17 marca 2026 roku w Niemczech weszła w życie ustawa o obiektach krytycznych KRITIS Dachgesetz. Ustawa implementuje unijną dyrektywę CER (2022/2557) i jako pierwsza w Niemczech kompleksowo reguluje odporność fizyczną obiektów krytycznych uzupełniając tym samym wdrożoną w grudniu 2025 roku ustawę o cyberbezpieczeństwie (NIS2 Implementation Act). Razem tworzą dwuwarstwowy system ochrony IK: cyfrowy i fizyczny. Nazwa Dachgesetz, dosłownie „ustawa-parasol” oddaje istotę dokumentu: to akt scalający i porządkujący rozproszone dotąd regulacje dotyczące fizycznej ochrony obiektów krytycznych w Niemczech. Wcześniej cyberbezpieczeństwo IK było regulowane stosunkowo precyzyjnie (przez BSI i kolejne wersje przepisów KRITIS), natomiast ochrona fizyczna ze względu na federalną strukturę kraju, w której szesnaście landów ma własne kompetencje pozostawała sfragmentaryzowana i niejednolita. Nowa ustawa to zmienia. Wprowadza jednolite minimalne wymogi dla operatorów obiektów krytycznych w dziesięciu sektorach strategicznych: energetyce, żywności, wodzie, ochronie zdrowia, usługach finansowych, przestrzeni kosmicznej, technologiach informacyjnych i telekomunikacji, transporcie, administracji publicznej oraz gospodarkę odpadami komunalnymi.
Kogo obejmuje ustawa?
Kryterium objęcia ustawą jest znaczenie obiektu dla świadczenia usług krytycznych, co do zasady dotyczy to obiektów zaopatrujących ponad 500 000 osób. Szczegółowe progi sektorowe określi osobne rozporządzenie (KRITIS-Verordnung), które jest jeszcze w przygotowaniu. Federalne ministerstwo spraw wewnętrznych ma jednak prawo do indywidualnego wyznaczania obiektów jako krytyczne nawet poniżej tych progów, co może oznaczać, że zakres ustawy będzie w praktyce szerszy niż wynikałoby z samych liczb. Tę samą możliwość mają landy w odniesieniu do obiektów o znaczeniu regionalnym. Dodatkowo, obiekty których awaria dotknęłaby co najmniej sześć państw członkowskich UE mogą zostać wyznaczone jako „podmioty krytyczne o szczególnym europejskim znaczeniu” i podlegają wówczas wzmożonemu nadzorowi na poziomie unijnym (de facto Komisji Europejskiej).
Kluczowe obowiązki operatorów
Ustawa nakłada na operatorów szereg konkretnych zobowiązań, które warto omówić szczegółowo.
Pierwszym jest obowiązek rejestracji. Operatorzy muszą zarejestrować się zarówno w Federalnym Urzędzie Ochrony Ludności i Pomocy w Przypadku Katastrof (BBK), jak i w Federalnym Urzędzie ds. Bezpieczeństwa Informacyjnego (BSI) do 17 lipca 2026 roku lub w ciągu trzech miesięcy od uzyskania statusu podmiotu krytycznego. Co ważne, podmioty objęte ustawą NIS2, a więc prawie 30 000 podmiotów w Niemczech musiały już zarejestrować się w BSI do marca 2026 roku.
Drugim obowiązkiem jest przeprowadzenie oceny ryzyka. Ocena musi obejmować zagrożenia naturalne, techniczne i wynikające z działalności ludzkiej, a także zależności między sektorami. Rząd federalny będzie publikował własne analizy ryzyka dla każdego sektora, które staną się punktem odniesienia dla operatorów. Oceny muszą być aktualizowane co najmniej raz na cztery lata.
Trzecim filarem jest opracowanie planu odporności. Dokument musi opisywać środki zapobiegania i ochrony, mechanizmy wykrywania i reagowania oraz procedury odtwarzania i zapewnienia ciągłości działania. Ustawa nie narzuca konkretnych rozwiązań technicznych, operator sam dobiera środki proporcjonalne do swojego sektora i profilu ryzyka. Szpital będzie chroniony inaczej niż sieć energetyczna, obiekt w strefie zagrożenia powodzią inaczej niż zakład przemysłowy na wyżynie.
Czwartym wymogiem jest wyznaczenie punktu kontaktowego dostępnego całą dobę przez siedem dni w tygodniu. Co istotne, operatorzy z tego samego sektora nie mogą już korzystać ze wspólnego, zbiorczego punktu kontaktowego, każdy musi mieć własny.
Piątym obowiązkiem jest raportowanie incydentów w ciągu 24 godzin od ich wykrycia, z obowiązkiem przekazywania bieżących aktualizacji i złożenia raportu końcowego w ciągu miesiąca. Raporty składa się przez istniejący portal MIP (Meldeportal).
Odpowiedzialność zarządu
Jeden z najbardziej znaczących elementów ustawy to osobista odpowiedzialność kierownictwa. Zarząd (Geschäftsleitung) odpowiada za wdrożenie ram odporności i nadzór nad ich przestrzeganiem i może ponieść osobistą odpowiedzialność prawną za naruszenia. To istotna zmiana w kulturze zarządzania bezpieczeństwem: cyberbezpieczeństwo i odporność fizyczna przestają być wyłącznie kwestią techniczną, a stają się odpowiedzialnością zarządczą na najwyższym szczeblu.
Podejście „all-hazards”
Kluczową filozofią ustawy jest podejście all-hazards – wszystkie zagrożenia, bez wyjątków. Oznacza to, że operator musi brać pod uwagę nie tylko cyberataki, ale także katastrofy naturalne, sabotaż, ataki terrorystyczne, zagrożenia wewnętrzne i błąd ludzki. To podejście jest zgodne z logiką dyrektywy CER, która celowo odchodzi od myślenia sektorowego i zagrożeń jednego rodzaju na rzecz całościowego zarządzania ryzykiem.
Kontekst: 30 lat systemu KRITIS
Warto odnotować, że Niemcy nie zaczęły od zera. System KRITIS ma swoje korzenie w 1997 roku, kiedy powołano pierwszą grupę roboczą ds. ochrony IK przy Federalnym Ministerstwie Spraw Wewnętrznych. W 2007 roku powstała platforma UP KRITIS, czyli forum współpracy publiczno-prywatnej, zrzeszające dziś ponad 1000 członków z administracji i sektora prywatnego. W 2009 roku przyjęto pierwszą Narodową Strategię Ochrony Infrastruktury Krytycznej. Każdy kolejny etap budował na poprzednim. Nowa ustawa jest zatem kolejnym krokiem w ewolucji systemu, a nie jego rewolucją. Niemcy mają już wypracowane mechanizmy współpracy, wymianę informacji i kulturę organizacyjną. Dla operatorów, którzy są w tym systemie od lat, KRITIS Dachgesetz to rozszerzenie znanych obowiązków. Dla nowych podmiotów, które po raz pierwszy wpadają w zakres regulacji to poważne wyzwanie organizacyjne i finansowe.
Trzy lekcje z niemieckiego modelu ochrony IK
Niemieckie doświadczenie dostarcza kilku wniosków, które są wartościowe niezależnie od kontekstu krajowego.
Pierwsza lekcja dotyczy integracji przepisów cybernetycznych i fizycznych. Niemcy konsekwentnie budują system, w którym NIS2 i KRITIS Dachgesetz tworzą dwie warstwy tego samego mechanizmu ochrony cybernetyczną i fizyczną. To podejście wynika z prostej obserwacji: zagrożenia hybrydowe nie respektują podziału na świat cyfrowy i fizyczny, więc regulacje, które ten podział zachowują, są z definicji niekompletne. Operator, który spełnia wymagania cyberbezpieczeństwa, ale nie ma planu odporności fizycznej (i odwrotnie) jest chroniony tylko połowicznie.
Druga lekcja to osobista odpowiedzialność kierownictwa. KRITIS Dachgesetz wprost obciąża zarząd odpowiedzialnością za wdrożenie i nadzór nad ramami odporności. To rozwiązanie, które zmienia kulturę organizacyjną: bezpieczeństwo przestaje być zadaniem działu IT lub ochrony, a staje się kwestią zarządczą na najwyższym szczeblu. Doświadczenia z innych jurysdykcji pokazują, że dopiero taki mechanizm skłania organizacje do traktowania inwestycji w odporność jako priorytetu, a nie kosztu do minimalizowania.
Trzecia lekcja to platforma UP KRITIS jako model partnerstwa publiczno-prywatnego. Ponad 1000 członków, niemal dwie dekady działania, ewolucja od wąskiego forum IT do wielosektorowej platformy obejmującej bezpieczeństwo fizyczne, cybernetyczne i ciągłość działania to rzadki przykład struktury, która rzeczywiście działa, a nie tylko istnieje na papierze. Kluczem do jej skuteczności jest dwukierunkowa wymiana informacji: operatorzy wnoszą wiedzę ekspercką o swoich sektorach, administracja dostarcza kontekst zagrożeń i koordynuje odpowiedź. Bez tego balansu platformy tego typu szybko stają się jednostronne i tracą wartość dla uczestników z sektora prywatnego.
Warto przeczytać:
Stan transpozycji Dyrektywy CER: https://eur-lex.europa.eu/legal-content/PL/NIM/?uri=CELEX:32022L2557
Tekst ustawy KRITIS Dachgesetz (niemiecki): https://www.recht.bund.de/bgbl/1/2026/66/VO
Omówienie ustawy, kancelaria A&O Shearman (angielski): https://www.aoshearman.com/en/insights/critical-infrastructure-new-legislation-in-germany-and-its-practical-impact
Szersze omówienie systemu KRITIS (historia, NIS2, CER, UP KRITIS): https://www.cip-association.org/germanys-critical-infrastructure-protection-kritis/