Von: Stephanie Gust
Kaum vier Arbeitstage hatten die Verbände Zeit, um den neuen Entwurf des KRITIS-Dachgesetzes zu kommentieren. Sowohl der Verband kommunaler Unternehmen (VKU) als auch der Bundesverband der Energie- und Wasserwirtschaft (BDEW) kritisieren diese enge Frist deutlich. Sie sehen die Chance zur ernsthaften Beteiligung ihrer Mitglieder dadurch massiv eingeschränkt.
Das Gesetz selbst soll erstmals den physischen Schutz lebenswichtiger Infrastrukturen bundesweit regeln. Hintergrund ist die EU-CER-Richtlinie 2022/2557, die die Mitgliedstaaten verpflichtet, Mindeststandards für kritische Einrichtungen festzulegen – von Energie und Wasser bis hin zu Transport und Gesundheit. Deutschland ist mit der Umsetzung im Verzug. Die Frist lief im Oktober 2024 ab, die EU-Kommission hat bereits ein Vertragsverletzungsverfahren eingeleitet.
Ein erster Anlauf war bereits im November 2024 gescheitert: Damals hatte das Kabinett den Entwurf noch unter Innenministerin Nancy Faeser beschlossen. Doch wegen des Bruchs der Ampel-Koalition kam er nicht mehr ins Parlament. Mit dem Regierungswechsel übernahm die CSU das Innenressort und brachte Ende August 2025 einen weitgehend identischen Referentenentwurf erneut auf den Weg. Bereits am 10. September soll er im Kabinett beschlossen werden – der Zeitdruck ist entsprechend hoch.
VKU: Aufteilungen der Zuständigkeiten bringt noch mehr Bürokratie mit sich
Der Verband kommunaler Unternehmen (VKU) begrüßt das Gesetz grundsätzlich, sieht aber erheblichen Nachbesserungsbedarf. Für die rund 1600 Mitgliedsunternehmen – darunter Stadtwerke, Energie- und Wasserversorger – geht es um handfeste Auswirkungen. Der VKU macht deutlich, dass der Schutz kritischer Anlagen rechtlich als überragendes öffentliches Interesse anerkannt werden müsse. Nur so könne sichergestellt werden, dass Schutzmaßnahmen in Konfliktfällen Vorrang genießen, etwa wenn Denkmalschutzauflagen oder vergaberechtliche Regeln dem Ausbau der Sicherheit entgegenstehen.
Besonders kritisch bewertet der Verband die geplante Aufteilung der Zuständigkeiten zwischen Bund und Ländern. Stadtwerke, die in mehreren Sparten und teils über Ländergrenzen hinweg tätig sind, müssten mit einer Vielzahl von Behörden auf unterschiedlichen Ebenen interagieren. Das würde die Bürokratie massiv erhöhen und im Zweifel die tatsächliche Sicherheit schwächen. Der VKU fordert deshalb eine klare Zentralisierung auf Bundesebene.
Zu kurze Fristen
Auch die kurzen Fristen stoßen auf Kritik. Nach Auffassung des VKU können Betreiber ihre Pflichten erst dann erfüllen, wenn ihnen die nationale Risikoanalyse des Bundes vorliegt. Diese Analyse soll die Bedrohungslage insgesamt bewerten – von Naturkatastrophen bis zu Sabotageakten – und damit die Grundlage für die betrieblichen Resilienzpläne bilden. Der Verband fordert, dass das Innenministerium diese Analyse spätestens einen Monat nach Inkrafttreten des Gesetzes bereitstellt. Andernfalls gehe den Unternehmen wertvolle Umsetzungszeit verloren. Zugleich betont der VKU, dass kommunale Versorger nicht für alle denkbaren Gefahren verantwortlich gemacht werden können. Hochprofessionelle Angriffe, etwa durch fremde Staaten oder terroristische Gruppen, fallen aus seiner Sicht eindeutig in die Schutzpflicht des Staates.
Schließlich betont der VKU, dass die erheblichen Investitionen in bauliche und organisatorische Sicherheitsmaßnahmen refinanziert werden müssen. Für die Energiewirtschaft fordert der Verband, dass diese Ausgaben in den Netzentgelten als dauerhaft nicht beeinflussbare Kosten anerkannt werden. In der Wasser- und Abwasserwirtschaft verweist er auf die Unterschiede zwischen den Bundesländern, welche Kosten als gebührenfähig gelten. Hier sei eine bundesweit einheitliche Lösung erforderlich, damit Sicherheitsausgaben vollständig in die Kalkulation einfließen können.
Darüber hinaus warnt der VKU vor übermäßigen Transparenzpflichten, die Angriffe erleichtern könnten, und sieht auch im Vergaberecht sowie bei Sicherheitsüberprüfungen von Personal Anpassungsbedarf.
BDEW: Einheitliches Nachweisverfahren verringert bürokratischen Aufwand
Auch der Bundesverband der Energie- und Wasserwirtschaft (BDEW) stimmt dem Gesetz in seiner Stoßrichtung zu, kritisiert jedoch ebenfalls die knappen Fristen und die teilweise unklare Abgrenzung zum NIS2-Umsetzungsgesetz. Der Verband hebt positiv hervor, dass die IT-Sicherheitskataloge der Bundesnetzagentur künftig auch für physische Resilienzanforderungen anerkannt werden sollen. Damit entstehe für Energieunternehmen ein einheitliches Nachweisverfahren, das den bürokratischen Aufwand verringert.
Besonderes Gewicht legt der BDEW auf die Frage der Finanzierung. Nach seiner Auffassung dürfen Investitionen in neue Detektions- und Schutzsysteme nicht nur über Netzentgelte oder Wassergebühren refinanziert werden, sondern müssen auch staatlich unterstützt werden. Angesichts der NATO-Vorgabe, bis zu 1,5 Prozent des Bruttoinlandsprodukts für Resilienzmaßnahmen einzuplanen, sei es folgerichtig, Ausgaben für Systeme wie Drohnendetektion und -abwehr als Teil der Gesamtverteidigung zu betrachten und aus dem Verteidigungshaushalt zu fördern.
Neubewertung von Transparenzpflichten
Darüber hinaus fordert der BDEW eine Neubewertung der Transparenzpflichten. Frei verfügbare Informationen über kritische Infrastrukturen – sei es in Behördenportalen oder Ausschreibungen – könnten mit digitalen Werkzeugen leicht missbraucht werden. Auch im Strafrecht sieht der Verband Nachholbedarf: Eingriffe in Energie- und Wasserinfrastrukturen sollten analog zu den Regelungen für Bahnanlagen geahndet werden, um eine abschreckende Wirkung zu erzielen.
Scharfe Kritik äußert der Verband daran, dass im Gesetz nur Meldepflichten für Betreiber vorgesehen sind. Eine verpflichtende Rückmeldung der Behörden, etwa in Form von Lagebildern oder Handlungsempfehlungen, fehle völlig. Betreiber seien jedoch auf diese Informationen angewiesen, um ihre eigenen Risikoanalysen zu fundieren. Hinzu kommt nach Einschätzung des BDEW ein dringender Bedarf an klaren gesetzlichen Grundlagen für Sicherheitsüberprüfungen von Personal in sensiblen Bereichen. Auch die Abwehr von Drohnenangriffen sei bislang rechtlich nicht eindeutig geregelt. Hier müsse geklärt werden, inwieweit Betreiber selbst tätig werden können und ob sie im Rahmen einer staatlichen Beleihung mit Haftungsfreistellung agieren dürfen.
Konflikte zu Umwelt- und Strafrecht
Schließlich weist der BDEW auf Konflikte mit bestehendem Umwelt- und Strafrecht hin. Wenn etwa Storchennester auf Freileitungsmasten zu Störungen führen, stehen Netzbetreiber vor einem Dilemma: Eingriffe können strafbar sein, sind aber für eine schnelle Entstörung oft unvermeidbar. Das KRITIS-Dachgesetz müsse hier Rechtssicherheit schaffen.
