Bundestag verabschiedet Kritis-Dachgesetz: Wie der Schutz kritischer Infrastruktur Energieversorger, Wasserwerke und Gesundheitssektor transformiert

Deutschland hat einen entscheidenden Schritt zur Sicherung seiner kritischen Infrastruktur gemacht. Der Bundestag hat am 29. Januar 2026 das Kritis-Dachgesetz verabschiedet – ein Gesetz, das erstmals sektorenübergreifend und bundeseinheitlich regelt, wie Betreiber von Energie-, Wasser-, Gesundheits- und anderen lebensnotwendigen Infrastrukturen ihre Anlagen besser schützen müssen.[1] Für Investoren bedeutet dies erhebliche Investitionszyklen in Sicherheitstechnologie, neue Geschäftschancen für Cybersecurity-Unternehmen und gleichzeitig steigende Betriebskosten für etablierte Infrastruktur-Betreiber.

Das Gesetz wurde von Union, SPD und AfD unterstützt und implementiert eine EU-Richtlinie zur Stärkung der Resilienz kritischer Anlagen. Nach jahrelanger Verzögerung unter der Ampel-Koalition hat die aktuelle Bundesregierung das Projekt vorangetrieben – nicht zuletzt beschleunigt durch den Terroranschlag auf die Berliner Stromversorgung im Januar 2026, der die Verwundbarkeit der deutschen Infrastruktur eindrucksvoll demonstrierte.

Die neuen Verpflichtungen für Betreiber kritischer Infrastrukturen

Das Kritis-Dachgesetz verpflichtet Betreiber kritischer Anlagen zu umfassenden Schutzmaßnahmen. Diese reichen von physischen Sicherungen bis zu IT-Schutz und Notfallplanung. Konkret müssen Unternehmen:

• Ihre kritischen Anlagen registrieren lassen und dabei nachweisen, dass sie mehr als 500.000 Einwohner versorgen
• Risikoanalysen regelmäßig durchführen und dokumentieren
• Resilienzpläne erstellen, die Ausfallszenarien adressieren
• Technische Sicherungen wie Zäune, Alarmanlagen und Notstromversorgung implementieren
• Lieferketten absichern und kritische Abhängigkeiten reduzieren
• Sicherheitsvorfälle dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) melden

Besonders relevant für Krankenhäuser, Pflegeeinrichtungen, Leitstellen und Wasserwerke sind die neuen Mindeststandards für Notstromversorgung. Diese Einrichtungen müssen künftig bundesweit einheitliche Vorgaben erfüllen, um bei großflächigen Stromausfällen ihre kritischen Funktionen aufrechtzuerhalten.[2]

Bei Verstößen gegen diese Verpflichtungen werden Bußgelder fällig. Die Europäische Kommission hat das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert – ein Signal für die Ernst der Lage.

Betroffene Sektoren: Ein breites Spektrum deutscher Wirtschaft

Das Gesetz erstmals definiert bundeseinheitlich, welche Sektoren als kritische Infrastruktur gelten:

• Energie (Stromnetze, Kraftwerke, Gasversorgung)
• Transport und Verkehr (Schienen, Straßen, Flugverkehr)
• Wasser (Trinkwasserversorgung, Abwasserentsorgung)
• Gesundheit (Krankenhäuser, Pflegeeinrichtungen)
• Finanzen und Versicherungen
• Informationstechnik und Telekommunikation
• Ernährung und Landwirtschaft
• Abfallentsorgung und Siedlungswirtschaft
• Weltraum und Satellitentechnologie
• Öffentliche Verwaltung

Diese Breite zeigt, wie tiefgreifend die wirtschaftlichen Konsequenzen sein werden. Große Energieversorger wie die Betreiber von Fernwärme- und Stromnetzen müssen ebenso reagieren wie mittlere Wasserversorgungsunternehmen und Krankenhausbetreiber.

Wirtschaftliche Dimensionen: Milliardenkosten für Wirtschaft und Staat

Die finanziellen Lasten des neuen Gesetzes sind erheblich. Nach Schätzungen der Bundesregierung entstehen für die Bundesverwaltung einmalige Ausgaben von etwa 59 Millionen Euro sowie bis 2029 durchschnittlich 212 Millionen Euro jährlich an laufenden Kosten.[1] Die Wirtschaft trägt die deutlich höhere Last: 2,2 Milliarden Euro einmalig und danach 2,3 Milliarden Euro pro Jahr.

Diese Kosten werden hauptsächlich in folgende Bereiche fließen:

• Installation und Wartung physischer Schutzmaßnahmen (Zäune, Alarmanlagen, Zutrittskontrolle)
• Entwicklung und Implementierung von Cybersecurity-Systemen
• Beschaffung und Installation von Notstromkapazitäten (Batterien, Generatoren, Inselnetze)
• Erstellung von Risikobewertungen und Resilienzplänen durch externe Berater
• Personal und Schulung für neue Sicherheitsaufgaben
• Regelmäßige Übungen und Tests der Notfallpläne

Während kleinere Kommunen und Betreiber argumentierten, dass der Schwellenwert von 500.000 Einwohnern zu hoch sei, enthält das Gesetz eine Öffnungsklausel für die Bundesländer, die es ihnen ermöglicht, die Verpflichtungen auch auf kleinere Anlagen auszudehnen. Dies könnte die Kosten weiter nach oben treiben.

Gewinner und Verlierer im Markt

Das Kritis-Dachgesetz wird deutliche Gewinner und Verlierer an den Aktienmärkten schaffen:

Gewinner: Unternehmen der Cybersecurity und physischen Sicherheit werden von erhöhten Ausgaben für Schutzmaßnahmen profitieren. Hersteller von Notstromsystemen, Überwachungstechnologie und Cybersecurity-Software werden verstärkte Nachfrage sehen. Beratungsunternehmen und Ingenieurdienstleister, die Risikoanalysen und Resilienzpläne erstellen, werden ausgelastet. Hier sollten spezialisierte IT-Sicherheitsfirmen und Infrastruktur-Technologieanbieter im Fokus stehen.

Verlierer: Etablierte Energieversorger, Wasserwerke und Gesundheitseinrichtungen werden unter erhöhten Betriebskosten leiden. Diese müssen erhebliche IT-Investitionen tätigen, um die neuen Standards zu erfüllen. Insbesondere börsennotierte Versorgungsunternehmen mit dünneren Margen werden unter Druck geraten.

Kritische Punkte und politische Kontroversen

Das Gesetz ist nicht unumstritten. Die Grünen kritisierten den verabschiedeten Entwurf als „völlig entkernt