Deutschland März 2026: KRITIS-Dachgesetz in Kraft – CER verpflichtet 1.300 Betreiber zu Zuverlässigkeitsüberprüfungen. Validato Regulations CER digita

Am 16. März 2026 trat das KRITIS-Dachgesetz in Kraft. Rund 1.300 Betreiber in elf Sektoren müssen Resilienzpläne, Risikoanalysen und Personalsicherheitskonzepte umsetzen. Validato Regulations CER liefert die rechtskonforme Plattform für Integritäts-

(PresseBox) - Sabotage an Strom- und Gasinfrastruktur, Anschläge auf Schienennetze, Cyberangriffe auf Krankenhäuser: Die hybride Bedrohungslage gegenüber kritischen Infrastrukturen in Europa hat eine neue Qualität erreicht. Die EU hat mit der CER-Richtlinie (Critical Entities Resilience Directive, EU 2022/2557) einen einheitlichen Rechtsrahmen für die physische Resilienz kritischer Einrichtungen geschaffen.

In Deutschland trat das korrespondierende KRITIS-Dachgesetz am 16. März 2026 in Kraft. Es definiert klare Pflichten – darunter, oft unterschätzt, die systematische Überprüfung von Personal und externen Dienstleistern. Validato unterstützt mit dem Modul „Validato Regulations CER“ betroffene Organisationen beim strukturierten, DSGVO-konformen und revisionssicheren Human Risk Management.

Deutschland 2026: KRITIS-Dachgesetz – Inkrafttreten und Pflichtenprogramm

Das KRITIS-Dachgesetz (BGBl. 2026 I Nr. 66 vom 16. März 2026) schafft erstmals einen bundeseinheitlichen Rechtsrahmen für die sektorenübergreifende physische Sicherheit kritischer Infrastrukturen und ergänzt die seit Dezember 2025 geltenden NIS2-Cybersicherheitspflichten um physischen Resilienzschutz nach dem „All-Gefahren-Ansatz“.

Registrierung beim BBK: Bis spätestens 17. Juli 2026 müssen sich alle Betreiber kritischer Anlagen beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) digital registrieren.

Risikoanalyse (§ 12 KRITISDachG): Spätestens neun Monate nach Registrierung; All-Gefahren-Ansatz (Naturgefahren, Terrorismus, Sabotage, Lieferkettenunterbrechungen); Wiederholung mindestens alle vier Jahre.

Resilienzplan (§ 13 KRITISDachG): Spätestens zehn Monate nach Registrierung; muss technische, bauliche und organisatorische Massnahmen umfassen – ausdrücklich inkl. Personalsicherheitskonzepte und Zuverlässigkeitsüberprüfungen.

Meldepflichten: Erstmeldung innerhalb von 24 Stunden; vollständiger Bericht innerhalb von 30 Tagen an das BBK.



Bussgelder: Bis zu 500.000 Euro bei KRITIS-DachG-Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei gleichzeitigen NIS2-Verstössen. Persönliche Geschäftsleiterhaftung nach § 43 GmbHG / § 93 AktG.

“Das KRITIS-Dachgesetz ist am 17. März 2026 in Kraft getreten. Es gilt. Jetzt. Risikoanalyse, Resilienzplan, Meldepflichten – und eine Pflicht zur Überprüfung von Personal in sicherheitsrelevanten Positionen.”

– pleXtec, März 2026

Die unterschätzte Kernpflicht: Personalsicherheit als Teil des Resilienzplans

Gemäss § 13 KRITISDachG und Artikel 12/13 der CER-Richtlinie muss der Resilienzplan folgende personalrelevante Massnahmen enthalten:

Zuverlässigkeitsüberprüfungen: Mitarbeitende und externe Dienstleister in sicherheitsrelevanten Positionen können einer Sicherheitsüberprüfung unterzogen werden – ausdrücklich im KRITIS-Dachgesetz verankert.

Externe Partner und Servicetechniker: Lieferanten und Servicetechniker mit physischem oder digitalem Zugang zu kritischen Anlagen unterliegen denselben Integritäts- und Zuverlässigkeitsanforderungen wie interne Mitarbeitende.

Zugangskontrollen: Wer wann welche kritische Anlage betreten darf – Zugangsberechtigung, Identitätsnachweise und Aktualisierung der Zugangsrechte müssen dokumentiert sein.

Awareness und Schulungen: Regelmässige Schulungen zu Sicherheitsbedrohungen, Sabotagepravention und Verhaltensregeln; Schulungsprogramm muss dokumentiert und Wirksamkeit nachgewiesen sein.

Die EU CER-Richtlinie: Elf Sektoren, 27 Mitgliedstaaten, eine Resilienzpflicht

Die CER-Richtlinie trat am 16. Januar 2023 in Kraft und erfasst Betreiber kritischer Einrichtungen in elf wesentlichen Sektoren:

Energie: Elektrizität, Erdgas, Fernwärme, Erdöl, Wasserstoffversorgung

Transport und Verkehr: Luftverkehr, Eisenbahn, See- und Binnenschifffahrt, Strassenverkehr

Bankwesen und Finanzmarktinfrastruktur

Gesundheitswesen: Krankenhäuser, Labore, Pharmaunternehmen, Medizingeräte

Trinkwasser und Abwasser

Digitale Infrastruktur: Internet Exchange Points, DNS, TLD-Registrierungen, Cloud-Anbieter

Öffentliche Verwaltung (nationale und regionale Behörden)

Weltraum (Bodeninfrastrukturen für raum-gestützte Dienste)

Ernährung (Produktion, Verarbeitung und Vertrieb von Lebensmitteln)

Österreich: RKEG seit Oktober 2025

Österreich hat die CER-Richtlinie durch das Gesetz „Resilienz kritischer Einrichtungen-Gesetz“ (RKEG) umgesetzt, das am 16. Oktober 2025 verkündet wurde. Zuständige Behörde ist das Bundesministerium für Inneres (BMI). Validato unterstützt österreichische KRITIS-Betreiber mit denselben Überprüfungsprozessen, abgestimmt auf das österreichische Datenschutzrecht (DSG 2018 und DSGVO).

CER und NIS2: Das komplementäre Resilienz-Duo für Deutschland und die EU

NIS2 (Cybersicherheit) + CER (physische Resilienz) = Vollständige Resilienz: Wer nur eines umsetzt, hat systemische Lücken.

DORA (seit Januar 2025): CER-Anforderungen zur physischen Resilienz und Personalsicherheit gelten ergänzend für Finanzinfrastrukturen.

EU AI Act: KI-Systeme in kritischen Infrastrukturen sind Hochrisiko-KI (Anhang III, Nr. 2). CER-Betreiber mit KI-gestützten Steuerungs- oder Zugangskontrollsystemen müssen beide Regelwerke erfüllen.

ISO 22301 (BCM): Der Resilienzplan nach KRITIS-DachG ist kompatibel mit ISO 22301 – solide Ausgangsbasis für Betreiber mit bestehendem BCM.

ISO 27001: Das ISMS nach ISO 27001 deckt wesentliche Teile der CER-Anforderungen ab. Integriertes Managementsystem spart erhebliche Dopplungsaufwände.

Validato Regulations CER: Das digitale Human Risk Management Framework für KRITIS-Betreiber

Pre-Employment-Screening: Rechtskonforme Überprüfung von Kandidaten in sicherheitsrelevanten Positionen – Identität, Strafregister, Insolvenz- und Betreibungsregister, Beschäftigungshistorie, Qualifikationen.

In-Employment-Monitoring: Laufendes Screening gegen SECO/OFAC/EU-Sanktionslisten, PEP-Datenbanken und Adverse Media; automatische Alerts bei neuen Treffern.

Externe Dienstleister-Überprüfung: Servicetechniker, IT-Dienstleister und Partner mit Zugang zu kritischen Anlagen; weltweite Abdeckung in über 200 Ländern.

Zuverlässigkeitsüberprüfungen nach CER/KRITIS: Strukturiertes Framework mit Differenzierung nach Sicherheitsstufen; DSGVO-konformer Einwilligungsprozess mit digitaler E-Signatur.

Zugangskontrolle und Dokumentation: Verwaltung von Zugangsberechtigung und Überprüfungsstatus; automatische Eskalation bei auslaufenden Überprüfungen.

DSGVO-konformer Überprüfungsworkflow: Rechtsgrundlagen nach DSGVO Art. 6, Art. 9 und sektorspezifischen Öffnungsklauseln; Compliance mit BDSG (Deutschland) und DSG 2018 (Österreich).

Globale Überprüfungsabdeckung: Besonders relevant für KRITIS-Betreiber mit internationalen Lieferketten, multinationalen Serviceverträgen oder global operierenden Infrastrukturen.

Revisionssicherer Audit-Trail: Zeitgestempelt, bereit für Audits durch BBK, BSI und sektorspezifische Aufsichtsbehörden (Bundesnetzagentur, BaFin, BfArM usw.).

Zahlen, Daten, Fakten: CER-Richtlinie und KRITIS-Dachgesetz in Deutschland

Januar 2023: CER-Richtlinie (EU 2022/2557) tritt in Kraft.

Oktober 2024: Ursprüngliche EU-Umsetzungsfrist – von Deutschland und mehreren Mitgliedstaaten verpasst.

Januar 2026: Bundestag beschliesst das KRITIS-Dachgesetz.

März 2026: Bundesrat stimmt dem KRITIS-Dachgesetz zu.

März 2026: KRITIS-Dachgesetz tritt in Kraft (BGBl. 2026 I Nr. 66).

Juli 2026: Registrierungsfrist für Betreiber kritischer Anlagen beim BBK.

1.300 betroffene Betreiber kritischer Anlagen in Deutschland (Schätzung Gesetzgebründung).

1,7 Mrd. Euro einmaliger Belastungsrichtwert; 500 Mio. Euro jährlicher Belastungsrichtwert (Gesetzgebründung, November 2024).

11 Sektoren durch die CER-Richtlinie erfasst – von Energie und Transport bis Weltraum und Ernährung.

Bis zu 500.000 Euro Bussgelder bei rein physischen Verstössen; bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes bei gleichzeitigen NIS2-Verstössen.

“Physische Resilienz wird Pflicht – Das KRITIS-Dachgesetz definiert ein klares zeitliches Pflichtenprogramm. Risikoanalyse, Resilienzplan, Meldewesen – und ausdrücklich: Personalsicherheitskonzepte für Mitarbeitende und Dienstleister in sicherheitsrelevanten Positionen.”

– Kapellmann Rechtsanwälte, Januar 2026

Validato ist ein führender Anbieter für zuverlässige Background Checks und Human Risk Management in Deutschland. Die Plattform unterstützt Unternehmen dabei, Bewerberinnen sowie bestehende Mitarbeitende strukturiert und effizient auf Integrität, Interessenskonflikte und potenzielle Risiken zu prüfen – datenschutzkonform, modular und skalierbar.

Validato ist speziell auf die Anforderungen in Deutschland ausgerichtet, verzichtet auf Set-up-Gebühren, Jahresgebühren oder Mindestanzahl an Screenings und lässt sich flexibel in bestehende HR- oder Recruiting-Prozesse integrieren.

Mehr unter: www.validato.com

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: PresseBox
Datum: 26.05.2026 - 08:00 Uhr
Sprache: Deutsch
News-ID 2253165
Anzahl Zeichen: 9991

Kontakt-Informationen:
Ansprechpartner: Reto Marti
Stadt:

Frankfurt

Telefon: +41 (44) 5157776

Kategorie:

New Media & Software

Diese Pressemitteilung wurde bisher 299 mal aufgerufen.

Deutschland setzt auf Qualität: Validato liefert globale Referenzprüfungen für sichere, fundierte Einstellungsentscheidungen ...
Deutschland im Wandel: Warum strukturierte Referenzprüfungen den subjektiven Referenzanruf ersetzen Die informelle Nachfrage bei einem früheren Vorgesetzten gehört in deutschen Unternehmen seit Jahrzehnten zum Einstellungsprozess. Doch je komplexer die Anforderungen an Führungskräfte und Schlü

Deutschland rechtssicher aufgestellt: Validato automatisiert die Arbeitsbewilligungsprüfung für internationale Teams weltweit ...
. Deutschland im Fokus: Illegale Beschäftigung als gravierendes Compliance- und Haftungsrisiko Die Beschäftigung ausländischer Mitarbeitender ohne gültige Arbeitsbewilligung zieht in Deutschland erhebliche rechtliche und finanzielle Konsequenzen nach sich. Bußgelder von bis zu 500.000 Euro, str

Schweizer Präzision für Deutschland: Validato verifiziert Berufserfahrungen weltweit – automatisiert, rechtssicher und DSGVO-konform ...
. Deutschland im Visier: Lebenslauf-Fälschungen als unterschätztes Unternehmensrisiko Falsche Angaben zu Positionen, erfundene Arbeitgeber oder manipulierte Beschäftigungsdauern gehören zu den häufigsten und gleichzeitig folgenreichsten Täuschungsversuchen in Bewerbungsunterlagen. Für Unterne

Weitere Mitteilungen von Validato AG

Deutschland April 2026: BSI veröffentlicht C5:2026 mit 168 Kriterien – Validato Regulations digitalisiert C5-Gap-Analyse, Anforderungsmanagement und T ...
Cloud Computing ist die Basis der modernen industrialisierten IT – und damit Ziel einer wachsenden Zahl von Cyberangriffen. Das BSI stellt diesem Risiko seit 2016 mit dem Cloud Computing Compliance Criteria Catalogue (C5) einen robusten, prüfbaren Sicherheitsstandard entgegen. Am 7. April 2026 v

Deutschland 2024: VDA ISA 6.0 verbindlich, 9.500+ TISAX-Labels aktiv– Validato Regulations digitalisiert ISMS-Aufbau und TISAX-Assessment-Vorbereitun ...
Die globale Automobilindustrie befindet sich in einem beispiellosen Digitalisierungsschub. Vernetzte Fahrzeuge, Software-defined Cars, autonomes Fahren und komplexe internationale Lieferketten machen Informationssicherheit zum kritischen Wettbewerbsfaktor. Im Zentrum steht TISAX® (Trusted Informati

LiberNovo-Sommerauftakt in ganz Europa: Ein fünftägiges Flash-Angebot und zwei Show Floors ...
Der LiberNovo Summer Kickoff Flash startet am Freitag, dem 22. Mai, in der gesamten EU (9:00 Uhr MESZ) und im Vereinigten Königreich (8:00 Uhr BST) und läuft fünf Tage lang. LiberNovo Omni wird in einem regionalen Bundle mit einem Preisnachlass von 651 € in der EU und 549,50 £ im Vereinig

TERRA WORTMANN OPEN: Spitzensport, Innovation und persönliche Kundennähe auf Weltklasse-Niveau ...
Die WORTMANN AG blickt mit großer Vorfreude auf die 33. Auflage der TERRA WORTMANN OPEN vom 13. bis 21. Juni 2026 in HalleWestfalen. Seit der Übernahme der Namenspartnerschaft Ende 2021 trägt Deutschlands bedeutendstes ATP-500-Rasenturnier den Namen der erfolgreichen deutschen IT-Marke TERRA. Die