Die excepto GmbH ist ein Planungsbüro für technische Event- und Produktionsplanung mit Spezialisierung im Bereich Veranstaltungssicherheit.
Kontakt

Physische Resilienz nach KRITIS-Dachgesetz – Fachplanung & Beratung

Planungs- und Beratungsleistungen für physische Schutz- und Resilienzmaßnahmen im Kontext des KRITIS‑Dachgesetzes

Sprechen Sie uns an – wir beraten Sie gerne!

Das KRITIS-Dachgesetz ist seit dem 17. März 2026 in Kraft und schafft erstmals einen bundeseinheitlichen Rahmen für den physischen Schutz kritischer Anlagen. Der Ansatz ist sektorenübergreifend und folgt dem All‑Gefahren‑Prinzip. Betreiber werden insbesondere zu Risikoanalysen, Resilienzmaßnahmen sowie zu Melde‑ und weiteren Organisationspflichten verpflichtet. Das Gesetz setzt die EU‑CER‑Richtlinie (Resilienz kritischer Einrichtungen, EU 2022/2557) in deutsches Recht um. Die konkreten Schwellenwerte, Fristen und Betreiberpflichten werden durch nachgelagerte Rechtsverordnungen weiter präzisiert – Betreiber sollten bereits jetzt mit der Vorbereitung beginnen.

Wir unterstützen Betreiber, Kommunen, Unternehmen und Projektträger als unabhängiges Planungsbüro bei der Konzeption, Bewertung und Umsetzung physischer Schutz‑ und Resilienzmaßnahmen im Kontext des KRITIS‑Dachgesetzes.

Welche Sektoren betrifft das?

Die elf Sektoren, in denen das KRITIS-Dachgesetz kritische Dienstleistungen sektorenübergreifend erfasst:

Die elf Sektoren des KRITIS-Dachgesetzes im Überblick: Energie, Transport, Finanzen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfall, IT und Telekommunikation, Ernährung, Weltraum und öffentliche Verwaltung

Hinweis: Für einzelne Sektoren – insbesondere Finanzunternehmen, die bereits unter der EU-Verordnung DORA reguliert sind, sowie bestimmte IT/TK-Betreiber – gelten punktuelle Ausnahmen von einzelnen Pflichten des Gesetzes, sofern sie einem gleichwertigen sektorspezifischen Regime unterliegen. Die genaue Betroffenheit sollte im Einzelfall geprüft werden.

Was bedeutet das KRITIS-Dachgesetz für kommunale Flächen und Projekte?

Kritische Anlagen liegen häufig in dicht genutzten Stadtbereichen. Planungen für Veranstaltungen, Baustellen oder temporäre Nutzungen müssen Schutzbereiche, Betriebsabläufe und Rettungswege so berücksichtigen, dass die Funktionsfähigkeit kritischer Dienstleistungen jederzeit gewährleistet bleibt.

 Besonders relevant sind Außenflächen, Zufahrten, Zugänge und sensible Zonen – dort, wo Sicherheit und Betrieb zusammenkommen.

KRITIS-Dachgesetz – die wichtigsten Fristen im Überblick

Seit 17. März 2026: Gesetz vollständig in Kraft (BGBl. 2026 I Nr. 66). § 14 Abs. 3–5 folgen am 1. Januar 2030.

Ab 17. Juli 2026: Beginn der Registrierungspflicht beim BBK. Betreiber müssen sich innerhalb von drei Monaten nach Identifikation als kritische Anlage registrieren und eine 24/7 Kontaktstelle benennen.

Innerhalb von 9 Monaten nach Registrierung: Durchführung der ersten Risikoanalyse und Risikobewertung. Aktualisierung mindestens alle vier Jahre.

Innerhalb von 10 Monaten nach Registrierung: Erstellung des Resilienzplans, Umsetzung der technischen, sicherheitsbezogenen und organisatorischen Resilienzmaßnahmen, Einrichtung des Meldewesens (Erstmeldung binnen 24 Stunden, Bericht binnen eines Monats).

Ab 2027: Schrittweise Wirksamkeit der behördlichen Aufsicht und der Bußgeldpraxis nach § 24 KRITIS-DachG (bis zu 1 Mio. Euro).

Einzelne Mindestanforderungen werden durch nachgelagerte Rechtsverordnungen weiter konkretisiert. Die genaue Betroffenheit und der jeweilige Fristenbeginn sollten im Einzelfall geprüft werden.

Unsere Leistung: Konzeption und Bewertung physischer Resilienzmaßnahmen

Als unabhängiges Planungsbüro unterstützen wir Betreiber, Kommunen und Projektträger bei der Konzeption, Bewertung und Umsetzung physischer Schutz- und Resilienzmaßnahmen – standortbezogen, verhältnismäßig und nachvollziehbar dokumentiert.

KONTAKTIEREN SIE UNS >>

Die Anforderungen des KRITIS‑Dachgesetzes betreffen insbesondere die physische Resilienz kritischer Anlagen.

Unsere Leistungen setzen dort an, wo planerische, konzeptionelle und organisatorische Maßnahmen erforderlich sind, um Risiken zu reduzieren und den Schutz kritischer Infrastrukturen nachvollziehbar und verhältnismäßig umzusetzen. Im Einzelnen unterstützen wir unter anderem bei:

  • Analyse physischer Bedrohungsszenarien (z. B. Fahrzeugangriffe, unbefugtes Eindringen, Sabotage)
  • Ableitung geeigneter Perimeter‑, Zufahrts‑ und Flächenschutzmaßnahmen
  • Planung von Zufahrtsregelungen, Barrieren, Sperrsystemen und Zugangsstrukturen
  • Bewertung bestehender Schutzkonzepte im Hinblick auf physische Resilienz
  • Strukturierte Aufbereitung technischer und organisatorischer Maßnahmen zur internen und behördlichen Abstimmung

Warum excepto?

Der Markt für KRITIS-Beratung ist nicht leer – aber er hat eine Lücke. Große Beratungshäuser liefern Strategie und Compliance-Gutachten. IT- und Cyber-Spezialisten decken die digitale Seite ab. Klassische Ingenieurbüros planen Gebäudetechnik und Zutrittssysteme.

Wir besetzen die Stelle dazwischen: die physische Fachplanung im Außenraum – dort, wo Zufahrten, Perimeter, Rettungswege und Betriebsabläufe auf Stadtraum, Verkehr und Öffentlichkeit treffen. Das ist kein akademisches Feld. Es ist der Ort, an dem physische Resilienz entweder funktioniert oder nicht funktioniert.

Unsere Kompetenz ist in der Planung sicherheitskritischer Veranstaltungen im öffentlichen Raum gewachsen – mit genau den Disziplinen, die das KRITIS-Dachgesetz jetzt einfordert: standortbezogene Risikoanalyse, physische Schutzkonzepte, Zufahrtsschutz nach ISO 22343, Perimeterplanung sowie Verkehrs- und Rettungswegeplanung. Wir liefern keine Foliensätze. Wir liefern prüffähige CAD-Pläne, die mit Behörden, Betreibern und Aufsicht abgestimmt sind.

Die excepto GmbH ist ein Planungsbüro für technische Event- und Produktionsplanung mit Spezialisierung im Bereich Veranstaltungssicherheit.

Häufig gestellte Fragen rund um das KRITIS-Dachgesetz:

Kritische Anlagen sind Anlagen, die für die Erbringung einer kritischen Dienstleistung erheblich sind. Kritische Dienstleistungen sind Versorgungsleistungen in bestimmten Sektoren, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde.

Ja. Das KRITIS-Dachgesetz ist am 17. März 2026 vollständig in Kraft getreten (BGBl. 2026 I Nr. 66). Lediglich § 14 Abs. 3–5 treten erst am 1. Januar 2030 in Kraft. Das Gesetz ist damit unmittelbar anwendbar – Betreiberpflichten wirken allerdings schrittweise über Übergangsfristen (siehe nächste Frage).

Die Registrierungspflicht greift frühestens ab dem 17. Juli 2026. Innerhalb von drei Monaten nach Identifikation als kritische Anlage muss die Registrierung beim BBK erfolgen. Die Pflicht zur Risikoanalyse greift erstmals neun Monate, die Pflichten zu Resilienzmaßnahmen, Meldewesen und Geschäftsleitungsverantwortung erstmals zehn Monate nach der Registrierung. Behördliche Aufsicht und Sanktionen werden schrittweise ab 2027 wirksam. Einzelne Mindestanforderungen werden zudem durch nachgelagerte Rechtsverordnungen weiter konkretisiert.

Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung sowie die öffentliche Verwaltung.

Der All‑Gefahren‑Ansatz betrachtet jedes denkbare Risiko – von Naturgefahren über technische Störungen bis zu Sabotage, Terroranschlägen oder menschlichem Versagen – und leitet daraus verhältnismäßige Maßnahmen ab.

Der Resilienzplan ist das zentrale Betreiberdokument. Er basiert auf Risikoanalyse und Risikobewertung und beschreibt geeignete, verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zur Zielerreichung.

Ja. Das Gesetz sieht die Identifizierung und Registrierung kritischer Anlagen und ihrer Betreiber vor. Details zu Kriterien und Verfahren werden per Verordnung konkretisiert.

Erhebliche Störungen sollen über eine gemeinsame digitale Plattform von BBK und BSI gemeldet werden. Ziel ist ein einheitlicher Einmeldepunkt. Die konkreten Meldeprozesse werden weiter konkretisiert.

Sektorenübergreifende Mindestanforderungen kann das BMI per Verordnung festlegen. Zusätzlich können von der Wirtschaft entwickelte branchenspezifische Resilienzstandards anerkannt werden. Solange es keine Standards gibt, können Bund und Länder Anforderungen per Rechtsverordnung konkretisieren.

Das KRITIS‑Dachgesetz ist ein Bundesgesetz und gilt bundesweit direkt. Landesgesetze zur Umsetzung sind nicht erforderlich. Die Länder wirken im Vollzug mit und können – solange Standards fehlen – per Rechtsverordnung konkretisieren.

Nutzungen im öffentlichen Raum (Veranstaltungen, temporäre Verkehrsführungen, Baustellen) sowie bauliche Vorhaben in Nähe kritischer Anlagen – überall dort, wo Zufahrten, Schutzbereiche, Rettungswege und Betriebsabläufe betroffen sind.

Der Prozess beginnt typischerweise mit einer standortbezogenen Erstanalyse – gemeinsam mit Betreiber oder Kommune. Darauf aufbauend unterstützen wir bei Risikoanalysen, Resilienzplänen, physischen Schutz- und Zufahrtskonzepten, Verkehrs- und Rettungsplanung sowie prüffähiger Dokumentation. Wo erforderlich, koordinieren wir auch die Abstimmung mit Behörden und weiteren Beteiligten.

Risikoanalyse und Risikobewertung, Resilienzplan, Lage‑/Sperr‑/Rettungs‑ und Verkehrspläne (CAD), Nachweis‑ und Meldeunterlagen, benannte Kontaktstelle und klare Meldewege.

Diese Inhalte fokussieren auf physische Resilienz und Fachplanung rund um Schutzbereiche, Zufahrten, Perimeter, Verkehrs‑ sowie Rettungswege. IT‑/Cybersicherheit ist ein separates Themenfeld und wird hier nicht behandelt.

Das KRITIS-Dachgesetz nimmt die Geschäftsleitung von Betreibern kritischer Anlagen ausdrücklich in die Pflicht: Sie muss Resilienzmaßnahmen nach § 13 KRITIS-DachG umsetzen und deren Umsetzung organisatorisch sicherstellen. Bei Pflichtverletzungen kann sie ihrer Einrichtung gegenüber persönlich haften – primär nach gesellschaftsrechtlichen Regeln (§ 43 GmbHG, § 93 AktG), hilfsweise nach § 20 KRITIS-DachG. Für den Sektor öffentliche Verwaltung gilt eine Ausnahme von der persönlichen Haftung. Ordnungswidrigkeiten nach § 24 KRITIS-DachG können mit Bußgeldern bis zu 1 Mio. Euro geahndet werden, insbesondere bei Verstößen gegen Registrierungs-, Auskunfts- und Kooperationspflichten; für Verstöße gegen Vorlagepflichten bei Audits sind bis zu 500.000 Euro vorgesehen. Bei gleichzeitigen Verstößen im Cybersicherheitsbereich (NIS-2, BSIG) können zusätzliche, deutlich höhere Bußgeldrahmen greifen. Die Aufsichts- und Sanktionspraxis wird schrittweise ab 2027 wirksam.

Die Betreiberverantwortung selbst lässt sich nicht auf Dritte übertragen – sie bleibt bei Einrichtung und Geschäftsleitung. Die sorgfältige Auswahl, Einbindung und Überwachung qualifizierter externer Fachplaner kann jedoch ein wesentlicher Baustein eines ordnungsgemäßen Organisations- und Überwachungssystems sein und im Haftungsfall als Sorgfaltsnachweis dienen. Entscheidend ist eine saubere, prüffähige Dokumentation der planerischen Grundlagen und Entscheidungen. excepto übernimmt als unabhängiges Planungsbüro die fachplanerische Konzeption und Dokumentation, nicht aber die Betreiberverantwortung im Sinne des KRITIS-Dachgesetzes. Die Ausführungen dienen der allgemeinen Information und ersetzen keine individuelle Rechtsberatung.

Unsere Qualifikationen und Zertifizierungen bilden die fachliche Grundlage für belastbare Planungsleistungen – auch im sensiblen Umfeld kritischer Anlagen. Als freie Sachverständige für Veranstaltungssicherheit (bvfs) sind wir Ihr kompetenter Partner für die bundesweite Begleitung ihres Projektes.

Qualifikation als freie Sachverständige für Veranstaltungssicherheit im BVFS (Bundesverband freier Sachverständiger), Freie Sachverständige für Immissionsschutz und Schallpegelmessung bei Veranstaltungen (bvfs)
TÜV-geprüfte Qualifikation der excepto GmbH im Bereich Veranstaltungssicherheit
DPVT-Siegel – Fachmeister Veranstaltungssicherheit, Deutsche Prüfstelle für Veranstaltungstechnik
Mitglied der Industrie- und Handelskammer (IHK) Kassel-Marburg

Als Betreiber einer kritischen Anlage profitieren Sie von einer Planungspraxis, die sich unter echten Bedingungen bewährt hat: in sicherheitskritischen Veranstaltungen im öffentlichen Raum. Die dort erprobten Disziplinen – Risikoanalyse, physische Schutzkonzepte, Zufahrtsschutz nach ISO 22343, Perimeterplanung, Verkehrs- und Rettungswegeplanung – bilden das Rückgrat der Resilienzplanung, die das KRITIS-Dachgesetz heute verlangt.

Kurzinfo zum rechtlichen Rahmen

Das KRITIS-Dachgesetz ist ein bundeseinheitlicher, sektorenübergreifender Ansatz zum physischen Schutz kritischer Anlagen (All‑Gefahren‑Prinzip). Es setzt die EU‑CER‑Richtlinie zur Resilienz kritischer Einrichtungen in deutsches Recht um.

Kriterien, Schwellenwerte, Verfahren und Fristen werden durch Verordnungen und anerkannte Standards weiter konkretisiert.

Die rechtlichen Ausführungen auf dieser Seite dienen der allgemeinen Information und stellen keine Rechtsberatung dar.

Für wen wir arbeiten

Wir unterstützen Sie bei der Konzeption und Erstellung individueller Schutz- und Resilienzkonzepte im Kontext des KRITIS-Dachgesetzes für:

  • Kommunen und öffentliche Einrichtungen – bei Planungen im Umfeld kritischer Anlagen sowie bei der Koordination mit Betreibern und Behörden
  • Betreiber kritischer Anlagen – bei Risikoanalyse, Resilienzplan und der Umsetzung physischer Schutzmaßnahmen
  • Stadtwerke und Verkehrsbetriebe – bei standortbezogenen Schutzkonzepten für sensible Infrastruktur im öffentlichen Raum
  • Veranstalter im öffentlichen Raum – bei der Berücksichtigung von Schutzbereichen, Rettungswegen und Betriebsabläufen kritischer Anlagen im Veranstaltungsumfeld
  • Projektträger in Stadtentwicklung und Infrastruktur – bei der Integration physischer Resilienzanforderungen in Planung und Genehmigungsverfahren

Ihr Nutzen

Sie profitieren von unserer langjährigen Erfahrung und Expertise, insbesondere durch:

  • Belastbare, gesetzeskonforme Planungsgrundlagen
  • Präzise CAD‑Darstellungen sicherheitsrelevanter Bereiche
  • Strukturierte Nachweise für Betreiber, Aufsicht und Genehmigungen
  • Abgestimmte Prozesse mit allen Beteiligten
  • Planungssicherheit im sensiblen Umfeld kritischer Anlagen
Die excepto GmbH ist ein Planungsbüro für technische Event- und Produktionsplanung mit Spezialisierung im Bereich Veranstaltungssicherheit.

Interessiert? Fordern Sie uns!

Bei welchem Projekt dürfen wir Sie unterstützen?

KONTAKT >>>

Hinweis: Das KRITIS-Dachgesetz richtet sich mit seinen Pflichten ausschließlich an Betreiber kritischer Anlagen. excepto übernimmt keine Betreiberverantwortung und ersetzt keine Prüf-, Aufsichts- oder Zertifizierungsstellen.

Use Cases, Stories und Projektberichte

Zufahrtsschutz und physische Sicherheit sind zentrale Bausteine physischer Resilienz im Sinne des KRITIS-Dachgesetzes. Die folgenden Projekte zeigen, wie wir Betreiber, Kommunen und Veranstalter in unseren unterschiedlichen Fachbereichen unterstützen.

Weitere Informationen