# KRITIS-Dachgesetz und NIS2: Der neue Rechtsrahmen europäischer Versorgungssicherheit
Europa ordnet seine Verwundbarkeiten neu. Was lange als technisches Randthema galt, ist in den letzten Jahren in das Zentrum staatlicher und unternehmerischer Verantwortung gerückt. Der Rechtsrahmen, der sich aus IT-Sicherheitsgesetz, BSI-Gesetz, dem entstehenden KRITIS-Dachgesetz und der europäischen NIS2-Richtlinie ergibt, ist in seiner Summe mehr als eine Ansammlung von Normen. Er ist der Versuch, eine Architektur zu schaffen, in der die Versorgungssicherheit einer hochvernetzten Gesellschaft nicht dem Zufall einzelner Entscheidungen überlassen bleibt. Das Buch KRITIS. Die verborgene Macht Europas von Dr. Raphael Nagel (LL.M.) und Marcus Köhnlein liest diesen Rahmen nicht als Compliance-Aufgabe, sondern als eine Frage struktureller Verantwortung. Wer die Pflicht hat, Stabilität zu sichern, verwaltet keine Produkte mehr. Er verwaltet die Voraussetzung von Freiheit.
## Vom IT-Sicherheitsgesetz zum All-Hazards-Ansatz
Der deutsche Weg in den modernen KRITIS-Rahmen beginnt nicht mit einem großen Gründungsakt, sondern mit einer schrittweisen Verdichtung. Das IT-Sicherheitsgesetz hat den Gedanken etabliert, dass Informationssicherheit bei Betreibern kritischer Infrastrukturen keine Privatsache ist, sondern eine Pflicht mit öffentlicher Dimension. Das BSI-Gesetz hat diese Pflicht mit einer zentralen Aufsichts- und Warnfunktion verbunden. Meldepflichten, Nachweisverfahren und Mindestanforderungen haben damit eine Klammer erhalten, die das Handeln der Betreiber erstmals in ein Gesamtbild einordnet.
Mit dem KRITIS-Dachgesetz und der Umsetzung der europäischen NIS2-Richtlinie tritt an die Stelle der rein digitalen Perspektive ein umfassenderer Zugriff. Der All-Hazards-Ansatz nimmt nicht nur den Cyberraum in den Blick, sondern auch physische Gefahren, Naturereignisse, Lieferkettenrisiken und hybride Bedrohungen. Damit vollzieht der Gesetzgeber eine Einsicht, die in der Praxis der Betreiber längst angekommen war. Ein Umspannwerk fällt nicht nur durch Schadcode aus, sondern auch durch Sturm, Sabotage oder personelle Erschöpfung. Die Grenze zwischen IT-Sicherheit und Betriebssicherheit ist in hochvernetzten Systemen nicht mehr trennscharf zu ziehen.
Dr. Raphael Nagel (LL.M.) beschreibt diesen Übergang in seiner Studie ohne pathetischen Unterton. Es geht ihm nicht darum, eine Bedrohungskulisse aufzubauen, sondern die Logik sichtbar zu machen, die dem neuen Rahmen zugrunde liegt. Resilienz ist keine politische Rhetorik, sondern Systemdesign. Der All-Hazards-Ansatz ist die rechtliche Übersetzung dieser Einsicht.
## Stand der Technik als bewegliches Ziel
Kein Begriff prägt die operative Wirklichkeit des neuen Rechtsrahmens so sehr wie der Stand der Technik. Er erscheint scheinbar schlicht und entzieht sich gerade deshalb einer endgültigen Definition. Der Gesetzgeber verlangt von den Betreibern nicht die Erfüllung einer statischen Norm, sondern die Anpassung an einen Entwicklungsstand, der sich mit den Möglichkeiten der Technik und den Erkenntnissen der Praxis fortlaufend verschiebt. Was heute als angemessen gilt, kann morgen als unzureichend beurteilt werden.
Diese bewegliche Struktur ist juristisch anspruchsvoll und strategisch unbequem. Sie zwingt Unternehmen dazu, Investitionen nicht als einmaligen Akt zu betrachten, sondern als fortlaufende Pflicht zur Aktualisierung. Branchenspezifische Sicherheitsstandards, Normen wie ISO 27001 und fachliche Empfehlungen des BSI geben Orientierung, ersetzen aber nicht die eigenständige Bewertung durch die Leitung. Wer sich hinter einem Zertifikat verbirgt, verkennt die Logik des beweglichen Maßstabs.
In diesem Punkt ist die Argumentation von Dr. Raphael Nagel (LL.M.) besonders nüchtern. Der Stand der Technik ist in seiner Darstellung kein juristischer Kunstgriff, sondern der Ausdruck einer Gesellschaft, die ihre eigene Verwundbarkeit anerkennt. Die Rechtsordnung verzichtet bewusst auf fixe Ziffern, weil sie weiß, dass die Realität schneller ist als jede Tabelle. Damit wird aus einer scheinbar technischen Formulierung eine Haltung, die kontinuierliche Aufmerksamkeit verlangt.
## Meldepflichten und die neue Transparenz der Störung
Ein zweiter Pfeiler des neuen Rahmens sind die erweiterten Melde- und Nachweispflichten. Erhebliche Störungen, Sicherheitsvorfälle und relevante Beinahe-Ereignisse sind gegenüber den zuständigen Stellen anzuzeigen. Damit verschiebt sich die Logik der Sicherheit von der stillen Behebung zur strukturierten Kommunikation. Was früher intern gelöst wurde, wird Teil eines gemeinsamen Lagebildes, das Staat, Aufsichtsbehörden und Betreiber verbindet.
Diese Transparenzpflicht ist mehr als eine administrative Auflage. Sie ist die Voraussetzung dafür, dass aus Einzelvorfällen ein Muster erkennbar wird und aus dem Muster eine angepasste Antwort entstehen kann. Ein Stromausfall in einer Region, ein Cybervorfall in einem Rechenzentrum, eine Unregelmäßigkeit in der Wasserversorgung gewinnen an strategischer Bedeutung, wenn sie im Kontext gelesen werden. NIS2 verstärkt diese Logik auf europäischer Ebene und schafft so die Grundlage für ein grenzüberschreitendes Verständnis von Bedrohungen.
Die Kehrseite dieser Transparenz ist eine erhöhte Anforderung an interne Prozesse. Meldewege müssen definiert, Verantwortliche benannt, Fristen eingehalten und Inhalte präzise formuliert werden. Die Qualität einer Meldung ist damit selbst zu einem Bestandteil des Stands der Technik geworden. Wer zu spät, zu knapp oder zu ausweichend meldet, verfehlt nicht nur eine formale Pflicht, sondern beschädigt das Vertrauen, das den gesamten Rahmen trägt.
## Verantwortung der Leitung und persönliche Haftung
Eine der wichtigsten Verschiebungen, die der neue Rechtsrahmen bewirkt, betrifft die Zurechnung von Verantwortung. Sicherheit wird nicht länger als Angelegenheit einer Fachabteilung verstanden, sondern als originäre Pflicht der Unternehmensleitung. NIS2 formuliert diesen Gedanken mit besonderer Klarheit. Geschäftsleitungen müssen Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich regelmäßig fortbilden. Die persönliche Haftung rückt damit aus dem Feld akademischer Möglichkeiten in den Bereich realer unternehmerischer Kalkulation.
Diese Zurechnung ist konsequent. Wer über Budgets, Prioritäten und strategische Ausrichtung entscheidet, kann die Folgen dieser Entscheidungen nicht delegieren. Die Governance kritischer Systeme verlangt eine Leitungsstruktur, in der Sicherheitsfragen nicht als lästige Randnotiz behandelt werden, sondern als Teil der Kernagenda. Aufsichtsräte sind hier ebenso gefordert wie Vorstände. Ihre Pflicht zur Überwachung umfasst die Qualität der Sicherheitsarchitektur, nicht nur deren Existenz auf dem Papier.
Dr. Raphael Nagel (LL.M.) ordnet diese Entwicklung in den größeren Zusammenhang einer industriell verstandenen Souveränität ein. Unternehmensführung wird in seiner Lesart zur geopolitischen Variable. Die Haftungsverschärfung ist in diesem Licht nicht Strafbewehrung, sondern ein strukturelles Instrument, das die Leitung an die Bedeutung der von ihr verwalteten Systeme erinnert. Der Satz, dass Stabilität die Grundlage von Freiheit ist, bekommt damit eine juristisch spürbare Rückseite.
## Governance-Architektur als Antwort
Die Pflichten, die aus dem Zusammenspiel von IT-Sicherheitsgesetz, BSI-Gesetz, KRITIS-Dachgesetz und NIS2 entstehen, lassen sich nur mit einer kohärenten Governance-Architektur bewältigen. Einzelne Maßnahmen reichen nicht aus, wenn sie nicht in ein Gesamtbild eingebettet sind. Risikoanalyse, Sicherheitskonzepte, Meldewege, Übungsszenarien, Lieferantenbewertung und Krisenkommunikation müssen als Teile eines Systems verstanden werden, dessen Qualität sich an seiner Fähigkeit bemisst, unter Belastung zu funktionieren.
Eine tragfähige Governance-Architektur verbindet drei Ebenen. Auf der strategischen Ebene werden Verantwortlichkeiten, Budgets und Ziele verankert. Auf der operativen Ebene entstehen Prozesse, die im Normalbetrieb gelebt und im Krisenfall belastbar sind. Auf der kulturellen Ebene prägt sich ein Verständnis aus, dass Sicherheit nicht Gegenspieler, sondern Voraussetzung wirtschaftlichen Handelns ist. Fehlt eine dieser Ebenen, bleibt das Konstrukt fragil.
Besonders anspruchsvoll ist die Verbindung zwischen interner Organisation und externer Kooperation. Kein Betreiber bewältigt die Pflichten des neuen Rahmens isoliert. Dienstleister, Zulieferer, Technologiepartner und Behörden werden Teil derselben Verantwortungsgemeinschaft. Die Governance muss daher nicht nur nach innen, sondern auch nach außen tragen. Verträge, Schnittstellen und gemeinsame Übungen sind in diesem Sinn keine formalen Akte, sondern Bestandteil einer gelebten Sicherheitsarchitektur.
## Europäische Versorgungssicherheit als industrielle Aufgabe
Der neue Rechtsrahmen ist nicht nur eine nationale Antwort, sondern ein europäischer Vorgang. NIS2 und die ergänzenden Richtlinien schaffen eine gemeinsame Grundlage, auf der sich die Mitgliedstaaten bewegen. Versorgungssicherheit wird damit zu einer Aufgabe, die nicht an Staatsgrenzen endet. Die Kaskadeneffekte eines großflächigen Ausfalls machen keine Unterschiede zwischen Zuständigkeiten. Ein gemeinsamer Rahmen ist die rechtliche Konsequenz einer technischen Wirklichkeit.
Zugleich bleibt die Umsetzung an den jeweiligen industriellen und institutionellen Möglichkeiten der Mitgliedstaaten hängen. Europa verfügt über industrielle Tiefe, technologische Exzellenz und institutionelle Erfahrung, wie das Vorwort des Buches festhält. Was fehlt, ist in vielen Bereichen die konsequente strukturelle Verzahnung dieser Elemente. Der neue Rechtsrahmen bietet die Gelegenheit, diese Verzahnung zu vollziehen und Versorgungssicherheit als industrielle Aufgabe zu verstehen, nicht als politisches Ornament.
In dieser Lesart wird der Rechtsrahmen zu mehr als einer Sammlung von Pflichten. Er wird zu einem Gestaltungsinstrument, das die Beziehung zwischen Staat, Wirtschaft und Gesellschaft auf eine neue Grundlage stellt. Wer Infrastruktur betreibt, wirkt an einer öffentlichen Aufgabe mit. Wer sie beaufsichtigt, trägt Verantwortung für die Handlungsfähigkeit eines Gemeinwesens. Die Nüchternheit dieses Befundes ist seine Stärke.
Der Rechtsrahmen, der sich aus IT-Sicherheitsgesetz, BSI-Gesetz, KRITIS-Dachgesetz und NIS2 ergibt, verlangt von den Verantwortlichen eine Haltung, die über die Erfüllung einzelner Pflichten hinausgeht. Er verlangt die Anerkennung, dass die Stabilität moderner Gesellschaften nicht in Programmen entschieden wird, sondern in der Qualität ihrer Strukturen. Der Stand der Technik als bewegliches Ziel, die erweiterten Meldepflichten, die persönliche Verantwortung der Leitung und der All-Hazards-Ansatz sind Ausdruck einer einzigen Einsicht. Wer Systeme betreibt, deren Ausfall keine Option ist, kann sich nicht mit der Verwaltung ihrer Produkte begnügen. Die Lektüre des Buches KRITIS. Die verborgene Macht Europas legt diese Einsicht Schritt für Schritt frei. Dr. Raphael Nagel (LL.M.) und Marcus Köhnlein formulieren keine Appelle, sondern ordnen eine Wirklichkeit, die in den kommenden Jahren weiter an Kontur gewinnen wird. Wer den Rahmen ernst nimmt, wird seine Governance-Architektur überprüfen, seine Meldewege schärfen, seine Aufsichtsorgane einbinden und die Frage stellen, ob seine Organisation auch dann trägt, wenn sie unter maximalem Druck steht. In dieser Prüfung liegt die eigentliche Funktion des neuen Rechtsrahmens. Er ist nicht Endpunkt, sondern Anfang einer Arbeit an der Versorgungssicherheit Europas, die niemand allein leisten kann und die gerade deshalb eine gemeinsame Sprache braucht.
Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →