankenkassen eine zentrale Rolle spielen, weshalb eine Klarstellung im Gesetz gefordert wird.
Tendenz: neutral 🤷♀️
Datum: 04.09.2025
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 ITAD - Interessengemeinschaft der Thermischen Abfallbehandlungsanlagen in Deutschland e.V.
„Insofern würde die nationale Umsetzung der CER-Richtlinie über eine 1:1 Umsetzung hinausgehen (Gold-Plating) und so den Aufwand für deutsche Unternehmen im europäischen Vergleich erhöhen. Das konterkariert den Anspruch, Bürokratieentlastung und Wettbewerbsfähigkeit zu fördern.“
Die ITAD (Interessengemeinschaft der Thermischen Abfallbehandlungsanlagen in Deutschland) äußert sich zum Gesetzentwurf zur Umsetzung der EU-Richtlinie 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen. ITAD kritisiert insbesondere die sehr kurze Frist zur Stellungnahme, die eine fundierte Beteiligung erschwert und dem Koalitionsvertrag widerspricht. Inhaltlich lehnt ITAD ab, dass der Sektor Siedlungsabfallentsorgung vom sogenannten KRITIS-Dachgesetz erfasst werden soll. Die EU-Richtlinie (CER-Richtlinie) sieht diesen Sektor nicht vor, sodass eine nationale Ausweitung („Gold-Plating“) unnötige Bürokratie und Wettbewerbsnachteile für deutsche Unternehmen schafft. Zudem bemängelt ITAD, dass es keine konsistente und einheitliche Begriffsbestimmung für kritische Infrastrukturen gibt, was zu Unsicherheiten und Parallelregelungen führt. Besonders ausführlich thematisiert werden: 1) Die fehlende Notwendigkeit, Siedlungsabfallentsorgung in das Gesetz aufzunehmen, 2) die Problematik des Gold-Plating, also der über die EU-Vorgaben hinausgehenden nationalen Regelungen, und 3) die mangelnde Konsistenz bei der Begriffsbestimmung kritischer Infrastrukturen.
Tendenz: ablehnend 👎
Datum: 04.09.2025
Lobbyregister-Nr.: R000996 (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Verband der Chemischen Industrie e.V. (VCI)
„Rechts- und Planungssicherheit ist gerade in der jetzigen Situation, in der die Wirtschaft unter hohem Wettbewerbsdruck steht, unabdingbar.“
Die Stellungnahme des Verbands der Chemischen Industrie e.V. (VCI) bezieht sich auf den Referentenentwurf des Bundesministeriums des Innern zur Umsetzung der EU-Richtlinie 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen. Der VCI betont, dass die chemisch-pharmazeutische Industrie zwar nicht immer direkt als 'kritische Anlage' gilt, aber eine zentrale Rolle für die Versorgungssicherheit und Verteidigungsfähigkeit Deutschlands spielt. Die Branche weist auf bereits bestehende, hohe Sicherheitsstandards und umfangreiche Regulierung hin. Besonders hervorgehoben werden die Notwendigkeit klarer und eindeutiger Regelungen zum Anwendungsbereich, ein praxisgerechter und bürokratiearmer Vollzug, die Minimierung von Berichtspflichten sowie konsistente und digitale Verwaltungsprozesse mit hohem Datenschutz. Die Stellungnahme kritisiert, dass die Folgenabschätzung der Umsetzungskosten zu vage bleibt und warnt vor zusätzlicher Bürokratie und Doppelprüfungen. Drei besonders ausführlich behandelte Aspekte sind: 1) die Definition und Abgrenzung des Anwendungsbereichs, 2) die Forderung nach Digitalisierung und Schutz von Unternehmensdaten, und 3) die Notwendigkeit, bestehende Prozesse und Standards zu berücksichtigen, um Rechtssicherheit und Wettbewerbsfähigkeit zu gewährleisten.
Tendenz: ablehnend 👎
Datum: 05.09.2025
Lobbyregister-Nr.: R000476 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 15423437054-40 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Verband kommunaler Unternehmen e.V.
„Der VKU begrüßt ausdrücklich den Entwurf eines Kritis-Dachgesetzes, um den physischen Schutz der kritischen Anlagen in Deutschland zu erhöhen. Gleichwohl besteht weiterhin ein deutlicher Verbesserungsbedarf: Die Stellungnahmefrist ist unangemessen kurz und das Gesetz nicht hinreichend mit dem NIS2-Umsetzungsgesetz und anderen Fachgesetzen abgestimmt. Es kommt zu Doppelungen und unklaren Regulierungen, die dringend behoben werden müssen.“
Der Verband kommunaler Unternehmen e.V. (VKU) begrüßt grundsätzlich den Entwurf eines Gesetzes zur Umsetzung der EU-Richtlinie 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (sog. Kritis-Dachgesetz). Der VKU betont die Notwendigkeit eines verbesserten physischen Schutzes kritischer Infrastrukturen, sieht jedoch erheblichen Nachbesserungsbedarf. Kritisiert werden insbesondere die sehr kurze Frist für die Stellungnahme, die mangelnde Abstimmung mit dem NIS2-Umsetzungsgesetz (Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit) und anderen Fachgesetzen, sowie die Gefahr von Doppelregulierung und unklaren Begrifflichkeiten. Der VKU fordert, dass Unternehmen der Siedlungsabfallentsorgung von den Pflichten des Gesetzes ausgenommen werden und dass Betreiberpflichten erst nach Übermittlung der staatlichen Risikoanalyse beginnen. Zudem wird eine klare Abgrenzung der staatlichen und unternehmerischen Verantwortung für Sicherheit verlangt. Besonders ausführlich behandelt werden die Themen: 1) die fehlende Abstimmung und die daraus resultierenden Doppelungen und Unsicherheiten, 2) die Refinanzierung der neuen Pflichten für die Betreiber, insbesondere im regulierten Bereich der Energiewirtschaft, und 3) die Notwendigkeit, Transparenzpflichten und Vergaberecht an die besonderen Schutzinteressen kritischer Anlagen anzupassen. Der VKU fordert eine stärkere Zentralisierung der Zuständigkeiten auf Bundesebene und eine klare gesetzliche Anerkennung des Schutzes kritischer Anlagen als überragendes öffentliches Interesse.
Tendenz: neutral 🤷♀️
Datum: 04.09.2025
Lobbyregister-Nr.: R000098 (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 ZVEI e. V. – Verband der Elektro- und Digitalindustrie
„Die Anwendung der anerkannten Regeln der Technik müssen für die Erstellung der Resilienzpflichten für die Betreiber kritischer Anlagen zwingend vorgeschrieben werden.“
Die Stellungnahme des ZVEI (Zentralverband Elektrotechnik- und Elektronikindustrie) zum KRITIS-Dachgesetz betont die Notwendigkeit, die physische Widerstandsfähigkeit (Resilienz) kritischer Infrastrukturen in Deutschland zu stärken. Das Gesetz soll erstmals sektorübergreifende Standards für die Identifizierung und den Schutz kritischer Anlagen schaffen und die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie) umsetzen. Der ZVEI fordert insbesondere, den Schwellenwert für die Einstufung als kritische Anlage von 500.000 auf mindestens 100.000 zu versorgende Einwohner zu senken, um auch kleinere, aber wichtige Anlagen zu erfassen. Außerdem sollen technische und organisatorische Maßnahmen zur Resilienz verpflichtend nach anerkannten technischen Standards erfolgen und in Zusammenarbeit mit Wirtschaftsverbänden entwickelt werden. Besonders hervorgehoben werden (1) die Notwendigkeit niedrigerer Schwellenwerte zur besseren Erfassung kritischer Anlagen, (2) die verbindliche Anwendung anerkannter technischer Regeln bei Resilienzmaßnahmen und (3) die Forderung nach regelmäßigen Wirksamkeitsprüfungen der getroffenen Maßnahmen.
Tendenz: ablehnend 👎
Datum: 29.08.2025
Lobbyregister-Nr.: R002101 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 94770746469-09 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
Einträge im Lobbyregister
Im Lobbyregister des Bundestags sind 8 Einträge zu diesem Vorhaben vorhanden.
Identische Einträge werden zusammengeführt.
Arbeitsgemeinschaft der Wasserwirtschaftsverbände NRW e.V. | 12.12.2025
Ziel oder Art der Interessenvertretung:
Die agw setzt sich für eine 1:1-Umsetzung der CER-Richtlinie in deutsches Recht ein. Als Betreiber kritischer Infrastrukturen achten wir auf eine bezahlbare und praktikable Anwendung des Gesetzes im Bereich der Wasserwirtschaft.
Lobbyregister-Nr.: R002739 (Detailseite im Lobbyregister)
Interne ID: 69047
Coca-Cola Europacific Partners Deutschland | 16.01.2026
Ziel oder Art der Interessenvertretung:
Das KRITIS-Dachgesetz setzt die EU-Richtlinie über die Resilienz kritischer Einrichtungen, die sog. CER-Richtlinie, um und schafft bundeseinheitliche Regelungen für den physischen Schutz kritischer Infrastrukturen. Coca-Cola Europacific Partners Deutschland (CCEP) ist im Lebensmittelbereich mit seinen Produktionsstätten zur Getränkeabfüllung, hauptsächlich kohlensäurehaltige Erfrischungsgetränke, ein Betreiber kritischer Infrastruktur. Der vorliegende Gesetzentwurf verursacht für das Unternehmen hohe - doppelte - Belastung mit zusätzlichen Kosten, ohne aber einen über die bereits geltende Gesetzeslage hinaus gehendes Schutzniveau zu erbringen. Deshalb werden Änderungen vorgeschlagen.
Lobbyregister-Nr.: R002276 (Detailseite im Lobbyregister)
Interne ID: 70972
EUTOP Europe GmbH (EUTOP) | 12.01.2026
Ziel oder Art der Interessenvertretung:
Einführung einer bundeseinheitlichen Auslegung der Gesetzgebung und sachgerechten Einbezug von Post-/Paketinfrastruktur in die Sicherheitsstrukturen.
Lobbyregister-Nr.: R002291 (Detailseite im Lobbyregister)
Interne ID: 70750
IBM Deutschland GmbH | 04.12.2025
Ziel oder Art der Interessenvertretung:
IBM fordert eine Harmonisierung der Implementierung von CRA, NIS-2-Richtlinie, CER-Directive und KRITIS-Dachgesetz, um eine unnötige Fragmentierung der Cybersicherheits-Regulierung zu vermeiden. Weiterhin setzt sich IBM für die Umsetzung eines Zero-Trust-Ansatzes ein.
Lobbyregister-Nr.: R001842 (Detailseite im Lobbyregister)
Interne ID: 68830
TenneT TSO GmbH | 06.11.2025
Ziel oder Art der Interessenvertretung:
Die sich verändernde Sicherheitslage macht eine effektive Cybersicherheit insbesondere der kritischen Infrastruktur unabdingbar. Hierbei braucht es ein Gleichgewicht zwischen neuen Anforderungen und einem bürokratiesparsamen Rahmen.
Lobbyregister-Nr.: R001647 (Detailseite im Lobbyregister)
Interne ID: 67590
Verband Deutscher Verkehrsunternehmen (VDV) | 02.12.2025
Ziel oder Art der Interessenvertretung:
Die Initiative verfolgt das Ziel, dass die Anforderungen des Öffentlichen Personen- und Schienengütervekehrs stärker im Gesetzentwurf „zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz von Betreibern kritischer Anlagen" (Kritis-Dachgesetz) Berücksichtigung finden. So ist einerseits zu begrüßen, dass mit der Gesetzesinitiative erstmals einheitliche Mindestvorgaben für den Schutz kritischer Anlagen festgelegt werden. Zugleich beinhalten die §§ 8, 12, 13, 18 und 20 verschiedene Formulierungen, die Anpassungen bedürfen. Das betrifft einerseits die hier festgeschriebenen Fristen, das Meldewesen für Vorfälle oder auch die Schulungspflichten.
Lobbyregister-Nr.: R001242 (Detailseite im Lobbyregister)
Interne ID: 68654
Volkmar Vogel | 12.01.2026
Ziel oder Art der Interessenvertretung:
Einführung einer bundeseinheitlichen Auslegung der Gesetzgebung und sachgerechten Einbezug von Post-/Paketinfrastruktur in die Sicherheitsstrukturen.
Lobbyregister-Nr.: R005605 (Detailseite im Lobbyregister)
Interne ID: 70749
Wirtschaftsvereinigung der Grünen e.V. - Wirtschaft im Dialog | 18.12.2025
Ziel oder Art der Interessenvertretung:
Um Deutschland vor zunehmende Cyberangriffen zu schützen, muss Cybersicherheit als Grundpfeiler der Daseinsvorsorge begriffen werden – gleichrangig mit Energie- oder Gesundheitsversorgung. Aus Sicht der Mitglieder der Wirtschaftsvereinigung sind hierfür folgende Maßnahmen entscheidend:
- Cybersicherheit als Teil der Daseinsvorsorge mit Mindeststandards und Förderung verankern.
- Das BSI zu einer echten Zentralstelle für IT-Sicherheit ausbauen.
- NIS-2 und CER ohne nationale Sonderwege umsetzen – auch für Behörden.
- Regulierungen harmonisieren, um Doppelbelastungen zu vermeiden.
- Lieferketten besser absichern und verteidigungsrelevante Daten besonders schützen.
- Europäische digitale Souveränität stärken und neue Schwachstellen verhindern.
Lobbyregister-Nr.: R007085 (Detailseite im Lobbyregister)
Interne ID: 69753
Beratungsverlauf im Bundestag
| Eingang im Bundestag: | 03.11.2025 |
| Erste Beratung: | 06.11.2025 |
| Drucksache: | 21/2510 (PDF-Download) |
| Plenarsitzungen: | Aufzeichnungen und Dokumente |
Ausschusssitzungen
Die Daten wurden mit GPT4 ermittelt und können Fehler enthalten. Im Zweifel bitte die verlinkten Dokumente prüfen.
| Ausschuss | Sitzungsdatum | Tagesordnung (PDF) |
|---|---|---|
| Innenausschuss | 12.11.2025 | Tagesordnung |
| Innenausschuss | 01.12.2025 | Anhörung |
Anhörung der Sachverständigen
Diese Zusammenfassung wurde mit GPT4 auf Basis des Artikels auf bundestag.de erstellt.
Die Anhörung fand am 02.12.2025 im Ausschuss für Innenausschuss statt.
Manuel 'HonkHase' Atug, AG KRITIS: Atug kritisierte, dass Deutschland auch mit dem aktuellen Entwurf zum Kritis-Dachgesetz weiterhin deutlich hinter den EU-Vorgaben zur physischen und Cyberresilienz zurückbleibe. Er warf den Verantwortlichen und insbesondere dem Bundesinnenministerium vor, keine Konsequenzen aus den jüngsten hybriden Gefährdungen zu ziehen und sprach von vorsätzlicher Arbeitsverweigerung und Gefährdung von Menschenleben.
Alexander Averhoff, Deutscher Städte- und Gemeindebund: Averhoff betonte, dass Resilienzstrategien, Prävention und Bevölkerungsschutz große Herausforderungen für Kommunen und Betreiber kritischer Infrastruktur seien. Er kritisierte, dass die Kommunen im Gesetzentwurf nicht berücksichtigt würden und die Umsetzungsfristen zu kurz seien. Er forderte eine Verlängerung der Fristen auf 24 Monate und eine angemessene finanzielle Ausstattung der Kommunen durch Bund und Länder.
Mathias Böswetter, BDEW Bundesverband der Energie- und Wasserwirtschaft: Böswetter begrüßte den sektorenübergreifenden Rechtsrahmen für den physischen Schutz kritischer Anlagen und die Ergänzung des IT-Sicherheitsrechts. Er hob hervor, dass die wirtschaftliche Umsetzung der Maßnahmen entscheidend für eine nachhaltige Resilienzsteigerung sei. Er forderte, dass der Bund die Betreiber bei der Drohnenabwehr unterstützen müsse, da dies eine hoheitliche Aufgabe bleibe.
Sylvia Borcherding, 50Hertz Transmission GmbH: Borcherding wies darauf hin, dass Betreiber kritischer Infrastruktur derzeit verpflichtet seien, umfangreiche Planungs- und Infrastrukturunterlagen offenzulegen. Sie forderte eine Überprüfung und Anpassung dieser Transparenzpflichten angesichts der aktuellen Bedrohungslage. Zudem verlangte sie klare Regelungen zur Finanzierung und einen bundesweit einheitlichen Rahmen zur Refinanzierung von Resilienzkosten.
Professor Clemens Gause, Verband für Sicherheitstechnik: Gause erklärte, dass die Umsetzung des Kritis-Dachgesetzes für große Konzerne zwar schwierig, für kleine und mittlere Unternehmen aber kaum machbar sei, da es an finanziellen Mitteln mangele. Er forderte gezielte Unterstützung für die Industrie und den Mittelstand, etwa durch zinsgünstige KfW-Kredite, Steuerentlastungen und Förderprogramme. Zudem solle die Sicherheitswirtschaft als Wirtschaftsfaktor gestärkt werden.
Jürgen Harrer, Universität der Bundeswehr München: Harrer bewertete den Gesetzentwurf grundsätzlich positiv, da nun auch Mindeststandards für die physische Sicherheit kritischer Infrastrukturen formuliert würden. Er warnte jedoch davor, kleine und mittlere Betriebe finanziell zu überlasten, und sprach sich für Unterstützungsmaßnahmen wie Sonderkredite oder Sonderabschreibungen aus.
Professor Dennis-Kenji Kipker, Universität Bremen, cyberintelligence.institute: Kipker bezeichnete den Entwurf als wichtigen, aber noch unvollständigen Schritt zu einem kohärenten Schutz kritischer Infrastruktur. Er forderte eine einheitliche und integrierte Kritis- und IT-Sicherheitsarchitektur sowie die konsequente Einbeziehung der öffentlichen Verwaltung in den Schutzbereich. Die bisherige Ausklammerung von Teilen der Verwaltung führe zu Schutzlücken und einem uneinheitlichen Resilienzniveau. Er plädierte für ein Gesetz, das digitale und physische Sicherheit bündelt, um Doppelstrukturen zu vermeiden.
Kerstin Petretto, BDI Bundesverband der Deutschen Industrie: Petretto kritisierte die fehlende Abgrenzung der Zuständigkeiten zwischen den Aufsichtsbehörden und die unklare Rolle der Bundesländer. Sie bemängelte, dass ein erheblicher Teil der Bundes- und Landesverwaltungen vom Gesetz ausgenommen sei und Infrastrukturen im Sektor Staat und Verwaltung keinen Anforderungen unterlägen. Zudem würden neue Bedrohungen, wie Drohnenüberflüge, nicht adressiert, was zu Rechtslücken führe.
Christian Stuffrein, Deutscher Landkreistag (auch für Deutschen Städtetag): Stuffrein begrüßte die Einführung verbindlicher nationaler Regeln für Betreiber kritischer Infrastrukturen, kritisierte aber, dass der Bereich Staat und Verwaltung im Geltungsbereich fehle. Er forderte eine angemessene kommunale Finanzausstattung und laufende Finanzierung zur Stärkung der Resilienz. Die Finanzierung über Kommunalabgaben sei nicht sachgerecht. Der Schwellenwert von 500.000 versorgten Einwohnern sei zu hoch; er schlug stattdessen 150.000 vor, wie vom Bundesrat eingebracht.
Beratungsverlauf im Bundesrat
| Gesetztyp: | Einspruchsgesetz |
| Drucksache im BR: | 558/25 |
| Eingang im Bundesrat: | 10.10.2025 |
| Erster Durchgang: | 21.11.2025 |
| Status Bundesrat: | Beraten |