Durch diesen Gesetzesentwurf werden erstmals kritische Infrastrukturen auf Bundesebene identifiziert und Mindeststandards für den physischen Schutz für Betreiber Kritischer Infrastrukturen festgelegt. Bisher gab es solche Bundesregelungen nur für die IT-Sicherheit kritischer Infrastrukturen. Die Regelungen des KRITIS-Dachgesetzes, die den physischen Schutz betreffen, sollen die bestehenden IT-Sicherheitsmaßnahmen ergänzen. Somit soll die Widerstandskraft kritischer Infrastrukturen, die Resilienz gegen Gefährdungen, insgesamt in Deutschland gestärkt werden. 

Die Gefährdung kritischer Infrastrukturen nimmt zu. Ereignisse mit katastrophaler Wirkung passieren, und sie werden zunehmend komplexer und oftmals verstärken sie sich gegenseitig. Dies haben die vergangenen Jahre gezeigt. Im Bereich der kritischen Infrastrukturen wird zwischen verschiedenen Sektoren unterschieden. Die einzelnen Sektoren sind jedoch so verzahnt, dass es in der Regel Abhängigkeiten voneinander gibt. Gibt es Ausfälle in einem Sektor, etwa Energie, IT oder Logistik, kann dies schwere Auswirkungen auch auf andere Sektoren und damit die gesamte Wertschöpfungskette haben. Dennoch gibt es in Deutschland abseits des Bereichs der IT-Sicherheit kritischer Infrastrukturen keine sektoren – und gefahrenübergreifende Regelung. 

Das KRITIS-Dachgesetz legt erstmalig ein "Dach" über die Sektoren: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Siedlungsabfallentsorgung, Informationstechnik und Telekommunikation, Ernährung, Weltraum, und Öffentliche Verwaltung und ergänzt die bestehenden Regelungen im Bereich der IT-Sicherheit kritischer Infrastrukturen. Ausgangspunkt sind alle denkbaren Risiken, die durch die Natur oder den Menschen verursacht werden können ("All-Gefahren-Ansatz") – sei es ein Unwetter, menschliches Versagen oder ein Sabotageakt. 

Das KRITIS-Dachgesetz nimmt alle kritischen Infrastrukturen in den Blick und definiert, welche Unternehmen und Einrichtungen mit Blick auf den physischen Schutz für die Gesamtwirtschaft verpflichtende Resilienzmaßnahmen ergreifen müssen. Zwei Kriterien müssen erfüllt sein: Wenn eine Einrichtung

1. essenziell für die Gesamtversorgung in Deutschland ist und
2. mehr als 500.000 Personen versorgt,

zählt sie zu den "kritischen Anlagen", die vom KRITIS- Dachgesetz erfasst sind. Mit dem Gesetz werden auch die wechselseitigen Abhängigkeiten der kritischen Infrastrukturen untereinander berücksichtigt: So hängen zum Beispiel vom Energiesektor auch alle anderen Sektoren ab. Auch Wasser und Transportwege sind für die jeweils anderen Sektoren unverzichtbar. 

Das KRITIS-Dachgesetz formuliert erstmals sektorübergreifende Ziele, nämlich Störungen und Ausfälle zu verhindern, deren Folgen zu begrenzen und die Arbeitsfähigkeit nach einem Vorfall wiederherzustellen. 

Um die Ziele zu erfüllen, müssen die Betreiber kritischer Anlagen auf die spezifischen Risiken für ihre Anlagen mit passgenauen Maßnahmen reagieren. Die Maßnahmen müssen sie in sogenannten Resilienzplänen darstellen. Eine wesentliche Grundlage dafür sind Risikoanalysen und -bewertungen. Das Gesetz sieht regelmäßige Risikoanalysen und -bewertungen sowohl von staatlicher als auch von Betreiberseite in den relevanten Sektoren vor. 

Das KRITIS-Dachgesetz gibt vor, dass die Betreiber geeignete und verhältnismäßige Maßnahmen ergreifen müssen, um die vorgegebenen Ziele zu erreichen. Aufgrund der Verschiedenheit der Sektoren können die Maßnahmen sehr unterschiedlich ausgestaltet sein. Insbesondere ermöglicht das Gesetz, dass die Betreiber zusammen mit Branchenverbänden gemeinsame Standards erarbeiten und somit konkretisieren können, was jeweils für ihren Sektor (z.B. Energie) und für ihre Branche (z.B. Strom) als geeignete und verhältnismäßige Maßnahme gelten soll. Damit schafft das Gesetz Mindeststandards und schließt Lücken. Bereits bestehende Regelungen in den Sektoren bleiben dabei bestehen. 

Um Doppelstrukturen und Bürokratie zu vermeiden, sollen bereits bestehende Maßnahmen, die Betreiber auf Grund anderer gesetzlicher Vorgaben ergreifen müssen, im Wege einer Äquivalenzprüfung anerkannt werden. 

Darüber hinaus sieht das KRITIS-Dachgesetz ein zentrales Meldewesen für erhebliche Störungen vor. Dieses Meldewesen soll das bereits bestehende Meldewesen im Bereich der IT-Sicherheit kritischer Infrastrukturen ergänzen. 

Weiterhin soll die Zusammenarbeit aller Beteiligten bei kritischen Infrastrukturen institutionalisiert werden. Die Verantwortlichkeiten der Vielzahl der am Schutz kritischer Infrastrukturen Beteiligten soll klarer herausgearbeitet werden. Bei der Umsetzung des KRITIS-Dachgesetzes soll das Bundesamt für Bevölkerungsschutz (BBK) eine koordinierende Rolle bekommen. Es wird eng mit den zuständigen Aufsichtsbehörden des Bundes zusammenarbeiten.

Der Entwurf ist in der Bundesregierung noch nicht abschließend abgestimmt. Länder- und Verbändestellungnahmen wurden angefordert.