Ende Dezember 2023 wurde der zweite Entwurf vom KRITIS-Dachgesetz veröffentlicht. Das KRITIS-DachG wird als zusätzliche KRITIS-Regulierung die physische Sicherheit und Resilienz von Betreibern stärken und setzt die EU CER-Richtlinie (EU 2022/2557) um. Unter das Gesetz fallen ab 2024 die Betreiber kritischer Anlagen, ex-KRITIS, mit zusätzlichen Resilienz-Pflichten. Auch im zweiten Entwurf vom DachG sind die Vorgaben und Fristen für Betreiber eher milde. Wesentliche Pflichten wie Maßnahmen, Registrierung, Meldungen treten erst 2026 in Kraft. Im Entwurf von Dezember wurden einige Vorgaben angepasst, reduziert und mit NIS2 harmonisiert: Betreiber: Die parallele Definition der Einrichtungen (NIS2) wurde entfernt Sektoren: Definitionen wurden mit der NIS2-Umsetzung harmonisiert Nachweise: Keine reguläre Nachweispflicht mehr für Betreiber Registrierung: Frist zur eigenen Registrierung beim BBK erst nach drei Monaten BBK und BSI: Mehr Harmonisierung gemeinsamer Abläufe mit dem BSI Staat: Deutliche Einbindung von Landesbehörden Kritische Komponenten wurden gestrichen Verantwortung für Geschäftsleiter wurde aufgenommen (à la NIS2) Die Bundesregierung schätzt für die Wirtschaft einen jährlichen Erfüllungs­aufwand im hohen dreistelligen Millionen­bereich. Der Entwurf nimmt an, dass 1.300 Betreiber kritischer Anlagen “über keine ausreichende physische Resilienz verfügen.” Die Kosten für Resilienz-Vorgaben seien “zehn Mal so hoch” wie für Vorgaben zu IT-Sicherheit. Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder und Einmalaufwand von 6 Mio EUR. Neue Planstellen sind noch unklar.