Kabinettsbeschluss zum KRITIS-Dachgesetz: eco sieht Eile geboten – aber ohne doppelte Pflichten

Der eco begrüßt das Voranschreiten in geopolitisch angespannten Zeiten, moniert aber fehlende Rechtsverordnung zu Schwellenwerten, drohende Doppelregulierungen sowie unklare Zuständigkeiten

[datensicherheit.de, 12.09.2025] Der eco – Verband der Internetwirtschaft e.V. nimmt Stellung zu dem am 10. September 2025 vom Bundeskabinett beschlossen Referentenentwurf für das „KRITIS-Dachgesetz“ (KRITIS DG): Damit sei der Weg für das weitere parlamentarische Verfahren freigemacht. Erstmals würden nun bundesweit einheitliche Vorgaben für den physischen Schutz Kritischer Infrastrukturen (KRITIS) geschaffen und die europäische CER-Richtlinie (Critical Entities Resilience Directive) in deutsches Recht umgesetzt.

Foto: eco

Ulrich Plate: Seine Wirkung wird das „KRITIS-Dachgesetz“ nur dann entfalten, wenn Zuständigkeiten klar geregelt sind und unnötige Doppelarbeit vermieden wird!

eco sieht noch „erhebliche Baustellen“

Der eco begrüßt die „schnelle Gesetzgebung angesichts geopolitischer Turbulenzen und des bereits laufenden Vertragsverletzungsverfahrens der EU“. Allerdings sieht er noch „erhebliche Baustellen“ – so fehlende Rechtsverordnungen, drohende Überschneidungen mit dem „NIS-2-Umsetzungsgesetz“ und unklare Zuständigkeiten zwischen Bund, Ländern sowie den Behörden Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und Bundesamt für Sicherheit in der Informationstechnik (BSI).

• „Eile ist notwendig, aber es darf nicht zu doppelten Pflichten für Unternehmen kommen!“, unterreicht Ulrich Plate, Leiter der eco-Kompetenzgruppe „Kritische Infrastrukturen“.

Kritisch bewertet der Verband zudem die vorgesehenen Sanktionsmechanismen, welche bislang noch „zu unbestimmt“ seien. Der eco fordert stattdessen ein „transparentes Stufenmodell“, welches zunächst Nachbesserungen ermögliche und erst danach Sanktionen vorsehe.

eco lobt einheitlichen Rahmen für den KRITIS-Schutz

Positiv hebt der Verband hervor, dass mit diesem Gesetz ein „einheitlicher Rahmen für den Schutz Kritischer Infrastrukturen“ geschaffen werde – über die Cybersicherheit hinaus auch gegen physische Gefahren wie Naturkatastrophen, Sabotage oder Terrorismus.

Entscheidend für die weitere Debatte sind laut eco nun folgende drei Punkte:

1. Rechtsverordnung zu kritischen Dienstleistungen und Schwellenwerten,
   damit Unternehmen ihre Pflichten klar einschätzen können.
2. Harmonisierung mit NIS-2,
   um Doppelregulierungen bei Risikoanalysen, Prüfungen und Meldepflichten zu vermeiden.
3. Klare Rollenverteilung zwischen Bund, Ländern, BBK und BSI,
   um Schnittstellenprobleme zu verhindern.

„Das ,KRITIS-Dachgesetz’ ist ein wichtiger Schritt für mehr Resilienz in Deutschland. Seine Wirkung wird aber nur dann entfaltet, wenn Zuständigkeiten klar geregelt sind und unnötige Doppelarbeit vermieden wird!“, so Plates aktuelles Fazit.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns / eco – Verband der Internetwirtschaft e.V. Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
KRITIS / KG-Leiter Ulrich Plate

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant