17. Juli 2026: Die KRITIS-Registrierungsfrist naht — was Kliniken und kritische Infrastrukturen jetzt tun müssen

Am 17. März 2026 ist das KRITIS-Dachgesetz in Kraft getreten. Für Betreiber kritischer Anlagen beginnt damit eine Uhr zu laufen: Genau vier Monate nach Inkrafttreten — also am 17. Juli 2026 — endet die erste Meldefrist beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Wer bis dahin nicht registriert ist, bewegt sich im Bereich der Ordnungswidrigkeit.

In unserer Beratungspraxis begegnen uns dieser Tage noch viele Einrichtungen, die das Gesetz zwar kennen, aber die konkreten Handlungsschritte noch nicht eingeleitet haben. Das ist kein Einzelfall: Die Gleichzeitigkeit von KRITIS-Dachgesetz, NIS-2-Umsetzungsgesetz (BSIG) und bestehenden sektorspezifischen Anforderungen erzeugt erhebliche Orientierungslosigkeit. Dieser Beitrag schafft Klarheit über das, was bis Juli 17 konkret erledigt sein muss.

Was das KRITIS-Dachgesetz ist — und was es nicht ist

Das KRITIS-Dachgesetz (offiziell: Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Anlagen) ist kein Ersatz der bestehenden KRITIS-Regulierung nach BSI-Gesetz. Es ist eine eigenständige Resilienzpflicht, die auf physische und organisatorische Widerstandsfähigkeit zielt — und damit einen anderen Schwerpunkt setzt als die IT-Sicherheitsanforderungen des BSIG.

Konkret: Das BSI-Gesetz (NIS-2-Umsetzungsgesetz) regelt Cyber- und IT-Sicherheit. Das KRITIS-Dachgesetz regelt die physische Resilienz, Krisenplanung und Betriebskontinuität. Beide Gesetze können denselben Betreiber treffen — und tun es häufig. Eine Klinik, die unter BSIG fällt, fällt in aller Regel auch unter das KRITIS-Dachgesetz.

Wer betroffen ist

Das Gesetz definiert kritische Anlagen anhand von Schwellenwerten, die der Gesetzgeber in der noch ausstehenden Rechtsverordnung festlegen wird. Auf Basis der EU-CER-Richtlinie und der bisherigen Entwürfe zeichnet sich ab, dass folgende Sektoren mit konkreten Meldeverpflichtungen rechnen müssen:

• Gesundheit: Krankenhäuser der Maximal- und Regelversorgung, Labore mit kritischer Funktion, bestimmte Pflegeeinrichtungen
• Energie: Strom-, Gas- und Fernwärmeversorgung ab definierten Versorgungsmengen
• Wasser und Abwasser: Trinkwasserversorgung und Abwasserentsorgung ab Schwellenwerten
• Verkehr: Betreiber von Straßen-, Schienen- und Luftverkehrsinfrastruktur
• Digitale Infrastruktur: Rechenzentren, Internetknoten, DNS-Anbieter (teils mit BSIG-Überschneidung)
• Öffentliche Verwaltung: Bundesbehörden sowie Landesbehörden mit bundesrelevanter Funktion

Für Krankenhäuser gilt: Die Schwellenwerte orientieren sich voraussichtlich an der Bettenzahl und der Versorgungsstufe. Häuser der Regel- und Maximalversorgung sollten davon ausgehen, dass sie erfasst sind — unabhängig davon, ob die finale Rechtsverordnung schon vorliegt.

Die BBK-Registrierung: Was bis zum 17. Juli erledigt sein muss

Die Registrierung beim BBK ist kein komplizierter Vorgang — aber sie setzt voraus, dass eine Reihe interner Vorarbeiten abgeschlossen ist. Das BBK stellt ein Online-Meldeportal bereit. Für die Registrierung werden unter anderem benötigt:

• Identifikation der meldepflichtigen Anlage(n) und Zuordnung zum jeweiligen Sektor nach CER-Richtlinie
• Benennung eines Ansprechpartners für Resilienz (vergleichbar mit dem BSB nach BSIG)
• Erste Selbsteinschätzung zur Betroffenheit (Schwellenwertprüfung)
• Kontaktdaten für den Krisenfall (24/7-Erreichbarkeit)

Wichtig: Die Registrierung ist nicht das Ziel, sondern der Ausgangspunkt. Mit der Registrierung verpflichtet sich der Betreiber gleichzeitig, innerhalb weiterer Fristen eine Risikoanalyse, einen Resilienzplan und Maßnahmen zur Betriebskontinuität vorzulegen. Wer die Registrierung verzögert, verschiebt damit auch die nachgelagerten Fristen — ohne jedoch rechtliche Konsequenzen zu vermeiden.

Jenseits der Registrierung: Was der Gesetzgeber strukturell erwartet

Das KRITIS-Dachgesetz verlangt von Betreibern nicht nur eine Meldung — es verlangt eine nachweisbare Resilienzstrategie. Konkret müssen Betreiber in einem zweiten Schritt folgendes vorlegen:

Risikoanalyse und Gefährdungsbewertung

Die Risikoanalyse muss die physischen Gefährdungen der Anlage systematisch erfassen: Naturereignisse, technisches Versagen, menschliches Versagen, vorsätzliche Handlungen. Für Krankenhäuser bedeutet das konkret: Überflutungsrisiko, Stromausfall, Ausfall medizinischer Gasversorgung, Evakuierungsszenarien. Die Analyse muss dokumentiert, methodisch nachvollziehbar und regelmäßig aktualisiert werden.

Resilienzplan

Der Resilienzplan beschreibt, welche Maßnahmen der Betreiber ergreift, um identifizierte Risiken zu reduzieren und im Störfall handlungsfähig zu bleiben. Er ist kein allgemeines Notfallkonzept, sondern ein spezifisches Dokument mit Maßnahmen, Verantwortlichkeiten und Zeitplan.

Betriebskontinuität und Wiederanlauf

Wie wird der Betrieb im Störfall aufrechterhalten? Welche Kernfunktionen haben Priorität? Wie sieht der Wiederanlauf nach einem vollständigen Ausfall aus? Diese Fragen müssen schriftlich beantwortet und geprobt worden sein — nicht als theoretische Konzepte, sondern als getestete Verfahren.

Typische Lücken, die wir in der Beratungspraxis sehen

In der Arbeit mit Kliniken, kommunalen Einrichtungen und Energieversorgern begegnen uns immer wieder dieselben Schwachstellen:

• Zuständigkeit ungeklärt: Wer ist intern verantwortlich? Technischer Leiter, Geschäftsführung, Sicherheitsbeauftragter? Ohne klare Verantwortung bleibt alles liegen.
• Risikoanalysen aus dem KRITIS-Kontext fehlen oder sind veraltet: Allgemeine Gefährdungsbeurteilungen nach Arbeitsschutzrecht sind kein Ersatz.
• Notstromkonzepte decken zu wenig ab: Viele Einrichtungen haben USV und Netzersatzanlage — aber keine Prüfung, ob diese bei einem Ausfall von 72+ Stunden ausreichen.
• Stabsstrukturen existieren auf dem Papier, aber nicht in der Praxis: Ohne regelmäßige Übungen sind Krisenstäbe im Ernstfall keine Stabsstäbe, sondern Krisenrunden.
• Lieferketten und externe Abhängigkeiten nicht analysiert: Welche kritischen Verbrauchsmaterialien, Dienstleister und IT-Systeme kommen von außen — und was passiert, wenn diese ausfallen?

Was jetzt konkret zu tun ist

Wer heute, Anfang Mai 2026, noch nicht begonnen hat, sollte mit diesen Schritten starten:

• Betroffenheit klären: Falle ich unter das KRITIS-Dachgesetz? Welche meiner Standorte oder Anlagen sind meldepflichtig?
• Internen Ansprechpartner benennen: Wer koordiniert intern die Registrierung und die nachgelagerten Pflichten?
• BBK-Meldeportal prüfen: Registrierungsprozess, erforderliche Informationen und Fristen im Detail kennen.
• Lückenanalyse starten: Wo stehe ich heute bezüglich Risikoanalyse, Resilienzplan und Betriebskontinuität?
• Externe Unterstützung einplanen: Wenn intern die Kapazität fehlt, sollte externer Sachverstand jetzt beauftragt werden — nicht im Juni.

Das Gesetz gibt Betreibern Zeit, um vorbereitet zu sein. Diese Zeit ist knapp. Wer jetzt anfängt, hat noch die Möglichkeit, geordnet vorzugehen. Wer bis Juli wartet, wird entweder unvorbereitet melden oder gar nicht.

Wie die Notfallakademie unterstützt

Wir begleiten Kliniken, kommunale Einrichtungen und Unternehmen der kritischen Infrastruktur bei der Vorbereitung auf die KRITIS-Dachgesetz-Anforderungen: von der initialen Betroffenheitsprüfung über die strukturierte Risikoanalyse bis hin zur Entwicklung und Erprobung des Resilienzplans.

Unsere Beratung ist keine Compliance-Beratung, die Dokumente produziert. Sie ist auf echte Handlungsfähigkeit ausgerichtet: Was braucht Ihre Organisation, damit Ihre Schlüsselpersonen im Ernstfall wissen, was zu tun ist?

Sprechen Sie uns an, wenn Sie Orientierung brauchen — ob für die Registrierung, die Risikoanalyse oder die Konzeption einer Krisenübung.