Ein symbolischer Einstand
Der 17. März 2026 wird in der Geschichte der deutschen IT-Sicherheitsgesetzgebung als besonderes Datum in Erinnerung bleiben – allerdings aus Gründen, die niemand so geplant hatte. An diesem Tag trat das lang erwartete KRITIS-Dachgesetz in Kraft, das Betreiber kritischer Infrastrukturen in Deutschland zu umfassenden Resilienzmaßnahmen verpflichtet. Und genau an diesem Tag tauchte die Tiefenbacher Gruppe – ein führender deutscher Gesundheitsdienstleister – auf dem Erpresserportal der Ransomware-Bande SafePay auf.
Selten hat eine Koinzidenz so unmissverständlich illustriert, warum ein Gesetz notwendig ist. Und selten hat die Praxis so schnell gezeigt, dass Gesetze allein keine Angriffe verhindern.
Was ist das KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz – offiziell das Gesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITISDachG) – setzt die europäische CER-Richtlinie (Critical Entities Resilience Directive) in deutsches Recht um. Es ergänzt die bereits bestehenden Regelungen aus dem NIS2-Umsetzungsgesetz um eine physische Dimension: Während NIS2 primär auf Cybersicherheit abzielt, adressiert das KRITIS-Dachgesetz auch physische Bedrohungen wie Sabotage, Naturkatastrophen und Insiderangriffe.
Das Gesetz wurde am 16. März 2026 im Bundesgesetzblatt veröffentlicht und trat am Folgetag in Kraft. Betroffen sind rund 2.000 Betreiber kritischer Anlagen in elf definierten Sektoren: Energie, Transport und Verkehr, Finanzwesen, Sozialversicherung und Grundsicherung, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung.
Eine Anlage gilt im Regelfall als kritisch, wenn sie die Versorgung von mindestens 500.000 Menschen sicherstellt. Dieser Schwellenwert unterscheidet das KRITIS-Dachgesetz von NIS2, das einen weitaus breiteren Unternehmenskreis erfasst.
Was fordert das Gesetz konkret?
Betroffene Betreiber stehen vor einem klar strukturierten Pflichtenprogramm, das sich über mehrere Fristen erstreckt:
1. Registrierung beim BBK (bis 17. Juli 2026)
Innerhalb von drei Monaten nach Inkrafttreten – also bis zum 17. Juli 2026 – müssen sich betroffene Unternehmen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) digital registrieren. Die Registrierung umfasst Angaben zur Unternehmensidentität, zur Art und zum Standort der kritischen Anlage sowie die Benennung von Kontaktstellen für Behörden.
2. Risikoanalyse (innerhalb von 9 Monaten nach Registrierung)
Nach abgeschlossener Registrierung haben Betreiber neun Monate Zeit, eine umfassende Risikoanalyse zu erstellen. Diese muss alle relevanten Bedrohungsszenarien abdecken – von Cyberangriffen über Naturereignisse bis hin zu hybriden Bedrohungen und Insiderrisiken.
3. Resilienzplan und Maßnahmen (innerhalb von 10 Monaten nach Registrierung)
Spätestens zehn Monate nach der Registrierung müssen konkrete Resilienzmaßnahmen umgesetzt und in einem Resilienzplan dokumentiert sein. Dazu gehören unter anderem Zugangskontrollen, Krisenreaktionspläne, Schutzmaßnahmen gegen Innen- und Außentäter sowie Pläne zur Aufrechterhaltung des Betriebs im Angriffsfall.
4. Meldepflichten (sofort)
Erhebliche Störungen und sicherheitsrelevante Vorfälle müssen künftig innerhalb von 24 Stunden über die gemeinsame Plattform von BSI und BBK gemeldet werden. Bei anhaltenden Vorfällen sind regelmäßige Updates erforderlich.
5. Sanktionen und Geschäftsführerhaftung
Verstöße gegen das KRITIS-Dachgesetz können mit Bußgeldern von bis zu 1.000.000 Euro geahndet werden. Besonders bemerkenswert: Das Gesetz sieht ausdrücklich eine persönliche Haftung der Geschäftsleitung vor. Resilienz ist damit zur Chefsache geworden – im Wortsinne.
SafePay und die Tiefenbacher Gruppe: Ein Warnsignal
Die SafePay-Ransomware-Gruppe ist kein unbeschriebenes Blatt. Im Jahr 2025 war sie für 452 bestätigte Angriffe verantwortlich und gilt als viertaktivste Ransomware-as-a-Service-Gruppe weltweit. SafePay nutzt üblicherweise bekannte Schwachstellen und kompromittierte Zugangsdaten für den Erstzugang, verschlüsselt Daten und droht mit deren Veröffentlichung im Darknet, falls kein Lösegeld gezahlt wird.
Die Tiefenbacher Gruppe ist ein in der Gesundheitswirtschaft tätiger Dienstleister – und damit genau jener Sektor, der durch das KRITIS-Dachgesetz besonders geschützt werden soll. Ob der Angriff am 17. März ein bewusst gewähltes Symbol war oder schlicht Zufall, spielt für die betroffenen Patienten, Mitarbeiter und Geschäftspartner keine Rolle. Die Realität ist: Kritische Infrastrukturen sind täglich Ziel professioneller Angreifer, und das Gesetz kommt nicht zu früh.
Das Gesundheitswesen ist besonders attraktiv für Angreifer, weil es unter extremem Druck steht, den Betrieb aufrechtzuerhalten. Ein Krankenhaus oder Gesundheitsdienstleister kann es sich schlicht nicht leisten, Systeme wochenlang offline zu nehmen – das macht die Bereitschaft zur Lösegeldzahlung statistisch höher als in anderen Branchen.
Was das für andere Betreiber bedeutet
Der SafePay-Angriff auf die Tiefenbacher Gruppe ist kein Einzelfall. Im Februar 2026 stieg die Zahl der Cyberangriffe auf deutsche Unternehmen um 11 Prozent gegenüber dem Vormonat. Im Durchschnitt sieht sich ein deutsches Unternehmen wöchentlich mit 1.345 Angriffen konfrontiert – Tendenz steigend.
Für Betreiber kritischer Anlagen ergibt sich daraus eine klare Handlungslogik: Das KRITIS-Dachgesetz gibt den Rahmen vor, aber die eigentliche Arbeit beginnt jetzt. Wer die Registrierungsfrist im Juli verpasst oder glaubt, dass ein Resilienzplan in der Schublade ausreicht, unterschätzt sowohl das rechtliche Risiko als auch die Bedrohungslage.
Konkret empfiehlt sich folgendes Vorgehen für potenziell betroffene Betreiber:
Schritt 1 – Betroffenheit prüfen: Ist Ihr Unternehmen in einem der elf KRITIS-Sektoren tätig? Versorgt Ihre Anlage mindestens 500.000 Menschen? Wenn ja, sind Sie mit hoher Wahrscheinlichkeit registrierungspflichtig. Lassen Sie die Betroffenheit rechtlich und technisch klären – am besten jetzt, nicht im Juni.
Schritt 2 – Verantwortlichkeiten intern klären: Das KRITIS-Dachgesetz macht die Geschäftsführung persönlich haftbar. Es braucht einen namentlich benannten Verantwortlichen, der die Umsetzung koordiniert und gegenüber Behörden auskunftsfähig ist.
Schritt 3 – Bestandsaufnahme der Sicherheitsmaßnahmen: Was existiert bereits? Welche Lücken gibt es? Die Risikoanalyse, die das Gesetz fordert, setzt voraus, dass Sie Ihre eigene Infrastruktur gut kennen. Für viele Betreiber ist das ein ernüchternder Prozess.
Schritt 4 – Meldeprozesse etablieren: Die 24-Stunden-Meldefrist für erhebliche Störungen ist sportlich. Ohne klare interne Eskalationsprozesse und vorbereitete Meldewege wird das in einem echten Ernstfall kaum zu schaffen sein.
Unsere Informationssicherheits-Leistungen und unsere Compliance-Lösungen können dabei helfen, den Weg zur Gesetzeskonformität strukturiert zu gehen – ohne dabei den laufenden Betrieb aus dem Blick zu verlieren.
Der Unterschied zwischen NIS2 und KRITIS-Dachgesetz
Viele Betreiber fragen sich, wie KRITIS-Dachgesetz und NIS2 zusammenhängen. Die kurze Antwort: Sie ergänzen sich, überschneiden sich aber auch. NIS2 adressiert Cybersicherheit und gilt für einen deutlich breiteren Unternehmenskreis – mit niedrigeren Schwellenwerten. Das KRITIS-Dachgesetz fokussiert auf physische und operative Resilienz und gilt nur für die rund 2.000 Betreiber wirklich kritischer Anlagen.
Wer unter beide Gesetze fällt – und das ist bei vielen Energieversorgern, Krankenhäusern und Wasserwerken der Fall –, muss beide Anforderungsrahmen parallel umsetzen. Das ist anspruchsvoll, aber auch eine Chance: Gut aufgestellte Sicherheits- und Resilienzstrukturen schützen nicht nur vor Bußgeldern, sondern vor realen Schäden.
Fazit: Der erste Tag ist kein Zufall – er ist eine Erinnerung
Das KRITIS-Dachgesetz ist kein bürokratisches Konstrukt. Es ist die Antwort des Gesetzgebers auf eine nachweislich verschärfte Bedrohungslage. Der Angriff auf die Tiefenbacher Gruppe am Tag des Inkrafttretens erinnert daran, dass Angreifer keine gesetzlichen Fristen abwarten. Sie handeln, während Betreiber noch diskutieren.
Die Registrierungsfrist am 17. Juli 2026 ist der erste harte Stichtag. Er ist knapp vier Monate entfernt. Wer noch keine Betroffenheitsanalyse durchgeführt hat, sollte das jetzt tun – bevor aus einem regulatorischen Risiko ein operatives wird.
Haben Sie Fragen zur Einordnung Ihrer Betroffenheit oder zur konkreten Umsetzung? Sprechen Sie uns an – über unser Kontaktformular oder direkt über unsere Leistungsseite.
