Bedeutung des KRITIS-Dachgesetzes für die Telekommunikationsbranche
Am 29.01.2026 hat der Bundestag das KRITIS-Dachgesetz mit der Absicht, die Resilienz kritischer Anlagen zu stärken, verabschiedet. Zu den Adressaten dieses Gesetzes gehören unter der Sektorenbezeichnung "Informationstechnik und Telekommunikation" grundsätzlich auch Telekommunikationsunternehmen. Aus Sicht der Telekommunikationsunternehmen tritt als neue "Zentrale Anlaufstelle" das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe in Erscheinung, die sogenannte "Zuständige Behörde" ist allerdings die Bundesnetzagentur.
Das wohl Wichtigste: Die genaue Ausgestaltung der sogenannten Schwellenwerte, ab denen eine Anlage unter das Regime des Gesetzes fällt, ist erst noch durch das Bundesministerium des Innern per Verordnung zu bestimmen. Der Regelwert für diesen Schwellenwerte beträgt zunächst grundsätzlich 500.000 von einer Anlage zu versorgende Einwohner. Damit dürfte das KRITIS-Dachgesetz für die Vielzahl der mittelständischen Telekommunikationsunternehmen in Deutschland keine Auswirkungen haben. Trotzdem sollte die Entwicklung der Gesetzgebung weiter verfolgt werden. Zukünftig könnten auch Kategorien von Anlagen, die unabhängig von diesen Schwellenwerte als erheblich für die Erbringung einer kritischen Dienstleistung gelten, per Verordnung definiert werden.
Interessant ist, dass in Zukunft im Zusammenspiel zwischen Bundesministerien und Landesministerien und den ihnen zugeordneten Behörden nationale Risikoanalysen und Risikobewertungen entstehen werden. Auf dieser Basis werden die Unternehmen und Organisationen, die unter das KRITIS-Dachgesetz fallen, dann eigene Risikobewertungen zu erstellen haben.
Für die vom KRITIS-Dachgesetz betroffenen Unternehmen gilt analog zum NIS-2-Umsetzungsgesetz: Wer bisher seinen Pflichten nachgekommen war und über ein aussagefähiges Sicherheitskonzept sowie ein Risikomanagement-System verfügt, hat einen überschaubaren Aufwand, um konform zur neuen Gesetzgebung zu agieren. Es sollte aber nochmals intensiv hinterfragt werden, ob das Risikomanagement ausführlich genug, aktuell und Teil eines „lebenden“ Management-Systems ist.
Das KRITIS-Dachgesetz ist also ein guter Anlass, um ein ggf. bereits vorhandene Risikomanagement-System zu überprüfen und erforderlichenfalls nachzuschärfen. Als eine gute Möglichkeit dazu bieten wir ein Sicherheitsaudit an, das den aktuellen Status verifiziert und konkrete Handlungsempfehlungen liefert. Egal, wo Sie gerade stehen: Wir unterstützen Sie beim Aufbau, der Erweiterung, Überprüfung oder Optimierung Ihres Risikomanagements als Teil Ihres Sicherheitskonzepts (siehe auch -> Link zum Thema Sicherheitskonzept).
Und übrigens: In unserem Seminar zur Ausbildung der TK-Sicherheitsbeauftragten gehen wir ausführlich auf das KRITIS-Dachgesetz ein.
