Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
KRITIS Beratung: Resilienz nach dem KRITIS-Dachgesetz | SECURAM

ISMS · KRITIS-Dachgesetz

KRITIS Beratung: Resilienz kritischer Anlagen

Das KRITIS-Dachgesetz ist seit dem 17. März 2026 in Kraft und verpflichtet rund 2.000 Betreiber kritischer Anlagen in zehn Sektoren zur Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Die Frist für die Registrierung endet am 17. Juli 2026. SECURAM unterstützt bei der Betroffenheitsprüfung, Risikobewertung nach dem All-Gefahren-Ansatz und der Erstellung eines Resilienzplans, der technische, organisatorische und sicherheitsbezogene Maßnahmen verbindet.

Erstgespräch vereinbaren Leistungsumfang ↓
KRITIS Kritische Infrastruktur

Ausgangslage

Warum KRITIS für den Mittelstand jetzt drängt

Das KRITIS-Dachgesetz schafft erstmals eine bundesweite Pflicht zur physischen Resilienz, unabhängig von bestehenden IT-Sicherheitsgesetzen.

Seit dem 17. März 2026 gilt das KRITIS-Dachgesetz (BGBl. 2026 I Nr. 66). Es setzt die europäische CER-Richtlinie 2022/2557 in nationales Recht um und verpflichtet Betreiber kritischer Anlagen in zehn Sektoren — von Energie und Gesundheit bis Trinkwasser und digitale Infrastruktur — zu konkreten Resilienzmaßnahmen. Rund 2.000 Unternehmen in Deutschland sind betroffen, sobald ihre Anlagen den Schwellenwert von 500.000 versorgten Personen erreichen. Die Registrierung beim BBK muss bis zum 17. Juli 2026 erfolgen.

Anders als das NIS-2-Umsetzungsgesetz, das auf digitale Cybersicherheit unter Aufsicht des BSI zielt, adressiert das KRITIS-Dachgesetz physische Resilienz — von Naturkatastrophen über Sabotage bis hin zu Lieferkettenausfällen. Beide Regelwerke können parallel für dasselbe Unternehmen gelten. Die Geschäftsleitung haftet nach §20 KRITIS-DachG persönlich; Bußgelder erreichen bis zu 1 Million Euro.

In unseren Projekten verbinden wir KRITIS-Resilienz mit dem bestehenden ISMS nach ISO 27001 und dem BCMS nach ISO 22301. Dadurch entsteht ein integriertes System, das sowohl digitale als auch physische Risiken abdeckt, ohne doppelte Dokumentation oder parallele Governance-Strukturen.

Leistungsumfang

KRITIS: Von der Betroffenheitsprüfung bis zum Resilienzplan

Wir begleiten KRITIS-Betreiber durch den gesamten Compliance-Prozess: von der ersten Analyse bis zur laufenden Überwachung.

01

Betroffenheitsprüfung

Prüfung, ob Ihre Anlage unter die KRITIS-Definition fällt. Analyse der Schwellenwerte, Sektorenzuordnung und Versorgungsgrad.

02

GAP-Analyse

Systematischer Abgleich Ihres Ist-Zustands gegen die Anforderungen des KRITIS-Dachgesetzes und der KRITIS-Verordnung.

03

BBK-Registrierung

Vorbereitung und Einreichung der digitalen Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.

04

Risikobewertung

Bedrohungs- und Schwachstellenanalyse nach dem All-Gefahren-Ansatz: Naturereignisse, technisches Versagen, Sabotage, Cybervorfälle.

05

Resilienzplanung

Erstellung des Resilienzplans mit BCM-Maßnahmen, physischer Sicherheit und Krisenkommunikation gemäß §11 KRITIS-DachG.

06

Dokumentation

Aufbau der Nachweisdokumentation für die BBK-Prüfung: Richtlinien, Verfahrensanweisungen, Risikobewertungsberichte.

07

Meldeverfahren

Einrichtung der Meldeprozesse für sicherheitsrelevante Vorfälle an das BBK nach den Vorgaben des KRITIS-Dachgesetzes.

08

Schulung und Awareness

Sensibilisierung der Geschäftsleitung für die persönliche Haftung nach §20 und Schulung der operativen Teams.

Ablauf

Von der Betroffenheitsprüfung zum Resilienzplan in 6 Phasen

Betroffenheitsprüfung

Woche 1–2

Prüfung der KRITIS-Definition anhand von Schwellenwerten und Sektorzuordnung. Klärung, ob Ihr Unternehmen unter das KRITIS-Dachgesetz fällt und welche Pflichten daraus entstehen.

Ergebnis: Betroffenheitsgutachten mit Sektorzuordnung

GAP-Analyse

Woche 2–4

Systematischer Vergleich bestehender Sicherheitsmaßnahmen mit den Anforderungen des KRITIS-Dachgesetzes. Identifikation von Handlungsfeldern und Priorisierung der Maßnahmen.

Ergebnis: GAP-Report mit priorisiertem Maßnahmenplan

BBK-Registrierung

Woche 4–5

Zusammenstellung der Registrierungsunterlagen und Einreichung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe über das digitale Portal.

Ergebnis: Registrierungsbestätigung des BBK

Risikobewertung

Woche 5–12

Durchführung der Risikobewertung nach dem All-Gefahren-Ansatz. Analyse natürlicher, technischer, menschengemachter und hybrider Bedrohungen für Ihre kritische Anlage.

Ergebnis: Risikobewertungsbericht nach §9 KRITIS-DachG

Resilienzplanung

Woche 10–20

Erstellung des Resilienzplans mit Maßnahmen zu BCM, physischer Sicherheit, Personalüberprüfung und Krisenkommunikation. Integration mit bestehendem ISMS und BCMS.

Ergebnis: Resilienzplan gemäß §11 KRITIS-DachG

Laufende Überwachung

Fortlaufend

Monitoring der Resilienzmaßnahmen, Pflege der Meldeprozesse und regelmäßige Überprüfung des Resilienzplans. Übergang in den ISBaaS-Betrieb für die kontinuierliche Betreuung.

Ergebnis: Regelmäßige Wirksamkeitsberichte und BBK-Nachweisdokumentation

Zeitangaben beziehen sich auf ein Erstprojekt im Mittelstand (100–500 Mitarbeiter). Bei bestehenden Managementsystemen oder erfahrenen Organisationen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Einmal aufbauen, mehrfach absichern

KRITIS-Betreiber unterliegen oft mehreren Regelwerken gleichzeitig. Ein integrierter Aufbau spart 20–40 % des Aufwands gegenüber isolierten Einzelprojekten.

KRITIS berührt als einzige ISMS-Norm alle drei weiteren Säulen: BCMS (Resilienzplan), RMS (Risikobewertung) und AIMS (KI-gestützte Anlagen). Ein bestehendes Managementsystem verkürzt die Umsetzung erheblich.

Weitere Standards in der ISMS-Säule
NIS-2 TISAX BSI IT-Grundschutz DORA CRA

Laufender Betrieb

ISBaaS — Externer Informationssicherheitsbeauftragter

Mit dem ISBaaS-Modell übernimmt SECURAM die Rolle des externen Informationssicherheitsbeauftragten. Das bedeutet: kontinuierliche Betreuung des ISMS, regelmäßige interne Audits, Berichterstattung an die Geschäftsleitung und laufende Anpassung an regulatorische Änderungen, ohne eigenes Vollzeit-Personal binden zu müssen.

Für KRITIS-Betreiber ist der ISBaaS besonders relevant, weil das KRITIS-Dachgesetz eine fortlaufende Überwachung der Resilienzmaßnahmen und regelmäßige Nachweise gegenüber dem BBK verlangt. Der ISBaaS stellt sicher, dass diese Pflichten dauerhaft und nachweisbar erfüllt werden.

  • Fortlaufende Überwachung der KRITIS-Resilienzmaßnahmen
  • Regelmäßige interne Audits und Management Reviews
  • Koordination der BBK-Meldepflichten und Nachweisdokumentation
  • Anpassung an neue Rechtsverordnungen und Schwellenwertänderungen

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — KRITIS

Das KRITIS-Dachgesetz setzt die europäische CER-Richtlinie 2022/2557 in deutsches Recht um und schafft erstmals eine bundeseinheitliche Pflicht zur physischen Resilienz kritischer Infrastrukturen. Es wurde am 16. März 2026 im Bundesgesetzblatt veröffentlicht (BGBl. 2026 I Nr. 66) und ist seit dem 17. März 2026 in Kraft. Das Gesetz verpflichtet Betreiber kritischer Anlagen in zehn Sektoren zu Registrierung, Risikobewertung und Resilienzplanung.
Betroffen sind Betreiber kritischer Anlagen in zehn Sektoren: Energie, Transport und Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum. Hinzu kommen Lebensmittel und Siedlungsabfallentsorgung. Der Schwellenwert liegt bei der Versorgung von mehr als 500.000 Personen, wobei Länder diesen Wert absenken können. Insgesamt sind rund 2.000 Betreiber in Deutschland betroffen.
Das Gesetz ist seit dem 17. März 2026 in Kraft. Die Registrierungspflicht beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) beginnt am 17. Juli 2026. Nach der Registrierung hat der Betreiber neun Monate Zeit für die erste Risikobewertung. Branchenspezifische Schwellenwerte werden durch Rechtsverordnungen des BMI konkretisiert, die teilweise noch ausstehen.
Der Aufwand hängt von der Größe der Organisation, der Anzahl kritischer Anlagen und dem Reifegrad bestehender Managementsysteme ab. SECURAM kalkuliert auf Personentag-Basis. Ein typischer Einstieg ist die GAP-Analyse, die den Ist-Zustand gegen die Anforderungen des KRITIS-Dachgesetzes abgleicht und einen priorisierten Maßnahmenplan liefert. Auf dieser Grundlage lässt sich der Gesamtaufwand belastbar schätzen.
SECURAM positioniert KRITIS als Querschnittsthema über drei Säulen: Das bestehende ISMS deckt die IT-Sicherheit ab, das BCMS liefert die Grundlage für den Resilienzplan, und das Risikomanagementsystem (RMS) steuert die geforderte All-Gefahren-Bewertung. Dazu kommt der ISBaaS für den laufenden Betrieb. Dieser integrierte Ansatz vermeidet parallele Governance-Strukturen und reduziert den Dokumentationsaufwand.
Das KRITIS-Dachgesetz adressiert die physische Resilienz kritischer Anlagen — von Naturkatastrophen über Sabotage bis zu Lieferkettenausfällen — und wird vom BBK beaufsichtigt. Die NIS-2-Richtlinie zielt auf digitale Cybersicherheit und untersteht dem BSI. Beide Regelwerke können für dasselbe Unternehmen parallel gelten. In der Praxis ergänzen sich die Anforderungen: Wer ein ISMS nach ISO 27001 betreibt und um physische Resilienzmaßnahmen erweitert, erfüllt beide Vorgaben mit deutlich weniger Aufwand.
Der Resilienzplan nach §11 KRITIS-DachG umfasst die Ergebnisse der Risikobewertung, darauf aufbauende Maßnahmen zur Geschäftskontinuität (BCM), physische Sicherheitsmaßnahmen, Vorgaben zur Personalüberprüfung und ein Krisenkommunikationskonzept. Der Plan muss regelmäßig aktualisiert und auf Wirksamkeit geprüft werden. SECURAM nutzt dafür bestehende BCMS-Strukturen nach ISO 22301, um Doppelarbeit zu vermeiden.
Das KRITIS-Dachgesetz sieht Bußgelder bis zu 1 Million Euro vor. Hinzu kommt die persönliche Haftung der Geschäftsleitung nach §20 KRITIS-DachG. Anders als bei reinen Compliance-Verstößen können bei Vorfällen, die auf fehlende Resilienzmaßnahmen zurückgehen, auch zivilrechtliche Ansprüche entstehen. Die Kombination aus Bußgeld und Geschäftsführerhaftung erhöht den Handlungsdruck gegenüber reinen IT-Sicherheitsgesetzen.
Ein ISMS nach ISO 27001 oder BSI IT-Grundschutz ist keine direkte Anforderung des KRITIS-Dachgesetzes, aber eine anerkannte Methodik für die IT-sicherheitsbezogenen Teile der Resilienzplanung. Für den Nachweis nach §8a BSIG (NIS-2) wird ein ISMS ohnehin vorausgesetzt. In der Praxis erleichtert ein bestehendes ISMS die KRITIS-Umsetzung erheblich, weil Risikoanalyse, Dokumentation und Auditprozesse bereits etabliert sind.
Das KRITIS-Dachgesetz fordert als Teil des Resilienzplans ausdrücklich Maßnahmen zur Geschäftskontinuität. Ein BCMS nach ISO 22301 oder BSI 200-4 liefert dafür den methodischen Rahmen: Business-Impact-Analyse, Notfallpläne, Wiederanlaufkonzepte und regelmäßige Tests. Wer bereits ein BCMS betreibt, kann die KRITIS-Anforderungen in das bestehende System integrieren, statt ein paralleles Resilienzprogramm aufzubauen.

KRITIS-Compliance beginnt mit dem ersten Schritt

Frist 17. Juli 2026. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch zur Betroffenheitsprüfung.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in die KRITIS-Compliance

GAP-Analyse

KRITIS GAP-Analyse

Wo steht Ihre Organisation heute? Die GAP-Analyse zeigt den Abstand zwischen Ist-Zustand und den Anforderungen des KRITIS-Dachgesetzes — mit konkretem Maßnahmenplan.

GAP-Analyse anfragen →
Internes Audit

KRITIS Resilienzprüfung

Sind Ihre Resilienzmaßnahmen wirksam? Die interne Prüfung deckt Schwachstellen auf, bevor sie das BBK findet — und liefert Nachweise für die Aufsichtsbehörde.

Prüfung anfragen →
Implementierung

KRITIS Resilienzplan implementieren

Vom Registrierungsantrag bis zum fertigen Resilienzplan: SECURAM begleitet die Umsetzung aller Pflichten aus dem KRITIS-Dachgesetz.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen