Kritische Anlagen – kritische Haftung? Auswirkungen des KRITIS-Dachgesetzes

Der Anschlag auf das Berliner Stromnetz in der ersten Januarwoche 2026 zeigte eindrücklich, wie vulnerabel die kritische Infrastruktur in Deutschland ist und welche schwerwiegenden Folgen eine Störung haben kann: Der Brandanschlag auf eine Kabelbrücke durch eine mutmaßlich linksextremistische Gruppe sorgte für den längsten Stromausfall in Berlin seit dem Ende des Zweiten Weltkriegs. Etwa 45.000 Haushalte und 2.200 Unternehmen im Berliner Südwesten blieben tagelang ohne Strom. 

Der europäische und der deutsche Gesetzgeber versuchen vor diesem Hintergrund bereits seit Längerem, für einen besseren Schutz kritischer Infrastruktur zu sorgen. Für virtuelle Bedrohungen der IT-Sicherheit dienen hierzu die NIS-2-Richtlinie und das deutsche NIS-2-Umsetzungsgesetz. Besserer Schutz vor physischen Bedrohungen soll durch die CER-Richtlinie[1] geschaffen werden. Das am 29. Januar 2026 durch den Bundestag beschlossene KRITIS-Dachgesetz (KRITIS-DachG) dient der Umsetzung der CER-Richtlinie. Anders als das NIS-2-Umsetzungsgesetz schafft es erstmals eigenständige und sektorenübergreifende Regelungen auch für physische Resilienzmaßnahmen.

Der jüngst erfolgte Beschluss des Gesetzes durch den Bundestag bietet Anlass, die Hintergründe, Ziele und Maßnahmen des Gesetzes mit besonderem Blick auf seine Implikationen für die versicherungsnehmende Wirtschaft näher zu beleuchten.

1. KRITIS-DachGesetz – Hintergründe, Ziele und Maßnahmen

Mit dem KRITIS-DachG verpflichtet der Gesetzgeber Betreiber von Anlagen, die der Versorgungssicherheit der Bevölkerung dienen, zu einem besseren (physischen) Schutz dieser Anlagen.

1.1 Hintergrund 

Das KRITIS-DachG dient nicht allein der Umsetzung der CER-Richtlinie. Der bessere Schutz kritischer Infrastruktur ist auch ein nationalstaatliches Ziel der aktuellen Bundesregierung, vereinbart im Koalitionsvertrag.

Bereits die Ampelkoalition war mit der bis zum 17. Oktober 2024 umzusetzenden CER-Richtlinie befasst. Ihr Bruch verzögerte das Gesetzgebungsverfahren jedoch deutlich, so dass bereits seit November 2024 ein durch die Kommission angestrengtes Vertragsverletzungsverfahren lief.

Am 29. Januar 2026 ist das Gesetz[2] nunmehr durch den Bundestag beschlossen worden. Teils ist dabei noch vorab geäußerte Kritik in der vom Innenausschuss geänderten Fassung[3] berücksichtigt worden: So wurden etwa die möglichen Bußgelder auf bis zu eine Million Euro erhöht und länderspezifische Möglichkeiten zur Definition eigener Schwellenwerte geschaffen. Die in der CER-Richtlinie vorgesehene Möglichkeit staatlicher finanzieller Unterstützung der Betreiber wurde gleichwohl nicht umgesetzt, auch wenn die finanzielle Mehrbelastung der Unternehmen ein wesentlicher Kritikpunkt war.[4]

1.2 Ziele 

Im Kern laufen die Ziele von CER-Richtlinie und KRITIS-DachG gleich: Bezweckt wird die Gewährleistung von Diensten, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung sind – beispielsweise Energie-, Wasser- und Gesundheitsversorgung. Dazu sollen die diese Dienste erbringenden Einrichtungen resilienter werden gegen physische Bedrohungen wie etwa Terror, Sabotage oder Unwetter.[5] Um welche Art von Bedrohung es sich handelt, ist dabei irrelevant. Die deutsche Bezeichnung als „Dach“-Gesetz entstammt dem übergreifenden Rahmen der CER-Richtlinie, die mit einem All-Gefahren-Ansatz jede Form von Gefährdung berücksichtigt – unabhängig davon, ob sie durch Naturgefahren oder Menschen, fahrlässig oder vorsätzlich, verursacht wird.[6]

1.3 Anwendungsbereich

Vom KRITIS-DachG erfasst sind insbesondere (aber nicht nur) die Branchen Energie, Transport, Finanzwesen, Gesundheitswesen, Ernährung sowie IT und Telekommunikation. Insgesamt fallen nach Schätzung des Gesetzgebers die Betreiber von rund 1.700 kritischen Anlagen in Deutschland in den Anwendungsbereich des Gesetzes.[7]

Die Rechtsverordnung, mit der das Bundesinnenministerium die betroffenen Kategorien von Anlagen sowie die Schwellenwerte zur Versorgungsreichweite bestimmt, stehen noch aus. Maßgeblich ist bei der Einstufung die Zahl der Einwohner, die die von der Anlage erbrachte Leistung in Anspruch nehmen ebenso wie die mögliche Dauer eines Ausfalls, seine geografische Reichweite und die potenziellen Folgen für weitere Branchen (Welchen Marktanteil hat die Anlage? Gibt es Alternativen? etc.). Bund und Länder können unabhängig von den festzulegenden Schwellenwerten und Kategorien einzelfallabhängig einzelne Einrichtungen und Anlagen als kritisch im Sinne des Gesetzes einstufen. 

Im Regierungsentwurf schlug der Gesetzgeber vor, Schwellenwerte an einer Zahl von 500.000 von einem Ausfall betroffener Personen festzumachen.[8] Das kritisierte unter anderem der Bundesverband der Energie und Wasserwirtschaft in einer Stellungnahme[9]: Ein derart hoher Schwellenwert würde bedeuten, dass praktisch keine Anlage in den Anwendungsbereich des Gesetzes fiele. Vielmehr müssten jenseits des Begriffs der „Anlage“ die versorgungsrelevanten Zusammenhänge der Infrastruktur als Ganzes in den Blick genommen werden.

Insgesamt dürften deutlich weniger Unternehmen vom KRITIS-DachG betroffen sein als von seinem „digitalen großen Bruder“, dem BSIG bzw. NIS-2-Umsetzungsgesetz, das für rund 8.250 als besonders wichtige eingestufte und 21.600 als wichtig eingestufte Einrichtungen gilt.[10]

1.4 Zeitlicher Rahmen

Das Gesetz tritt einen Tag nach der Verkündung im Bundesgesetzblatt in Kraft. Zum Redaktionsschluss war eine Veröffentlichung noch nicht erfolgt, ist aber noch im Frühjahr 2026 zu erwarten.

1.5 Maßnahmen

Anlagen-Betreiber müssen aktuell die Rechtsverordnung abwarten, in der die Erheblichkeit näher definiert wird, und sich – sofern sie nach eigener Einschätzung von der Definition erfasst sind – spätestens drei Monate nach dem in der Rechtsverordnung genannten Stichtag beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren (§ 8 KRITIS-DachG).

Im Anschluss an die verpflichtende Registrierung haben Betreiber regelmäßige Risikoanalysen und-bewertungen durchzuführen (§ 12 KRITIS-DachG).

Auf dieser Grundlage müssen sie dann gem. § 13 KRITIS-DachG Maßnahmen zur Gewährleistung der Resilienz treffen und diese in einem Resilienzplan darstellen. Insoweit gilt eine Besonderheit: Das KRITIS-DachG macht hier lediglich abstrakte Vorgaben und gibt einige unverbindliche Beispiele. Entscheidend ist, dass es sich um geeignete und verhältnismäßige Maßnahmen handelt. Es besteht zudem die Möglichkeit, dass branchenspezifische Resilienzstandards durch die Wirtschaftsverbände erarbeitet und vom Gesetzgeber mittels Rechtsverordnung als Mindestanforderungen übernommen werden. Alternativ kann der Gesetzgeber solche Mindestanforderungen nach § 14 Abs. 1 KRITIS-DachG auch selbst bestimmen. 

Sollte es dann tatsächlich zu Vorfällen oder erheblichen Störungen kommen, bestehen gem. § 18 KRITIS-DachG Melde- und Austauschpflichten mit den Behörden.

2. Auswirkungen auf Haftung und Versicherungsschutz der Betreiber

Das KRITIS-DachG hat nicht nur praktische und organisatorische Folgen für die Betreiber kritischer Anlagen, sondern kann auch Auswirkungen auf Haftung und Versicherungsschutz der Unternehmen und ihrer Entscheidungsträger haben. 

Ein Schadenszenario:

Ein Versorgungsbetrieb Ennärgi betreibt ein Umspannwerk, das durch die Behörden als kritische Anlage eingestuft wird. Gemäß § 13 KRITIS-DachG sind Betreiber kritischer Anlagen zum physischen Schutz der Anlage, etwa auch durch Überwachungsgeräte, Zäune und Zugangskontrollen verpflichtet. Ennärgi hat das Umspannwerk durch einen Zaun geschützt, dessen Zufahrt durch Security-Mitarbeiter kontrolliert wird. Durch Personalengpässe des Security-Dienstleisters kommt es immer wieder zu mehrstündigen Phasen, in denen keine Zugangskontrolle stattfindet und die Zufahrt lediglich durch eine Schranke geschützt ist. Der Geschäftsführer der Ennärgi ist über diese Probleme in Kenntnis, versäumt aber die Behebung. 

Es kommt zu einem Brandanschlag durch Unbekannte auf das Umspannwerk. In der Folge sind zahlreiche Haushalte sowie mehrere mittelständische Betriebe mehrere Tage ohne Strom. Der Sachschaden beträgt rund EUR 20 Mio. Durch die Ermittlungsbemühungen der Staatsanwaltschaft wird dem BBK als sanktionierender Behörde bekannt, dass Ennärgi die gesetzlichen Resilienzmaßnahmen unzureichend implementierte. Die Behörde verhängt ein Bußgeld in Höhe von EUR 500.000,00. Hinzu kommen Kosten für interne Untersuchungen und die Vertretung im Bußgeldverfahren in gleicher Höhe. Dritte verlangen nun Schadensersatz. Der Sachversicherer von Ennärgi wendet eine grob fahrlässige Verletzung gesetzlicher Sicherheitsvorschriften ein, verursacht durch einen Repräsentanten. Dem Geschäftsführer drohen Regressforderungen in Millionenhöhe.

2.1 Haftungsrechtliche Folgen

Zwar schafft das KRITIS-DachG keinen neuen Haftungstatbestand gegenüber Dritten, aber es konkretisiert bestehende Sorgfaltspflichten: Vernachlässigt ein Betreiber die vorgeschriebenen Sicherheitsmaßnahmen und kommt es deshalb zu einem Vorfall, steigt das Haftungsrisiko erheblich.

Spezialgesetzliche Haftungsregeln

In vielen KRITIS-Sektoren ist die Haftung bereits spezialgesetzlich begrenzt, etwa in der Energiewirtschaft: Bei Stromausfällen haften primär die Netzbetreiber auf vertraglicher Grundlage gegenüber Endkunden, nicht aber die Stromerzeuger.[11] Die Haftungshöchstgrenzen pro Schadenfall und insgesamt legt § 18 Niederspannungsanschlussverordnung (NAV) fest. An den spezialgesetzlichen Rahmenbedingungen (und der bisherigen haftungsrechtlichen Rechtsprechung zu diesen Sonderregimen) ändert das KRITIS-DachG unmittelbar nichts. 

Einhaltung der KRITIS-Auflagen maßgeblich

Dort wo eine vertragliche oder gesetzliche Haftung für Versorgungsausfälle bestehen kann, dürfte künftig ein Verstoß gegen KRITIS-Auflagen als Anscheinsbeweis für Fahrlässigkeit gewertet werden. Geschädigte Dritte – etwa Kunden oder Anwohner, die durch einen Infrastrukturausfall Schaden erleiden – könnten den Betreiber auf Schadensersatz in Anspruch nehmen, mit dem Argument, dass der Anlagenbetreiber die gesetzlichen Resilienzpflichten (Schutzkonzept, Notfallpläne etc.) missachtete. Die Einhaltung der KRITIS-Vorgaben kann also im Haftungsprozess zum Kriterium dafür herangezogen werden, ob der Betreiber schuldhaft gehandelt hat. 

Geldbußen

Betreiber kritischer Infrastrukturen müssen bei der Missachtung behördlicher Anordnungen mit Geldbußen von bis zu EUR 1 Mio. rechnen (§ 24 Abs. 2 KRITIS-DachG). Mindestbußen beginnen bei EUR 100.000,00. Gegenüber dem ursprünglichen Referentenentwurf aus dem Herbst 2025, der Beträge zwischen EUR 50.000,00 und maximal 500.000,00 vorsah, hat der Innenausschuss des Bundestags die Bußgelder verdoppelt – offenbar um die Dringlichkeit des Schutzes wichtiger Anlagen noch einmal politisch zu verdeutlichen.

Haftung der Geschäftsleiter

Das KRITIS-DachG richtet sich ausdrücklich auch an die Unternehmensleitung. Nach § 20 KRITIS-DachG sind Geschäftsleiter dafür verantwortlich, die Resilienzmaßnahmen umzusetzen und eine dafür geeignete Organisation sicherzustellen. Damit erweitert das KRITIS-DachG den Pflichtenkatalog der Geschäftsleiter massiv. 

Die Sorgfaltsmaßstäbe für Geschäftsführer und ihre Haftung gegenüber der Gesellschaft werden an den gesetzlichen Vorgaben ausgerichtet (§ 93 AktG bzw. § 43 GmbHG), falls dem Unternehmen durch mangelnde KRITIS-Compliance ein Schaden entsteht. Das bedeutet: Für einen Vermögensschaden des Anlagenbetreibers infolge einer unzureichenden Umsetzung der KRITIS-Schutzmaßnahmen haftet der Manager unbegrenzt mit seinem Privatvermögen.

2.2 Auswirkungen auf den Versicherungsschutz

Betreiber kritischer Anlagen sollten die Folgen der verschärften gesetzlichen Pflichten für ihren Versicherungsschutz prüfen. Sowohl industrielle Sachversicherungen wie auch D&O-Versicherungen können betroffen sein.

Sach- und Betriebsunterbrechungsversicherung des Betreibers

Industrielle Sach- und Betriebsunterbrechungsversicherungen legen dem versicherten Unternehmen regelmäßig Obliegenheiten auf. Eine Verletzung dieser Obliegenheiten kann einen (teilweisen) Verlust des Versicherungsschutzes zur Folge haben.

Eine Standardobliegenheit in der Sachversicherung ist die Einhaltung „aller gesetzlichen, behördlichen sowie vertraglich vereinbarten Sicherheitsvorschriften“. Eine solche Klausel enthalten beispielsweise die Allgemeinen Musterbedingungen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zur Feuer-Betriebsunterbrechung-Versicherung (FBUB 2010).[12] Die Wirksamkeit einer derart umfassenden und unbestimmten Generalklausel hat die juristische Literatur zwar mit guten Gründen vielfach angezweifelt, der Bundesgerichtshof bestätigte jedoch jüngst ihre Wirksamkeit.[13] Voraussetzung sei – so die Karlsruher Richter – dass die in Bezug genommene gesetzliche oder behördliche Sicherheitsvorschrift das Ziel habe, das versicherte Risiko vor einer versicherten Gefahr zu schützen.

Grundsätzlich lassen sich aus dem KRITIS-DachG selbst keine konkreten Sicherheitsvorschriften ableiten. Der Gesetzgeber überlässt es im Rahmen der Zielsetzung nach § 13 KRITIS-DachG den Betreibern, für ihre Anlagen „geeignete“ Maßnahmen zu entwickeln. Die gemäß § 14 Abs. 1 KRITIS-DachG per Verordnung zu erlassenden Mindeststandards könnten Gerichte allerdings als gesetzliche Vorschriften im Sinne der Sicherheits-Obliegenheit interpretieren. Auch dienen sie dem Schutz des versicherten Risikos, der physischen Integrität der Anlage und dem Erhalt ihrer Leistung. Eine Verletzung der künftigen KRITIS-Mindeststandards kann demnach eine Kürzung der Versicherungsleistung im Schadenfall zur Folge haben.

Wichtig: Rein brancheneigene Resilienzstandards nach Art einer freiwilligen Selbstverpflichtung stellen keine gesetzlichen oder behördlichen Sicherheitsvorschriften dar, auch wenn sie vom BBK anerkannt werden. Denn der BGH stellte klar, dass nur „rechtlich verbindliche Anordnungen staatlichen Ursprungs“ als gesetzliche oder behördliche Vorschriften anzusehen sind.[14]

D&O-Versicherung

Die D&O-Versicherung gewinnt angesichts des steigenden Haftungsrisikos der Geschäftsleiter an Bedeutung. Betroffene Unternehmen sollten die Versicherungssummen entsprechend überprüfen und ggf. anpassen. Sachschäden, Betriebsunterbrechungsschäden und Haftpflichtschäden an Großanlagen können schnell Schadenhöhen im Milliardenbereich erreichen.

Das KRITIS-DachG sowie die begleitenden Mindeststandards legen einen Pflichtenkatalog für die Entscheidungsträger dar, an dem sich der Manager wird messen lassen müssen. Versicherer könnten bei einer Verletzung der KRITIS-Mindeststandards einwenden, das Betreiber-Management habe seine Pflichten wissentlich verletzt. Eine wissentliche Pflichtverletzung führt zum Verlust des Versicherungsschutzes. Eine sorgfältige Dokumentation und regelmäßige Kontrolle aller zum Schutz der kritischen Anlagen umgesetzten Maßnahmen gewinnt daher an existenzieller Bedeutung für die verantwortlichen Manager. Nur mit klar dokumentierten Belegen kann der Manager den Vorwurf des Organisationsverschuldens ausräumen. 

Eine solche Dokumentation hilft im Übrigen auch dem Unternehmen bei der Verteidigung in Ordnungswidrigkeitenverfahren wegen vermeintlicher Missstände.

3. Ausblick

Nach langem Vorlauf gewinnt der Schutz kritischer Anlagen durch das KRITIS-DachG nun endlich Kontur. Weitere Klarheit für Anlagenbetreiber werden die das Gesetz begleitenden Rechtsverordnungen und Mindeststandards bringen. Angesichts der allgegenwärtigen Bedrohungslage durch hybride staatliche Angriffe, Terrorismus und Naturkatastrophen ist die Dringlichkeit für zusätzliche Anstrengungen zweifellos gegeben.

Unternehmensleiter aus betroffenen Branchen wie Energie, Versorgung, Kommunikation und Gesundheitswesen sollten prüfen, ob Einrichtungen ihres Unternehmens unter den Begriff der kritischen Anlage fallen und im Zweifelsfall unverzüglich Maßnahmen treffen. Bereits jetzt stellt das BBK umfangreiche Informationen und Pläne zur Verfügung, die Betreibern bei der Umsetzung helfen können.

Für Manager aus KRITIS-Sektoren ist die Beschäftigung mit Schutzkonzepten und Resilienzplänen auch im eigenen Interesse. Nur so vermeiden sie, für die finanziellen Folgen unzureichend geschützter Anlagen persönlich haften zu müssen.

Autor: Dr. Mark Wilhelm

Dieser Beitrag erschien zuerst in der Zeitschrift Die VersicherungsPraxis 03-2026, S. 38 ff.

Literatur und Quellen:

[1] Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates.

[2] Regierungsentwurf, BT-Drs. 21/2510: Deutscher Bundestag Drucksache 21/2410 Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen

[3] Beschlussempfehlung und Bericht des Innenausschusses, BT-Drs. 21/3906.

[4] Deutscher Bundestag, Kritische Anmerkungen zum Resilienz-Gesetzentwurf, https://www.bundestag.de/dokumente/textarchiv/2025/kw45-de-kritische-anlagen-1116726; Becker, IR 2024, 270, 272.

[5] Erwägungsgrund Nr. 43 CER-Richtlinie.

[6] Regierungsentwurf, BT-Drs. 21/2510, S. 2.

[7] Regierungsentwurf, BT-Drs. 21/2510, S. 37.

[8] Regierungsentwurf, BT-Drs. 21/2510, S. 45.

[9] Stellungnahme des BDEW vom 4. September 2025: https://www.bdew.de/media/documents/BDEW-Stellungnahme-KRITIS-DachG_1.pdf

[10] Regierungsentwurf, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BT-Drs. 21/1501, S. 122.

[11] Bacher, in: Geigel. Haftpflichtprozess, 29. Aufl. 2024, Kap. 12 Ausschluss der Haftung Rn. 37.

[12] Vgl. Abschnitt B § 8 Abs. 1 FBUB

[13] BGH, Urt. v. 25.9.2024 – IV ZR 350/22, NJW 2024, 3644.

[14] BGH, IV ZR 350/22, Rn. 24