KRITIS in Zahlen – Reifegrade Sommer 2025

Von Paul Weissmann am 16. August 2025

Die Auswertung KRITIS in Zahlen (beim BSI) wurden im Sommer aktualisiert – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden im Juli aktualisiert mit Stand Juni 2025: Es gibt neue Betreiber und mehr Reifegrade, aber inhaltlich wenig Änderungen.

Mitte 2025 gab es 1.208 Betreiber (Dopplungen möglich) mit 2.144 KRITIS-Anlagen mit nur leicht veränderten Reifegraden im ISMS, BCMS und SzA. Der KRITIS-Sektor Gesundheit ist bei ISMS und BCMS wieder das Schlusslicht und ünernahm die rote Laterne vom Sektor Transport und Verkehr. BCM generell mit sinkender Tendenz. Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben.

Network Code on Cybersecurity (NCCS) im Energiesektor

Von Jakob Nischan am 15. August 2025

Für Betreiber von Stromnetzen gibt es neben der KRITIS und neuen NIS2-Regulierung ab Ende 2025 auch den EU Network Code on Cybersecurity (NCCS). EU NCCS regelt die Sicherheit von grenzüberschreitenden Stromflüssen in der EU und wurde 2024 von der EU-Kommission verabschiedet. Es gibt eine Schnittmenge mit NIS2, NCCS geht für betroffene Einrichtungen mehr in die Tiefe.

Betroffen von EU NCCS sind drei Gruppen an Unternehmen im Energiesektor: NCCS Electricity system operators and market actors (TSO, DSO, NEMO, RCC und weitere), Service and governance entities (kritische ICT-Provider, Managed Security Service Providers und weitere) und schließlich Third-country actors (nicht-EU Einrichtungen mit Einfluss auf grenzüberschreitende Stromflüsse).

EU NCCS fordert von betroffenen Unternehmen Cybersecurity-Maßnahmen und regulierte Prozesse: Ein Management-System (CSMS/ISMS), Lieferketten-Sicherheit, Vorfallsmeldungen, Audits und Compliance sowie Teilnahme am Monitoring. Unternehmen müssen von nationalen Behörden nominiert werden, und fallen dann (meist) unter EU NIS2/NCCS Doppelregulierung (neben EnWG & co.).

Kabinettsentwurf NIS2-Umsetzung von Ende Juli 2025

Von Paul Weissmann am 4. August 2025

NIS2 wird in Deutschland wohl Ende 2025 oder Anfang 2026 endlich umgesetzt. Nach einer kurzen Frist und vielen Rückmeldungen zum Referentenenwurf gab es Ende Juli dann die beschlossene Kabinettsversion vom NIS2-Umsetzungsgesetz. Trotz der vielen Stellungnahmen und Diskussionen hat sich für die Wirtschaft seit 2024 nicht mehr viel geändert, für die Bundesverwaltung umso mehr.

Die Änderungen der NIS2-Kabinettsversion nach der Verbändeabstimmung sind gering:

• Betreiber mit Nachweisfrist innerhalb von zwölf Monaten nach Inkrafttreten des neuen Gesetzes können den Nachweis innerhalb dieses Zeitraums noch einmal nach bisherigen §8a BSIG-Vorgaben erbringen. OpenKRITIS kommentierte und begrüßt die Änderung.
• Viele Änderungen der Vorgaben für die Bundesverwaltung, Anpassung der verbindlichen Pflichten und konkreten Anforderungen.
• Anpassung der Definitionen zu KRITIS-Sektoren und leichte Anpassung der KRITIS-Verordnung direkt im Änderungsgesetz selbst
• Definition des KRITIS-Sektors Sozialversicherung und Grundsicherung, herausgelöst bzw. als Teil vom alten Sektor Finanzen und Versicherungen.
• Viele kleinere Anpassungen und Vervollständigungen an Definitionen und Vorgaben, es bleiben aber viele Punkte aus Rückmeldungen ungeklärt.
• Anpassungen (Reduktion) der Aufwände für die Bundesverwaltung.

Das NIS2-Umsetzungsgesetz soll ab August weiter die Gesetzgebung passieren im Bundesrat und Bundestag. Hoffentlich kann das Gesetz im Herbst 2025 verschiedet werden, um dann Ende 2025 oder Anfang 2026 in Kraft zu treten – es gibt genug zu tun.

Beim KRITIS-Dachgesetz scheint der Weg noch länger zu sein: Neue Entwürfe und feste Absichten sind nicht publik, und die Gesetzesentwürfe für Resilienz und physischer Sicherheit haben noch deutliches Verbesserungs- und Konkretisierungspotenzial.

Neue Entwürfe der NIS2-Umsetzung im Sommer 2025

Von Jakob Nischan am 1. Juli 2025

Nach langer Zeit des Wartens gibt es seit Juni 2025 einen neuen Referentenentwurf vom NIS2-Umsetzungsgesetz. Nach einem geleakten Entwurf aus Mai dient der Juni-Entwurf der Verbändeabstimmung im Juli, das Gesetz soll dann zeitnah die Gesetzgebung nach der Sommerpause passieren.

Der Referentenentwurf Juni 2025 enthält nur noch wenig Änderungen zu den bekannten 2024er-Entwürfen, für betroffene Wirtschaftsunternehmen waren keine tiefgreifenden Änderungen erkennbar.

• Anpassung der Einbindung der Wirtschaft und Verbände bei Definition
• Anpassung der Definition der maßgeblichen Geschäftstätigkeit (siehe folgend)
• Titel ist nun Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
• Sektor Finanzwesen nun ohne Versicherungswesen
• Neuer Sektor (KRITIS) Sozialversicherungsträger sowie Grundsicherung
• Neue Einrichtung Digitaler Energiedienste
• (Erste) Änderungen der KRITIS-Verordnung im NIS2-Umsetzungsgesetz selbst
• Leichte Anpassungen von Definitionen
• Ausweitung Regeln und Vorgaben auf die ganze Bundesverwaltung
• Leichte Anpassungen EnWG
• Anpassungen der avisierten Aufwände in der Bundesverwaltung von 2026-2029

Der Anwendungsbereich betroffener Unternehmen könnte sich noch deutlich von den bisher avisierten 30 Tsd. Einrichtungen erhöhen Während zuvor nur die NIS2-zuordenbare Tätigkeit für Betroffenheit herangezogen wurde, sollen nun sämtliche Aktivitäten eines Unternehmens berücksichtigt werden, ausgenommen vernachlässigbare Geschäftstätigkeiten. Was genau vernachlässigbar ist, wurde bislang nicht definiert, zudem ist eine Vereinbarkeit mit EU-Recht unklar.

Ein Inkrafttreten der NIS2-Umsetzung im Herbst 2025 scheint nun möglich.

Neuer IT-Sicherheitskatalog Energie 2025

Von Paul Weissmann am 28. Mai 2025

Betreiber von Energienetzen und Energieanlagen im Sektor Energie müssen IT-Sicherheitskataloge der BNetzA nach dem Energiewirtschaftsgesetz (EnWG) umsetzen. Für diese Betreiber gilt nicht nur das BSIG mit KRITIS und NIS2, sondern das EnWG mit sicherem Anlagen- und Netzbetrieb.

Mit NIS2 gibt es ab 2025 neue IT-Sicherheitskataloge nach §5c EnWG-E und eine turnusmäßige Überarbeitung der bestehenden §11 EnWG Kataloge. Diese Überarbeitung betrifft Energieanlagen und Energienetze aber anscheinend noch nicht alle NIS2- und KRITIS-DachG Vorgaben.

Aktuell befindet sich der neue §11 EnWG Katalog im Konsultationsverfahren bei der Bundesnetzagentur. Ein Konsultationspapier von Mai 2025 skizziert die neuen Anforderungen und Strukturen, welche die BNetzA im neuen IT-Sicherheitskatalog 2025 berücksichtigen will.

• Betroffenheit: Umsetzen müssen den IT-Sicherheitskatalog sowohl Betreiber von Energienetzen und Energieanlagen als auch deren Betriebsführer.
• Geltungsbereich: Zum expliziten Zertifizierungsscope gehören nun alle kritischen Systeme für kritische Prozesse. Außerhalb davon müssen allgemeine Maßnahmen umgesetzt werden.
• Zertifizierungen: Weiterhin muss ein zertifiziertes ISMS nach ISO 27001 (mit ISO 27002 und ISO 27019) nachgewiesen werden, nach dem Schema der DAkkS.
• Cybersecurity: Angemessene Maßnahmen nach Stand der Technik müssen risiko-basiert umgesetzt werden.
• Risikomanagement: Organisiertes Management von IS-Risiken nach Allgefahren-Ansatz
• Resilienz: Maßnahmen zur Betriebskontinuität müssen umgesetzt werden wie BCM, BIA, Notfallpläne und Übungen.

Die Konsultationfrist läuft bis Juni 2025 mit einer hoffentlich neuen, detaillierteren Version des IT-Sicherheitskatalogs bis Sommer. Übergangsfristen waren bis 2027 avisiert. Viele NIS2- und KRITIS-Dachgesetz-spezifische Maßnahmen fehlen noch und werden sicherlich in einer weiteren Version ergänzt.

Neue GAiN-Vorgaben und Nachweisprozesse

Von Paul Weissmann am 31. März 2025

Mit aktualisierten GAiN-Vorgaben für KRITIS-Prüfungen vereinfacht das BSI den Nachweisprozess ab April 2025 teils deutlich. Die GAiN-Vorgaben 2.1 legen einige Anforderungen an KRITIS-Prüfungen expliziter fest und vereinfachen dafür den Umfang der Nachweise und Anlagen.

Grundlegende Änderungen an den Nachweisen ab April 2025:

• Der Geltungsbereich (PD.A) muss nur noch bei Erstprüfungen eingereicht werden
• Der Prüfplan (PD.B) muss nicht mehr regulär eingereicht werden
• Die Prüfkompetenz und Nachweise dafür (PS.A) verbleiben bei der prüfenden Stelle
• Neue allgemeine Anforderungen zur Abdeckung aller KRITIS-Themen in Prüfungen, Stichproben, Standorte und Risiko-Management (D.PA.01 bis 05)

Der Umfang der einzureichenden KRITIS-Nachweise und Formulare verringert sich damit deutlich.

Parallel dazu stellt das BSI die Einreichung der Nachweise auf ein Online-Format im MIP um, dem Melde- und Informationsportal. Die Informationen der Formulare KI und P werden nun von Betreibern direkt online im MIP eingetragen und Nachweise hochgeladen. Damit entfällt größtenteils die Einreichtung der einzelnen PDF-Formulare für KRITIS und EnWG.

KRITIS und NIS2 für Prüfer: DIIR

Von Paul Weissmann am 18. März 2025

Die Landschaft von KRITIS-Audits wird sich mit NIS2 deutlich verändern: mehr Sicherheitsmaßnahmen und größerer Scope. Aber: da die neuen Gesetze NIS2-Umsetzung und KRITIS-Dachgesetz noch nicht in Kraft sind, aktuell noch Prüfungen nach alter Regulierung nach §8a BSIG. Darüber haben wir am 17. März bei den Digitalen Tagen des DIIR gesprochen – die Folien sind nun online.

Neben Scope und Cybersecurity-Maßnahmen verändern sich auch die Anforderungen an KRITIS-Prüfungen: formelle GAiN-Vorgaben und RUN-Reifegrade erweitern die Prüfmethodik, die in neuen Schulungen (hoffentlich) bald gelernt werden kann. Viele gute Diskussionen zu Prüfungen in der Übergangszeit und Betroffenheit – die Folien gibt es hier und beim DIIR.