Cybervize - Cybersecurity Beratung

Governance und Zuständigkeiten bei physischer KRITIS-Resilienz: BBK und BSI im Zusammenspiel

KRITIS & CERCEOCISOLeiter Sicherheit/ResilienzCompliance- und Risikoverantwortliche

Kernaussage

Die Regulierung kritischer Infrastrukturen in Deutschland hat zwei getrennte Steuerungsstränge, die nicht vermischt werden dürfen. Die physische, organisatorische All-Gefahren-Resilienz folgt der CER-Richtlinie (EU) 2022/2557 und dem deutschen KRITIS-Dachgesetz; die Cyber- und IT-Sicherheit folgt NIS2 und dem BSIG.

Für die Zuständigkeiten heißt das: physisch ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) federführend für Resilienz und Aufsicht, cyber bleibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zentrale Stelle. Registrierung und Meldung wirken über eine gemeinsame Stelle von BBK und BSI zusammen. Die Leitungsebene verantwortet, dass diese Doppelstruktur intern in einer konsistenten Governance zusammenläuft.

Problem in der Praxis

Viele Betreiber sind sowohl NIS2- als auch KRITIS-Dachgesetz-pflichtig. Intern kümmert sich der CISO um Cyber und der Werkschutz um Zutritt; das Gesamtbild physischer Resilienz verantwortet jedoch niemand.

Typisch ist die Annahme, eine bestehende ISO/IEC-27001-Zertifizierung oder ein nach BSIG vorgelegter Nachweis decke die physische Resilienzpflicht automatisch ab. Das ist falsch: Der All-Gefahren-Ansatz umfasst Naturgefahren, technisches und menschliches Versagen, Sabotage, Terror und hybride Bedrohungen; Cyber ist nur ein Ausschnitt.

Hinzu kommt, dass einzelne Details der Rechtslage noch zu konkretisieren sind. Das KRITIS-Dachgesetz ist als nationale Umsetzung der CER-Richtlinie geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Ausnahme: Paragraf 14 Absatz 3 bis 5 tritt erst am 01.01.2030 in Kraft; Quelle: gesetze-im-internet.de/kritisdachg). Einzelne Detailfristen und der genaue Sektor-Zuschnitt unterhalb des Gesetzes sind vor Ableitung interner Fristen an der amtlichen Quelle und der Rechtsverordnung zu verifizieren.

CISO-Einordnung

Aus Managementsicht sind drei Fragen zu trennen.

Wer ist wofür zuständig? Physische Resilienz und Aufsicht liegen federführend beim BBK, Cyber beim BSI, Registrierung und Vorfallmeldung bei der gemeinsamen Stelle BBK/BSI. Die Detailaufteilung zwischen Bund und Ländern ist in Teilen noch zu prüfen.

Bin ich betroffen? Adressaten sind Betreiber kritischer Anlagen sowie kritische Einrichtungen von besonderer europäischer Bedeutung. Primäres Kriterium ist ein Regel-Schwellenwert von 500.000 versorgten Personen je Anlage, ergänzt um qualitative Einzelfallkriterien. Sektorale Detailschwellen unterhalb des Regelwerts stehen in untergesetzlichen Verordnungen und sind zu prüfen.

Was muss ich nachweisen? Die Regulierung ist eine Pflicht (Was und Wozu), kein Zertifizierungsschema, und schreibt keine Methode vor. Die Leitungsebene entscheidet selbst, welche Normen das Wie liefern und wie der Nachweis gegenüber der Aufsicht erbracht wird.

Umsetzungsperspektive

Die Governance sollte entlang der Pflichtenkette aufgebaut werden, nicht entlang der Behörden:

  • Betroffenheit klären: Anlagen gegen Schwellenwert und Sektorzuschnitt prüfen; der genaue deutsche Sektor-Zuschnitt, insbesondere die Behandlung von IT/TK und Finanzwesen, ist am Gesetzestext zu verifizieren.
  • Registrierung vorbereiten: Eintrag über die gemeinsame Stelle BBK/BSI, spätestens drei Monate nach Einstufung, frühestens ab der CER-Identifizierungsfrist 17.07.2026.
  • Risikobewertung etablieren: systematische All-Gefahren-Bewertung. Das Gesetz nennt eine Mindestkadenz von vier Jahren; kursierende 9-/10-Monats-Fristen nach Einstufung sind nicht gesichert und am Gesetz zu prüfen.
  • Resilienzmaßnahmen verankern: Objekt- und Zutrittsschutz, Notfall- und Krisenmanagement, Redundanz und Ersatzversorgung, Personalsicherheit, Wiederanlauf.
  • Meldewege scharf stellen: erhebliche Störungen unverzüglich, Erstmeldung spätestens binnen 24 Stunden, ausführlicher Bericht binnen eines Monats.
  • Synergien nutzen: Behörden können auf Teile bestehender BSIG-Nachweise und branchenspezifischer Standards zurückgreifen, um Doppelnachweise zu vermeiden.

Typische Fehler

  1. BBK- und BSI-Zuständigkeit werden vermischt, sodass physische Pflichten fälschlich als Cyberthema behandelt werden.
  2. Eine bestehende ISMS-Zertifizierung wird als Nachweis für physische All-Gefahren-Resilienz unterstellt.
  3. Interne Fristen werden aus sekundären oder veralteten Datumsangaben statt aus der amtlichen Quelle abgeleitet.
  4. Die Registrierung wird verschleppt, weil unklar ist, über welche Stelle und bis wann sie zu erfolgen hat.
  5. Die Geschäftsleitung delegiert die Verantwortung vollständig nach unten, obwohl die Pflichten an die Leitungsebene gerichtet sind.

Risiken und Trade-offs

Die größte Spannung liegt zwischen Integration und Trennung: Eine integrierte Resilienz-Governance vermeidet Lücken und Doppelarbeit, darf aber die behördliche Trennung von physischer und Cyber-Welt nicht verwischen.

Ein zweiter Trade-off betrifft Geschwindigkeit gegen Belastbarkeit: Solange Schwellen, Sektorzuschnitt und Detailfristen zu prüfen sind, erzeugt Vorpreschen mit Annahmen Korrekturaufwand, zu langes Abwarten gefährdet die Fristen.

Entscheidungspunkte

  • Wer wird benannter Resilienz-Owner mit Mandat über Cyber- und physische Pflichten hinweg?
  • Welche Anlagen sind betroffen, gemessen am Regel-Schwellenwert und am zu prüfenden Sektorzuschnitt?
  • Welche BSIG-Nachweise lassen sich anrechnen, und wo bleibt eigenständiger physischer Nachweis nötig?

Praktische Empfehlungen

  1. Etablieren Sie eine einzige Resilienz-Governance mit klarem Owner über physische und Cyber-Pflichten, ohne die behördliche Trennung aufzuheben.
  2. Der Inkrafttretensstand des KRITIS-Dachgesetzes ist amtlich belegt (in Kraft seit 17.03.2026, Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66; Ausnahme: Paragraf 14 Absatz 3 bis 5 ab 01.01.2030); behandeln Sie als zu prüfen markierte Schwellen und Detailfristen vor jeder Planung weiterhin ausdrücklich als vorläufig und gleichen Sie sie an der amtlichen Quelle (gesetze-im-internet.de) ab.
  3. Bereiten Sie Registrierung und 24-Stunden-Erstmeldung organisatorisch vor, mit benannten Kontakten zur gemeinsamen Stelle BBK/BSI.
  4. Nutzen Sie ISO 22301, ISO 31000 und IT-Grundschutz als Wie, nicht als Ersatz der gesetzlichen Pflicht.

Relevante Normreferenzen

  • CER-Richtlinie (EU) 2022/2557 vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen (Aufhebung der Richtlinie 2008/114/EG), ABl. L 333 vom 27.12.2022; EU-Recht, zitierfähig (EUR-Lex), genaues Inkrafttretensdatum zu prüfen.
  • KRITIS-Dachgesetz (KRITIS-DachG) als nationale Umsetzung der CER-Richtlinie; geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Ausnahme: Paragraf 14 Absatz 3 bis 5 ab 01.01.2030; amtliche Quelle gesetze-im-internet.de/kritisdachg).
  • BSIG / NIS2: komplementärer Cyber-Strang, nicht deckungsgleich; Schnittstelle über anrechenbare Nachweise und branchenspezifische Standards.
  • DORA (Verordnung (EU) 2022/2554) als lex specialis für den Finanzsektor.
  • ISO 22301 (BCM), ISO 31000 (Risikomanagement), ISO/IEC 27001 (ISMS) sowie IT-Grundschutz-Bausteine: Wie-Referenzen, ausschließlich referenziert.
  • NIST Cybersecurity Framework und SP-800-Reihe: konzeptionelle Mapping-Brücke ohne direkten Rechtsbezug.

Häufige Fragen

Wer ist für physische KRITIS-Resilienz zuständig, BBK oder BSI?+

Federführend für physische Resilienz und Aufsicht ist das BBK; das BSI bleibt für Cyber zuständig. Registrierung und Meldung laufen über eine gemeinsame Stelle BBK/BSI.

Bis wann muss ich mich registrieren?+

Über die gemeinsame Stelle BBK/BSI, spätestens drei Monate nach Einstufung und frühestens ab der CER-Identifizierungsfrist 17.07.2026; den verbindlichen Stand an der amtlichen Quelle prüfen.

Ist das KRITIS-Dachgesetz schon in Kraft?+

Ja. Es ist geltendes Bundesrecht (Gesetz vom 11.03.2026, BGBl. 2026 I Nr. 66, in Kraft seit 17.03.2026; Quelle: gesetze-im-internet.de/kritisdachg). Eine Ausnahme bildet Paragraf 14 Absatz 3 bis 5, der erst am 01.01.2030 in Kraft tritt.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen KRITIS & CER prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: kritis-005.