Angesichts neuer gesetzlicher Anforderungen und steigender Bedrohungen müssen Unternehmen ihre Sicherheitsstrategien proaktiv stärken. Dieser kostenlose Leitfaden zeigt, wie Sie Ihre IT-Sicherheit und Resilienz ohne Budget-Explosion effektiv erhöhen. Effektive Cyber-Security-Strategien entdecken

„Anschläge auf Stromversorger oder Bahnstrecken zeigen: Die Gefahr trifft nicht nur Metropolen“, so Jung in einer Stellungnahme. Versorgungswerke, Stadtwerke oder Verkehrsbetriebe in mittelgroßen Städten seien genauso verwundbar und systemrelevant für ihre Region. Der Städtetag appelliert deshalb an den Bundesrat, den Vermittlungsausschuss anzurufen und die Grenze auf 150.000 zu senken. Dies würde zahlreiche weitere kommunale Betriebe unter den Schutzschirm des Gesetzes stellen.

Flickenteppich statt einheitlichem Schutz

Ein weiterer Kritikpunkt ist eine Öffnungsklausel im Gesetz. Sie erlaubt es den Bundesländern, zusätzliche Einrichtungen unterhalb der 500.000-Schwelle selbst als kritisch zu definieren. Aus Sicht der Kommunen ist dies ein gefährlicher Weg.

„Das schafft keinen einheitlichen Schutz, sondern einen regulatorischen Flickenteppich“, warnt der Städtetag. Die Sicherheitsstandards könnten von Bundesland zu Bundesland unterschiedlich ausfallen – ein Umstand, den Angreifer ausnutzen könnten. Da Bedrohungen nicht an Landesgrenzen haltmachten, brauche es eine bundeseinheitliche, verbindliche Regelung.

Das fordert das neue KRITIS-Dachgesetz

Die Debatte ist so hitzig, weil das Gesetz Betreiber kritischer Infrastrukturen zu umfangreichen und kostspieligen Maßnahmen verpflichtet. Es setzt die europäische CER-Richtlinie in nationales Recht um und weitet den Fokus erstmals verbindlich von IT-Sicherheit auf den physischen Schutz aus.

Betroffene Unternehmen und kommunale Betriebe müssen künftig regelmäßige Risikoanalysen durchführen und darauf basierende Resilienzpläne erstellen. Diese müssen konkrete Maßnahmen wie Geländesicherung, Zugangskontrollen und Notfallpläne enthalten. Zudem gilt eine Meldepflicht: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an eine gemeinsame Meldestelle von Bundesamt für Bevölkerungsschutz (BBK) und Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Anzeige

Viele Betriebe erfüllen die strengen gesetzlichen Notfall-Vorschriften noch nicht ausreichend, was im Ernstfall zu massiven Problemen führen kann. Diese kostenlose Vorlage ermöglicht eine rechtssichere Dokumentation und bündelt alle wichtigen Notfall-Informationen auf einem Blatt. Kostenlose Alarmplan-Vorlage herunterladen

Entscheidung fällt am Freitag im Bundesrat

Die Uhr tickt: Der Bundesrat berät in seiner Sitzung am 6. März 2026 über das Gesetz. Die Position der Länder scheint klar: Mehrere Fachausschüsse haben sich bereits für die Absenkung der Schwelle auf 150.000 ausgesprochen. Sie folgen damit der Argumentation der Kommunen, dass auch ländliche und mittelgroße Infrastrukturen geschützt werden müssen.

Sollte der Bundesrat Änderungen fordern, muss der Vermittlungsausschuss angerufen werden. Die Bundesregierung verteidigt die höhere Schwelle bisher mit dem Argument der Wirtschaftlichkeit und der Vermeidung übermäßiger Bürokratie für kleinere Betreiber. Der Druck von Ländern und Kommunen könnte sie nun zum Einlenken zwingen.

Paradigmenwechsel in der Infrastruktursicherheit

Hinter dem Streit um die Einwohnerzahl verbirgt sich ein grundlegender Wandel. Bisher war der Schutz kritischer Infrastrukturen in Deutschland oft freiwillig und sektorspezifisch geregelt. Das KRITIS-Dachgesetz schafft erstmals einen verbindlichen, sektorübergreifenden Rahmen für die physische Resilienz in elf Schlüsselbereichen – von Energie und Wasser über Verkehr und Gesundheit bis zur öffentlichen Verwaltung.

Für die Betreiber bedeutet dies eine doppelte Belastung: Parallel zur NIS2-Richtlinie für Cybersicherheit müssen sie nun auch ihre physische Sicherheit nachweisbar aufbauen. Unabhängig vom finalen Schwellenwert zeichnet sich ab: Die Ära freiwilliger Maßnahmen ist vorbei, verbindliche und überprüfbare Resilienz wird zum Standard.

(05.03.2026)

Trading