Status quo KRITIS Dachgesetz

(15.12.2025)

Wie kritische Anlagen in Ihrer Resilienz gestärkt werden sollen und warum ein Krankenhaus kein Kohlekraftwerk ist

Zur Umsetzung der Richtlinie (EU) 2022/2557 (CER-Richtlinie) sollte bereits 2024 das KRITIS Dachgesetz beschlossen werden. Durch den Bruch der Regierung hat sich dieses Gesetzgebungsverfahren, sowie die finale Ausgestaltung verschoben. Am 06.11.2025 hat der Bundestag in erster Lesung zum KRITIS Dachgesetz beraten, nachdem es vom Bundeskabinett am 10.09.2025 beschlossen wurde. Parallel zum KRITIS Dachgesetz entwickelt sich das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, welches die bestehenden Vorgaben in der IT-Sicherheit für KRITIS Unternehmen bündelt und verstärkt.

Kritische Infrastrukturen (KRITIS) sind wichtige Einrichtungen für das staatliche Gemeinwesen, deren Ausfall erhebliche Störungen der öffentlichen Sicherheit bedeutet. – Auszug aus der KRITIS-Definition der Bundesressorts.

Das KRITIS Dachgesetz fasst hierbei fast alle KRITIS Sektoren zusammen und macht Angaben zu deren Schutz, welchen der Betreiber der kritischen Anlage umsetzen muss. Einer dieser Bereiche ist das „Gesundheitswesen“. Gerade für Krankenhäuser ist dies jedoch schwer greifbar, da der aktuelle Schwellenwert des Gesetzes 500.000 versorgte Einwohner vorsieht. Setzt man versorgte Einwohner mit vollstationären Fällen gleich, wie dies in der Vergangenheit die BSI-Kritisverordnung getan hat, erreicht nicht einmal das größte Krankenhaus Deutschlands, die Charité Berlin, diesen Schwellenwert. Dass Krankenhäuser für das Gemeinwohl essenziell und besonders schützenswert sind, ist jedoch auch eindeutig. Hierfür sieht das KRITIS Dachgesetz vor, dass Schwellenwerte zum Versorgungsgrad nachgesteuert, Kategorien von Anlagen festgelegt und Einzelfestlegungen getroffen werden können. Das Ergebnis für Krankenhäusern: Unsicherheit. Die Pflichten zur Registrierung als kritische Anlage hängen zudem mit der Meldung zusammen, dass ein Krankenhaus vom Gesetz betroffen ist. Erst mit einer Registrierung beginnen die verbindlichen Fristen für den Betreiber einer kritischen Anlage.

„Resilienz ist die Fähigkeit von Systemen und Lebewesen, Ereignissen zu widerstehen bzw. sich daran anzupassen und dabei Funktionsfähigkeiten zu erhalten und das Überleben zu sichern.“ – vgl. Definition des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe

Für die Betreiber von Krankenhäusern positiv ist, dass sich viele der Maßnahmen, ungeachtet des bisherigen Umfangs, bereits in der Unternehmensstruktur wiederfinden sollten. Der Resilienzplan ist das Ergebnis, welches nach Umsetzung des KRITIS Dachgesetztes beim Betreiber erstellt und etabliert werden soll. Hierfür kennt das KRITIS Dachgesetz im Kern nach §13 die Maßnahmen

  • Verhindern
  • physischer Schutz
  • Reagieren-Abwehren-Begrenzen
  • Wiederherstellen
 

Den Weg zum Resilienzplan und was es konkreter heißt diese Maßnahmen umzusetzen haben wir Ihnen nachfolgend dargestellt:

Nationale Risikoanalyse - §11

Im ersten Schritt sind der Bund und die Länder verpflichtet, von Seiten des Staates Risikoanalysen durchzuführen. Dies sind natürliche, technische und menschliche Risiken, sowie Extremereignisse im Bereich von Unfällen, Naturgefahren und gesundheitlichen Notlagen. Besonders auffällig sind hierbei die explizite Erwähnung hybrider und feindlicher Bedrohungen, da dies explizit auf die Möglichkeit und die Resilienzsteigerung gegen Sabotageakte hinweist. Darüber hinaus werden auch explizit Abhängigkeiten von anderen öffentlichen Bereichen und KRITIS-Sektoren untersucht. Auch die personelle Arbeitsfähigkeit wird analysiert.

Risikoanalyse der Betreiber - §12

Auf Basis der nationalen Risikoanalyse und Risikobewertung sind die Betreiber verpflichtet eigene Risikoanalysen durchzuführen. Stichwort hierbei ist der All-Gefahren-Ansatz, welcher wortwörtlich alle erdenklichen Gefahren vorab betrachten soll. Was auf Landesebene nicht auffällt, jedoch für Betreiber relevant wird ist die Kritikalität der einzelnen Bereiche. Um keine übermäßigen Maßnahmen abzuleiten und umzusetzen sollten die Abhängigkeiten der einzelnen Prozesse im Krankenhaus untereinander betrachtet werden. Ganz konkret: Ist eine Intensivpflegestation mit potenziell mobilen Beatmungsgeräten (bspw. Anbringung auf Rollgestellen mit temporärer Akku-Pufferung, statt fest installiert in einer Deckenampel) ausgestattet, besteht keine Abhängigkeit von mobilen Beatmungsgeräten oder gar Intensiv-Transport-Türmen.

Mehr zur Risikoanalyse

Ableiten von Maßnahmen / Resilienzpflichten - § 13

Die vier Kernbereiche Verhindern, physischer Schutz, Reagieren-Abwehren-Begrenzen und Wiederherstellen wurden bereits erwähnt. Für Betreiber maßgeblich ist die bereits im Gesetz verankerte Möglichkeit eine Verhältnismäßigkeit anzuwenden und im Rahmen des Standes der Technik eine Zweck-Mittel-Relation heranzuziehen. Konkret bedeutet das, dass Risiko und Wirtschaftlichkeit als Bewertungsmaßstab für Maßnahmen explizit herangezogen werden kann.

Mehr zum Resilienzplan

Umsetzung der Maßnahmen

Das KRITIS Dachgesetz kennt bereits sehr konkrete Maßnahmen. Bezogen auf bis zu zehn KRITIS Sektoren und die Individualitäten der Betreiber sind diese jedoch nicht mehr so konkret. Neben der Unsicherheit im Geltungsbereich des KRITIS Dachgesetztes zu liegen, befindet sich hier die größte Black-Box des Gesetzes.

Präventive Maßnahmen

Präventive Maßnahmen sind Maßnahmen der Notfallvorsorge. Konkreter wird das KRITIS Dachgesetz nicht. Wir betrachten hierunter die Resilienz der Prozesse. Wie gut funktionieren v.a. die kritischen Kernprozesse eines Krankenhauses unter äußeren Störungen und gegen welche erwartungsgemäßen Risiken können Vorsorgemaßnahmen getroffen werden. Dieser Bereich ist zum großen Teil Kontinuitätsmanagement, bzw. geläufiger: Business Continuity Management (BCM).

Physische Schutzmaßnahmen

Physische Schutzmaßnahmen sind im Krankenhaus besonders herausfordernd. Das KRITIS Dachgesetz kennt hier bauliche, technische und organisatorische Sicherung des Objektes (Objektschutz), Umgebungsüberwachung, Detektionsgeräte und Zugangskontrollen. Was für einen Industriebetrieb umsetzbar ist und den Schutz adäquat erhöht, kann für ein Krankenhaus ggfs. nichtzutreffend sein. Als öffentliche Einrichtungen, die der Bevölkerung zur Verfügung stehen, ergeben sich hier Reibungspunkte. Beschränkte Zugänge zu sensiblen Bereichen und das entsprechende Rechte-Management sind hingegen in Krankenhäusern bereits heute völlig normal.

Krisenmanagement / (Krankenhaus)Alarm- und Einsatzplanung

Für andere KRITIS Sektoren aktuell teils unbekannt, kennen Krankenhäuser die Alarm- und Einsatzplanung (KAEP) bereits länger. Aus der betrieblichen Notwendigkeit beginnt dies bei Konzepten zur Bewältigung von Massenanfällen Verletzter oder Erkrankter (MANV / MANE) über den Umgang mit Stromausfall bis hin zu weiteren Störungen des Betriebes und der Reaktion des Krankenhauses hierauf. Die Landeskrankenhausgesetze und / oder Brand- und Katastrophenschutzgesetze der Länder verpflichten i.d.R. ohnehin jedes Krankenhaus zum Aufstellen von Notfall- bzw. Alarm- und Einsatzplänen und zum Ergreifen von Maßnahmen. Gemeinsam mit den Empfehlungen des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe ergibt sich hieraus ein entsprechender Umfang, welcher bereits heute zum großen Teil etabliert sein sollte.

Mehr zur KAEP

Wiederherstellung der kritischen Dienstleistung

Zur Wiederherstellung bzw. Aufrechterhaltung der kritischen Dienstleistung bringt das KRITIS Dachgesetz die Notstromversorgung explizit in die Unternehmen. Für Krankenhäuser ist dies ohnehin bereits vorgesehen. Alternative Lieferketten, also eine Lieferantenbewertung, ist jedoch noch nicht in jedem Krankenhaus in diesem Umfang etabliert. Auch die Tatsache, dass es Spezialprodukte und Arzneien gibt, die nur ein Hersteller weltweit anbietet, erschwert das Thema. Besonders, wenn dieser in Nicht-EU Staaten produziert.

Weitere Maßnahmen

Über die oben genannten Maßnahmen hinaus wird im KRITIS Dachgesetz ein Sicherheitsmanagement für Mitarbeitende und externe Dienstleister eingeführt. Was darunter zu verstehen ist, bleibt offen. Sind präventive Sicherheitsüberprüfungen oder ein Management der Sicherheit des Unternehmens oder die Sicherheit der Mitarbeitenden selbst gemeint? Wahrscheinlich ist eine Verschränkung all dieser Bereiche. Während bei Einstellung von Mitarbeitenden eine Sicherheitsüberprüfung, im Rahmen des zulässigen Umfangs, heute in Teilen bereits durchgeführt wird, ist eine Zugangs- und Rechteverteilung nach Aufgabengebiet bereits ebenfalls häufig in Krankenhäusern etabliert. Hier ist ggfs. eine Konkretisierung oder Verschärfung zu erwarten. Aufgrund der Erwähnung der „[…] Erhaltung der personellen Arbeitsfähigkeit in kritischen Anlagen […]“ (vgl. § 6 Abs. 1 KRITISDachG) kann hier aber auch die Sicherstellung der Arbeitsfähigkeit, bspw. durch Bereitstellung von Kinderbetreuung und Verpflegung gemeint sein, sowie eine ausreichende Vorsorge zum Erhalt der Zahlungsfähigkeit von Gehältern. Die Schnittstelle zum BCM ist klar gegeben.

Informieren, Schulen, Üben

Abschließend sind explizit Informationsmaterialien, Schulungen und Übungen für das Personal im Gesetz verankert. In vielen Bereichen von Krankenhäusern wird dies bereits im Rahmen des KAEP gelebt, jedoch nicht in allen Krankenhäusern. Auch ist der Umfang im Rahmen des KRITIS Dachgesetzes fraglich, da gerade Real-Übungen den klinischen Betrieb stören können.

Mehr zu Übungen

Melden und Überwachen

Gemeinsam mit den Maßnahmen führt das KRITIS Dachgesetz ein Meldewesen für Störfälle ein, welches zwischen Betreiber und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) abläuft. Das Melden von Ereignissen ist jedoch Krankenhäusern aus anderen Bereichen bereits geläufig und sollte einfach eine neue Routine darstellen.

Die Überwachung der Umsetzung der Maßnahmen durch die Geschäftsleitung und die damit einhergehende Haftung ist jedoch ein anderes Thema. Eine Haftung für die Geschäftsleitung ist explizit genannt. Wie weit diese anwendbar ist bleibt jedoch abzuwarten. Eine Haftung im Rahmen der Gesellschaftsform existiert jetzt bereits im Rahmen der Unternehmerpflichten. Gefährdungsbeurteilungen und bestehende gesetzliche Verpflichtungen treffen demnach die Geschäftsleitung auch heute bereits. Das KRITIS Dachgesetz macht somit jedoch nochmals explizit die Sicherheit zur Sache der Geschäftsleitung.

Fristen und Audits

Die Fristen des Gesetzes betrachten wir entspannt, weshalb wir Ihnen hier auch keine „Timeline“ o.ä. bieten. Es ist anzunehmen, dass auch bei einem sofortigen Inkrafttreten des Gesetzes, die entsprechenden Ministerien und Bundesanstalten ihre Fristen nicht einhalten können. Bereits diese Verschiebung, sorgt dominoartig für ein Verschieben der Fristen nach hinten hinaus. Dennoch ist eine Sache wichtig: Tritt das Gesetz in Kraft, sind von der Registrierung als kritische Anlage bis zur Umsetzung von Risikoanalyse und -bewertung, sowie bis zur Umsetzung von Maßnahmen nur 9, bzw. 10 Monate Zeit. Eine vorsorgliche Betrachtung und das Aktualisieren der bereits ergriffen Maßnahmen (Räumung, KAEP, Risikoanalysen) ist unabhängig vom KRITIS Dachgesetz empfehlenswert und entspannt etwaige Verpflichtungen zu einem späteren Zeitpunkt.

Wiederkehrende Überprüfungen von Risikoanalysen und des Resilienzplanes, sowie die Etablierung eines Audit-Systems sieht das Gesetz vor. Bei Fristen von 4 Jahren (oder bei Bedarf) und der unklaren zeitlichen Umsetzung informieren wir Sie jedoch ausführlich zu einem späteren Zeitpunkt hierzu.  -Dezember 2025

Weitergehende Informationen zu unseren Leistungen finden Sie hier.

Unsere Leistungen

Unsere Leistungen im Brandschutz:

  • Brandschutzplanung
  • Stellungnahmen und Gutachten
  • Fachbauleitung Brandschutz
  • Feuerlöschanlagenplanung
  • Organisatorischer Brandschutz
  • Planunterlagen
  • Ingenieurmethoden im Brandschutz
Hier geht's zum Brandschutz

Unsere Leistungen im Consulting:

  • Resilienzplanung
  • Alarm- und Einsatzplan
  • Umweltschutz
  • Explosionsschutz
  • Arbeitsschutz
  • Sicherheitskonzepte
  • Krisenmanagement
Hier geht's zur Consulting