KRITISDachG

KRITIS-Dachgesetz

Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen

Vom 11.3.2026

§ 13

Resilienzpflichten der Betreiber kritischer Anlagen; Resilienzplan

(1) Der Betreiber kritischer Anlagen ist verpflichtet, nach Maßgabe der Absätze 2 und 3 Maßnahmen zur Gewährleistung seiner Resilienz zu treffen, um

1. das Auftreten von Vorfällen zu verhindern,
2. einen angemessenen physischen Schutz von Liegenschaften und kritischen Anlagen zu gewährleisten,
3. auf Vorfälle zu reagieren, sie abzuwehren und die negativen Auswirkungen solcher Vorfälle zu begrenzen und
4. nach Vorfällen die zügige Wiederherstellung der kritischen Dienstleistung zu gewährleisten.

(2) 1Für die Erreichung der Ziele sind auf Grundlage der nationalen Risikoanalysen und Risikobewertungen sowie der Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen verhältnismäßige technische, sicherheitsbezogene und organisatorische Maßnahmen zu treffen. 2Der Stand der Technik soll eingehalten werden. 3Insgesamt ist ein Verhältnismäßigkeitsmaßstab anzuwenden. 4Dabei ist eine Zweck-Mittel-Relation vorzunehmen, bei der insbesondere der Aufwand zur Verhinderung oder Begrenzung eines Ausfalls gegen das Risiko eines Vorfalls abzuwägen ist. 5Wirtschaftliche Aspekte, darunter die Leistungsfähigkeit des Betreibers, sind zu berücksichtigen.

(3) Zu den Maßnahmen zur Erreichung der Ziele nach Absatz 1 können die folgenden zählen, soweit ihnen nicht bereits bestehende spezialgesetzliche Regelungen in den jeweiligen Branchen vorgehen:

1. zum Zweck der Zielerreichung nach Absatz 1 Nummer 1 zählen Maßnahmen der Notfallvorsorge,
2. zum Zweck der Zielerreichung nach Absatz 1 Nummer 2 zählen:
a) Maßnahmen der baulichen und technischen Sicherung und des organisatorischen Schutzes (Objektschutz) wie Liegenschaftsabgrenzungen und hemmende Fassadenelemente,
b) Instrumente und Verfahren für die Überwachung der Umgebung,
c) der Einsatz von Detektionsgeräten und
d) Zugangskontrollen,
3. zum Zweck der Zielerreichung nach Absatz 1 Nummer 3 zählen:
a) Risiko- und Krisenmanagementverfahren und -protokolle und
b) vorgegebene Abläufe im Alarmfall,
4. zum Zweck der Zielerreichung nach Absatz 1 Nummer 4 zählen:
a) Maßnahmen zur Aufrechterhaltung des Betriebs, darunter die Notstromversorgung und
b) die Ermittlung alternativer Lieferketten, um die Erbringung des wesentlichen Dienstes wiederaufzunehmen,
5. ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden zu gewährleisten, einschließlich des Personals externer Dienstleister, und
6. das Personal für die unter den in Absatz 1 Nummer 1 bis 4 sowie in Nummer 5 genannten Maßnahmen durch Informationsmaterialien, Schulungen und Übungen vertraut zu machen.

(4) 1Der Betreiber kritischer Anlagen muss die Maßnahmen nach Absatz 1 in einem Resilienzplan darstellen und diesen anwenden. 2Aus dem Resilienzplan müssen die den Maßnahmen zugrunde liegenden Erwägungen hervorgehen. 3Auf die Risikoanalyse und Risikobewertung des Betreibers ist Bezug zu nehmen. 4Der Resilienzplan ist bei Bedarf sowie nach Durchführung einer Risikoanalyse und Risikobewertung des Betreibers kritischer Anlagen zu aktualisieren.

(5) Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stellt bis einschließlich 17. Januar 2026 Vorlagen und Muster für die Erstellung von Resilienzplänen auf seiner Internetseite bereit.

Vorherige Norm Nächste Norm