Deutschland März 2026: KRITIS-Dachgesetz in Kraft–CER verpflichtet 1.300 Betreiber zu Zuverlässigkeitsüberprüfungen. Validato Regulations CER digita
Am 16. März 2026 trat das KRITIS-Dachgesetz in Kraft. Rund 1.300 Betreiber in elf Sektoren müssen Resilienzpläne, Risikoanalysen und Personalsicherheitskonzepte umsetzen. Validato Regulations CER liefert die rechtskonforme Plattform für Integritäts-
(PresseBox) - Sabotage an Strom- und Gasinfrastruktur, Anschläge auf Schienennetze, Cyberangriffe auf Krankenhäuser: Die hybride Bedrohungslage gegenüber kritischen Infrastrukturen in Europa hat eine neue Qualität erreicht. Die EU hat mit der CER-Richtlinie (Critical Entities Resilience Directive, EU 2022/2557) einen einheitlichen Rechtsrahmen für die physische Resilienz kritischer Einrichtungen geschaffen.
In Deutschland trat das korrespondierende KRITIS-Dachgesetz am 16. März 2026 in Kraft. Es definiert klare Pflichten – darunter, oft unterschätzt, die systematische Überprüfung von Personal und externen Dienstleistern. Validato unterstützt mit dem Modul „Validato Regulations CER“ betroffene Organisationen beim strukturierten, DSGVO-konformen und revisionssicheren Human Risk Management.
Deutschland 2026: KRITIS-Dachgesetz– Inkrafttreten und Pflichtenprogramm
Das KRITIS-Dachgesetz (BGBl. 2026 I Nr. 66 vom 16. März 2026) schafft erstmals einen bundeseinheitlichen Rechtsrahmen für die sektorenübergreifende physische Sicherheit kritischer Infrastrukturen und ergänzt die seit Dezember 2025 geltenden NIS2-Cybersicherheitspflichten um physischen Resilienzschutz nachdem „All-Gefahren-Ansatz“.
Registrierung beim BBK: Bis spätestens 17. Juli 2026 müssen sich alle Betreiber kritischer Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) digital registrieren.
Risikoanalyse (§ 12 KRITISDachG): Spätestens neun Monate nach Registrierung; All-Gefahren-Ansatz (Naturgefahren, Terrorismus, Sabotage, Lieferkettenunterbrechungen); Wiederholung mindestens alle vier Jahre.
Resilienzplan (§ 13 KRITISDachG): Spätestens zehn Monate nach Registrierung; muss technische, bauliche und organisatorische Massnahmen umfassen – ausdrücklich inkl. Personalsicherheitskonzepte und Zuverlässigkeitsüberprüfungen.
Meldepflichten: Erstmeldung innerhalb von 24 Stunden; vollständiger Bericht innerhalb von 30 Tagen an das BBK.
Bussgelder: Bis zu 500.000 Euro bei KRITIS-DachG-Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei gleichzeitigen NIS2-Verstössen. Persönliche Geschäftsleiterhaftung nach § 43 GmbHG / § 93 AktG.
“Das KRITIS-Dachgesetz ist am 17. März 2026 in Kraft getreten. Es gilt. Jetzt. Risikoanalyse, Resilienzplan, Meldepflichten – und eine Pflicht zur Überprüfung von Personal in sicherheitsrelevanten Positionen.”
– pleXtec, März 2026
Die unterschätzte Kernpflicht: Personalsicherheit als Teil des Resilienzplans
Gemäss § 13 KRITISDachG und Artikel 12/13 der CER-Richtlinie muss der Resilienzplan folgende personalrelevante Massnahmen enthalten:
Zuverlässigkeitsüberprüfungen: Mitarbeitende und externe Dienstleister in sicherheitsrelevanten Positionen können einer Sicherheitsüberprüfung unterzogen werden – ausdrücklich im KRITIS-Dachgesetz verankert.
Externe Partner und Servicetechniker: Lieferanten und Servicetechniker mit physischem oder digitalem Zugang zu kritischen Anlagen unterliegen denselben Integritäts- und Zuverlässigkeitsanforderungen wie interne Mitarbeitende.
Zugangskontrollen: Wer wann welche kritische Anlage betreten darf– Zugangsberechtigung, Identitätsnachweise und Aktualisierung der Zugangsrechte müssen dokumentiert sein.
Awareness und Schulungen: Regelmässige Schulungen zu Sicherheitsbedrohungen, Sabotagepravention und Verhaltensregeln; Schulungsprogramm muss dokumentiert und Wirksamkeit nachgewiesen sein.
Die EU CER-Richtlinie: Elf Sektoren, 27 Mitgliedstaaten, eine Resilienzpflicht
Die CER-Richtlinie trat am 16. Januar 2023 in Kraft und erfasst Betreiber kritischer Einrichtungen in elf wesentlichen Sektoren:
Energie: Elektrizität, Erdgas, Fernwärme, Erdöl, Wasserstoffversorgung
Transport und Verkehr: Luftverkehr, Eisenbahn, See- und Binnenschifffahrt, Strassenverkehr
Bankwesen und Finanzmarktinfrastruktur
Gesundheitswesen: Krankenhäuser, Labore, Pharmaunternehmen, Medizingeräte
Trinkwasser und Abwasser
Digitale Infrastruktur: Internet Exchange Points, DNS, TLD-Registrierungen, Cloud-Anbieter
Öffentliche Verwaltung (nationale und regionale Behörden)
Weltraum (Bodeninfrastrukturen für raum-gestützte Dienste)
Ernährung (Produktion, Verarbeitung und Vertrieb von Lebensmitteln)
Österreich: RKEG seit Oktober 2025
Österreich hat die CER-Richtlinie durch das Gesetz „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG) umgesetzt, das am 16. Oktober 2025 verkündet wurde. Zuständige Behörde ist das Bundesministerium für Inneres (BMI). Validato unterstützt österreichische KRITIS-Betreiber mit denselben Überprüfungsprozessen, abgestimmt auf das österreichische Datenschutzrecht (DSG 2018 und DSGVO).
CER und NIS2: Das komplementäre Resilienz-Duo für Deutschland und die EU
NIS2 (Cybersicherheit) + CER (physische Resilienz) = Vollständige Resilienz: Wer nur eines umsetzt, hat systemische Lücken.
DORA (seit Januar 2025): CER-Anforderungen zur physischen Resilienz und Personalsicherheit gelten ergänzend für Finanzinfrastrukturen.
EU AI Act: KI-Systeme in kritischen Infrastrukturen sind Hochrisiko-KI (Anhang III, Nr. 2). CER-Betreiber mit KI-gestützten Steuerungs- oder Zugangskontrollsystemen müssen beide Regelwerke erfüllen.
ISO 22301 (BCM): Der Resilienzplan nach KRITIS-DachG ist kompatibel mit ISO 22301 – solide Ausgangsbasis für Betreiber mit bestehendem BCM.
ISO 27001: Das ISMS nach ISO 27001 deckt wesentliche Teile der CER-Anforderungen ab. Integriertes Managementsystem spart erhebliche Dopplungsaufwände.
Validato Regulations CER: Das digitale Human Risk Management Framework für KRITIS-Betreiber
Pre-Employment-Screening: RechtskonformeÜberprüfung von Kandidaten in sicherheitsrelevanten Positionen – Identität, Strafregister, Insolvenz- und Betreibungsregister, Beschäftigungshistorie, Qualifikationen.
In-Employment-Monitoring: Laufendes Screening gegen SECO/OFAC/EU-Sanktionslisten, PEP-Datenbanken und Adverse Media; automatische Alerts bei neuen Treffern.
Externe Dienstleister-Überprüfung: Servicetechniker, IT-Dienstleister und Partner mit Zugang zu kritischen Anlagen; weltweite Abdeckung in über 200 Ländern.
Zuverlässigkeitsüberprüfungen nach CER/KRITIS: Strukturiertes Framework mit Differenzierung nach Sicherheitsstufen; DSGVO-konformer Einwilligungsprozess mit digitaler E-Signatur.
Zugangskontrolle und Dokumentation: Verwaltung von Zugangsberechtigung undÜberprüfungsstatus; automatische Eskalation bei auslaufenden Überprüfungen.
DSGVO-konformerÜberprüfungsworkflow: Rechtsgrundlagen nach DSGVO Art. 6, Art. 9 und sektorspezifischen Öffnungsklauseln; Compliance mit BDSG (Deutschland) und DSG 2018 (Österreich).
GlobaleÜberprüfungsabdeckung: Besonders relevant für KRITIS-Betreiber mit internationalen Lieferketten, multinationalen Serviceverträgen oder global operierenden Infrastrukturen.
Revisionssicherer Audit-Trail: Zeitgestempelt, bereit für Audits durch BBK, BSI und sektorspezifische Aufsichtsbehörden (Bundesnetzagentur, BaFin, BfArM usw.).
Zahlen, Daten, Fakten: CER-Richtlinie und KRITIS-Dachgesetz in Deutschland
Januar 2023: CER-Richtlinie (EU 2022/2557) tritt in Kraft.
Oktober 2024: Ursprüngliche EU-Umsetzungsfrist – von Deutschland und mehreren Mitgliedstaaten verpasst.
Januar 2026: Bundestag beschliesst das KRITIS-Dachgesetz.
März 2026: Bundesrat stimmt dem KRITIS-Dachgesetz zu.
März 2026: KRITIS-Dachgesetz tritt in Kraft (BGBl. 2026 I Nr. 66).
Juli 2026: Registrierungsfrist für Betreiber kritischer Anlagen beim BBK.
1.300 betroffene Betreiber kritischer Anlagen in Deutschland (Schätzung Gesetzgebründung).
1,7 Mrd. Euro einmaliger Belastungsrichtwert; 500 Mio. Euro jährlicher Belastungsrichtwert (Gesetzgebründung, November 2024).
11 Sektoren durch die CER-Richtlinie erfasst– von Energie und Transport bis Weltraum und Ernährung.
Bis zu 500.000 Euro Bussgelder bei rein physischen Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes bei gleichzeitigen NIS2-Verstössen.
“Physische Resilienz wird Pflicht – Das KRITIS-Dachgesetz definiert ein klares zeitliches Pflichtenprogramm. Risikoanalyse, Resilienzplan, Meldewesen – und ausdrücklich: Personalsicherheitskonzepte für Mitarbeitende und Dienstleister in sicherheitsrelevanten Positionen.”
– Kapellmann Rechtsanwälte, Januar 2026
Validato ist ein führender Anbieter für zuverlässige Background Checks und Human Risk Management in Deutschland. Die Plattform unterstützt Unternehmen dabei, Bewerberinnen sowie bestehende Mitarbeitende strukturiert und effizient auf Integrität, Interessenskonflikte und potenzielle Risiken zu prüfen– datenschutzkonform, modular und skalierbar.
Validato ist speziell auf die Anforderungen in Deutschland ausgerichtet, verzichtet auf Set-up-Gebühren, Jahresgebühren oder Mindestanzahl an Screenings und lässt sich flexibel in bestehende HR- oder Recruiting-Prozesse integrieren.
Mehr unter: www.validato.com
Validato ist ein führender Anbieter für zuverlässige Background Checks und Human Risk Management in Deutschland. Die Plattform unterstützt Unternehmen dabei, Bewerberinnen sowie bestehende Mitarbeitende strukturiert und effizient auf Integrität, Interessenskonflikte und potenzielle Risiken zu prüfen–datenschutzkonform, modular und skalierbar.
Validato ist speziell auf die Anforderungen in Deutschland ausgerichtet, verzichtet auf Set-up-Gebühren, Jahresgebühren oder Mindestanzahl an Screenings und lässt sich flexibel in bestehende HR- oder Recruiting-Prozesse integrieren.
Mehr unter: www.validato.com
Datum: 26.05.2026 - 08:00 Uhr
Sprache: Deutsch
News-ID 2253165
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Reto Marti
Stadt:
Frankfurt
Telefon: +41 (44) 5157776
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 3 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Deutschland März 2026: KRITIS-Dachgesetz in Kraft–CER verpflichtet 1.300 Betreiber zu Zuverlässigkeitsüberprüfungen. Validato Regulations CER digita"
steht unter der journalistisch-redaktionellen Verantwortung von
Validato AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).