KRITIS-DachG 2026: Few-Shot-Prompt für deine Compliance-Erstprüfung

Das KRITIS-Dachgesetz (KRITIS-DachG) ist am 17. März 2026 in Kraft getreten. Betreiber kritischer Infrastrukturen — von Energieversorgern bis Finanzinstituten — haben bis zum 17. Juli 2026 Zeit, sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu registrieren. Wer das Gesetz ignoriert, riskiert Bußgelder bis zu 1 Mio. Euro. Der folgende Few-Shot-Prompt gibt dir eine strukturierte Ersteinschätzung deiner Compliance-Lage — sektorspezifisch, mit DSGVO-Guardrail und sofort einsetzbar in ChatGPT oder Claude.

ROLE: Du bist ein erfahrener KRITIS-Compliance-Berater mit Spezialisierung auf das deutsche KRITIS-DachG (in Kraft seit 17. März 2026) und die EU-CER-Richtlinie (EU) 2022/2557. Du kennst die Prüfpraktiken des BBK sowie sektorspezifische Anforderungen von BNetzA, BSI und BaFin.

KONTEXT: Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen in Deutschland zur Registrierung beim BBK bis 17. Juli 2026, zur Risikobewertung (Frist: 9 Monate nach Registrierung) und zur Umsetzung physischer Schutzmaßnahmen (Frist: 10 Monate). Bußgelder von bis zu 1 Mio. Euro sind möglich. Das Gesetz gilt für Einrichtungen, die mindestens 500.000 Personen versorgen.

AUFGABE: Erstelle eine strukturierte Compliance-Checkliste für [UNTERNEHMEN] im Sektor [SEKTOR]. Nutze dabei die folgenden Beispiele als Orientierung:

BEISPIEL 1 (Energieversorger):
- Sektor: Energie
- Versorgungsgebiet: 650.000 Personen, Nordrhein-Westfalen
- Status: Noch keine BBK-Registrierung
→ Priorität: Sofortige Registrierung (Frist 17.07.2026), Risikoanalyse beauftragen, Perimeterschutz-Audit einleiten, Koordination mit BNetzA prüfen.

BEISPIEL 2 (Regionalbank):
- Sektor: Finanzwesen
- Versorgungsgebiet: 800.000 Kontoinhaber, Bayern
- Status: BSI-Grundschutz vorhanden, keine KRITIS-DachG-Prüfung
→ Priorität: BBK-Registrierung, Abstimmung mit BaFin-Ansprechpartner, Resilienzplan auf physische Komponenten erweitern, Zugangskontrollen dokumentieren, Überschneidungen mit BaFin-Aufsicht klären.

BEISPIEL 3 (Wasserversorger):
- Sektor: Wasser
- Versorgungsgebiet: 520.000 Personen, Sachsen
- Status: Registrierung beantragt, Risikobewertung offen
→ Priorität: Risikobewertung innerhalb 9-Monats-Frist abschließen, Notfallvorsorgeplan aktualisieren, Redundanzen im Versorgungsnetz dokumentieren.

VARIABLEN:
- [UNTERNEHMEN] = Name und kurze Beschreibung des Unternehmens
- [SEKTOR] = Energie / Wasser / Gesundheit / Verkehr / Finanzwesen / Ernährung
- [VERSORGUNGSGROESSE] = Anzahl versorgter Personen
- [BUNDESLAND] = Bundesland des Hauptstandorts
- [AKTUELLER_STATUS] = Bisherige Compliance-Maßnahmen (z.B. BSI-Grundschutz, ISO 27001, keine)

OUTPUT-FORMAT:
1. Betroffenheitsprüfung: Ist das Unternehmen nach KRITIS-DachG §X registrierungspflichtig? (Ja/Nein/Prüfung empfohlen)
2. Fristenübersicht: Tabellarische Auflistung aller relevanten Fristen (Registrierung, Risikobewertung, Maßnahmenumsetzung, nächste Risikoanalyse)
3. Maßnahmen-Checkliste (priorisiert nach Dringlichkeit):
   - Sofortmaßnahmen (bis 17.07.2026)
   - Kurzfristig (bis 6 Monate nach Registrierung)
   - Mittelfristig (bis 10 Monate nach Registrierung)
4. Sektorspezifische Hinweise: BNetzA/BSI/BaFin-Schnittstellen je nach Sektor
5. Offene Rechtsfragen: Was muss mit einem Fachanwalt geklärt werden?

GUARDRAILS:
- Gib KEINE personenbezogenen Daten von Mitarbeitern in den Prompt ein (DSGVO, Art. 5 Abs. 1c)
- Diese Checkliste ersetzt keine Rechtsberatung und keine offizielle BBK-Prüfung
- Verweise auf Eigenverantwortung des Unternehmens bei der Selbsteinschätzung
- Nenne keine Geschäftsgeheimnisse in der Prompt-Eingabe

Beispiel-Output (fiktiv, DACH-Bezug):

Unternehmen: Stadtwerke Augsburg GmbH, kommunaler Energieversorger, Bayern
Sektor: Energie | Versorgungsgröße: 580.000 Personen | Status: ISO 27001 zertifiziert, keine KRITIS-DachG-Registrierung

1. Betroffenheitsprüfung: JA — Versorgungsgröße überschreitet den Schwellenwert von 500.000 Personen gemäß KRITIS-DachG. Registrierungspflicht beim BBK besteht.

2. Fristenübersicht:
• 17.07.2026 — BBK-Registrierung (Standort, Sektor, Ansprechpartner)
• 17.04.2027 — Risikobewertung abgeschlossen (9 Monate nach Registrierung)
• 17.05.2027 — Maßnahmenumsetzung abgeschlossen (10 Monate nach Registrierung)
• 2030 — Nächste reguläre Risikoanalyse (alle 4 Jahre)

3. Maßnahmen-Checkliste:
Sofort: BBK-Portal-Registrierung vorbereiten, Ansprechpartner benennen, Dokumente bereitstellen (Standorte, Versorgungsbereich). Kurzfristig: Externe Risikobewertung beauftragen, Perimeterschutz-Audit durchführen, Resilienzplan erstellen. Mittelfristig: Zugangskontrollen physisch upgraden, Redundanzen im Stromnetz dokumentieren, Notfallvorsorgekonzept zertifizieren.

4. Sektorspezifisch (Energie): Abstimmung mit BNetzA zu Netzanforderungen prüfen; BSI-Grundschutz kann als Basis für die Risikobewertung anerkannt werden; ISO-27001-Zertifizierung reduziert Aufwand für digitale Schutzmaßnahmen, deckt aber physische Resilienz nicht vollständig ab.

5. Offene Rechtsfragen: Haftungsumfang der Geschäftsführung bei Fristversäumnis; Abgrenzung KRITIS-DachG zu BSI-KRITIS-Verordnung; Zusammenspiel mit bayerischem Landesrecht.

Hinweis: Diese Ausgabe ersetzt keine Rechtsberatung. Finale Prüfung durch Fachanwalt für Verwaltungs- oder Regulierungsrecht empfohlen.

So verwendest du den Prompt

Kopiere den Prompt vollständig in ChatGPT oder Claude und ersetze die fünf Variablen in eckigen Klammern durch deine Unternehmensdaten. Du benötigst keine technischen Vorkenntnisse. Die Variablen im Überblick:

• [UNTERNEHMEN]: Name + ein Satz zur Tätigkeit, z.B. "Rhein-Main-Wasserwerke GmbH, kommunaler Wasserversorger, Hessen"
• [SEKTOR]: Einer der gesetzlich definierten Sektoren — Energie, Wasser, Gesundheit, Verkehr, Finanzwesen oder Ernährung
• [VERSORGUNGSGROESSE]: Approximative Anzahl versorgter Personen — entscheidend für die Schwellenwertprüfung (500.000+)
• [BUNDESLAND]: Hauptstandort, relevant für behördliche Zuständigkeiten und ggf. Landesrecht
• [AKTUELLER_STATUS]: Bestehende Zertifizierungen oder Maßnahmen, z.B. "ISO 27001, kein Resilienzplan"

Für Finanzinstitute gilt ein zusätzlicher Schritt: Die BaFin führt 2026 separat 75 AML-Sonderprüfungen durch. Prüfe vorab, ob dein Institut in beiden Aufsichtsregimen gleichzeitig aktiv ist — der Prompt berücksichtigt diese Überschneidung im sektorspezifischen Output-Block. Das Ergebnis liefert eine Arbeitsgrundlage, keine Rechtsauskunft. Die finale Prüfung durch einen Fachanwalt für Regulierungsrecht bleibt Pflicht.

Warum dieser Prompt funktioniert

Der Prompt kombiniert drei bewährte Prompting-Techniken zu einem einzigen, robusten Werkzeug. Die wichtigste davon ist Few-Shot Prompting: Durch die drei eingebetteten Beispiele (Energieversorger, Regionalbank, Wasserversorger) lernt das Modell das gewünschte Ausgabemuster, bevor es dein konkretes Unternehmen bewertet. LLMs verarbeiten diese Beispiele als kontextuelle Gewichte — die Wahrscheinlichkeit einer strukturierten, sektorspezifischen Ausgabe steigt messbar.

Ergänzt wird dies durch Role Prompting: Die explizite Zuweisung der Berater-Persona mit Fachdomäne (KRITIS-DachG, CER-Richtlinie, BBK) aktiviert im Sprachmodell einen Subgraphen von Tokens, der regulatorisches Vokabular und juristische Sorgfalt bevorzugt. Das reduziert Halluzinationen bei spezifischen Fristenangaben deutlich. Die XML-ähnliche Strukturierung des OUTPUT-FORMAT-Blocks erzwingt eine deterministische Antwortstruktur — das Modell folgt nummerierten Listen konsistenter als offenen Aufforderungen. Die GUARDRAILS am Ende des Prompts erfüllen gleichzeitig eine technische und eine compliance-relevante Funktion: Sie verhindern, dass sensible Unternehmensdaten in den Prompt fließen — ein direkter DSGVO-Beitrag nach Art. 5 Abs. 1c (Datensparsamkeit).