KRITIS – auf den zweiten Blick

OpenKRITIS ist eine unabhängige Plattform für den Schutz Kritischer Infrastrukturen. Wir unterstützen Betreiber und Prüfer in der KRITIS und NIS2-Regulierung: Klare Strukturen zur Umsetzung von Cybersecurity, Governance und Prüfungen.

Industry

NIS2 und KRITIS

Power plant

Kritische Infrastrukturen

KRITIS-Dachgesetz: Erklärung Bundesregierung

Von Paul Weissmann am 6. April 2026

Protokollerklärung Bundesregierung

Protokollerklärung aus: Stenografischer Bericht 1062. Sitzung Bundesrat

Im Rahmen der Abstimmung vom KRITIS-Dachgesetz im Bundesrat gab es eine nächtliche Protokollerklärung der Bundesregierung, die eine Novelle vom Dachgesetz avisiert bis spätestens in zwei Jahren. Darin werden grundlegende Änderungen ange- und versprochen.

  1. Einheitliche Definition kritische Infrastrukturen im Rahmen der nationalen Resilienzstrategie, mit den fehlenden Sektoren Staat und Verwaltung, Medien und Kultur und Sozialwesen
  2. Einbindung der Länder in die Rechtsverordnung zur Identifikation
  3. Zeitnahe Rechtsverordnung mit System differenzierter Schwellenwerte und abgestufter Pflichten
  4. Rechtsverordnung für den Umgang mit der Länderöffnungsklausel mit homogenen Verfahren insbesondere für den Energiesektor
  5. Prüfung der Herabsenkung der Regelschwellenwerte von 500 Tsd. versorgten Personen, bis in spätestens zwei Jahren (= flächendeckender, einheitlicher KRITIS-Schutz) sowie Evaluierung der Schwellenwerte im wissenschaftlichen Kontext
  6. Zeitnahe Rechtsverordnung zur Weitergabe von Meldungen an Länder
  7. Resilienzpflichten der Betreiber werden an vier Phasen ausgerichtet: Prävention, Vorbereitung auf Störungen, Bewältigung und Nachsorge.
  8. Einheitliches Vorgehen mit dem EBA für den Eisenbahnverkehr, auch in Prüfungen
  9. Evaluation der Abläufe auf Vereinfachungs- und Beschleunigungspotenziale um bürokratische Belastungen zu reduzieren
  10. Anpassung von Transparenzpflichten kritischer Infrastrukturen

up

OpenKRITIS-Webinar: Aktuelle NIS2-Regulierung

Von Paul Weissmann am 2. April 2026

OpenKRITIS Summer School

Ein offenes Webinar von OpenKRITIS am 7. April 2026 zu allen Themen rund um die aktuelle NIS2 und KRITIS-Regulierung in Deutschland und der EU. NIS2 ist eine Weile in Kraft, das KRITIS-Dachgesetz seit März auch – was folgt nun in der Umsetzung und Regulierung?

  1. Aktuelles aus der NIS2-Regulierung: Updates der EU zu NIS2.5
  2. KRITIS-Dachgesetz und KRITIS-Verordnung: Vorgaben und Schwellenwerte
  3. Meldepflicht und Registrierungen: Viele Pflichten und Portale
  4. Verbundene Unternehmen: Zählregeln für Konzerne
  5. Prüfungen in KRITIS und NIS2: Standards und Pflichten
  6. Kritische Komponenten: Weitere Registrierungen
  7. Q&A: Und viele Fragen!

Am 7. April ab 10:00, Eintritt ist frei, Anmeldung über LinkedIn, Durchführung per MS Teams.

OpenKRITIS Summer School

NIS2 und aktueller Stand der Regulierung

Aktuelle Entwicklungen NIS2-Umsetzung, KRITIS und EU.
OpenKRITIS Webinar ∙ Registrierung über LinkedIn ∙ 7. April 2026 10:00

up

KRITIS-Dachgesetz in Kraft

Von Paul Weissmann am 16. März 2026

Screenshot Bundesrat KRITIS

Das KRITIS-Dachgesetz tritt am 17. März in Kraft, es wurde heute im Bundesgesetzblatt veröffentlicht. Anderthalb Jahre nach der EU-Frist für die Umsetzung der EU CER-Richtlinie gibt es nun verbindliche Vorgaben für Resilienz und physische Sicherheit bei Betreibern. Die Umsetzung bei betroffenen Betreibern kann und muss nun zeitnah beginnen.

Das KRITIS-Dachgesetz wurde am 6. März 2026 vom Bundesrat beschlossen und kann damit nun endlich in Deutschland in Kraft treten. Größere Änderungen gibt es trotz vieler Kritik (wohl) erstmal nicht. Nun kann es endlich in die Umsetzung bei den vielen Betreiber kritischer Anlagen gehen – BCMS, Krisenmanagement und physische Sicherheit.

up

Verbundene Unternehmen in NIS2

Von Paul Weissmann am 13. März 2026

Verbundene Unternehmen Diagramm

Source: User Guide to the SME definition, European Commission, 2020

Bei der Bestimmung von Mitarbeiter- und Finanzzahlen müssen bei NIS2-Einrichtungen auch die Zahlen von verbundenen und Partnerunternehmen nach 2003/361/EG addiert werden. Dies betrifft Konzernverbünde, Tochtergesellschaften und Unternehmensgruppen, und generell Firmen, die durch gleiche Anteilseigner verbunden sind. Art. 3 (1)-(3) Art. 6

  • Verbundene Unternehmen mit der Mehrheit an Anteilen, Stimmrechten, Satzung.
  • Partnerunternehmen mit mind. 25% der Stimmrechte oder Kapitel eines anderen Unternehmens
  • Auch natürliche Personen oder Personengesellschaften
  • Ausnahmen: Staatliche Beteiligungen, Forschung, Institutionen, Risikokapital, unabhängige IT

Die Auswirkungen sind komplex, im Grunde müssen Einrichtungen die FTE- und Finanzzahlen der verbundenen Unternehmen zu Einrichtungen addiert werden. Zu den eigenen Daten einer Einrichtung müssen vor- und nachgeschaltete Partnerunternehmen proportional und verbundene Unternehmen (100%) addiert werden. Art. 6 (2)

Bei Konzernen betrifft dies (mindestens) Tochterunternehmen und auch die Holding, falls dort noch nicht konsolidiert wurde. Bei der Berechnung der Zahlen inländischer Gesellschaften (Einrichtungen) sind auch ausländische (!) verbundene und Parterunternehmen hinzuzurechnen.

up

Das OpenKRITIS-Betreiberforum

Von Paul Weissmann am 10. März 2026

Forum OpenKRITIS

Das OpenKRITIS Betreiberforum am 26. März in Köln – zu Prüfungen in NIS2 und KRITIS. Das Forum ist ein Austauschformat für regulierte Unternehmen, die Fragen rund um NIS2 und KRITIS und aktuelle Themen in einer Kleingruppe diskutieren wollen.

ID Termin Schwerpunkt Format
F26.2 26. März 2026
2 Nachrücker		 Prüfungen in NIS2
  • Neue Prüferschulungen vom BSI
  • Wie wird in NIS2 ab 2026 geprüft?
  • 8 Teilnehmer
  • In Person in Köln

Das Ziel ist Lernen von anderen Betreibern in einer Gruppe mit Gleichgesinnten. Dabei können eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Das Betreiberforum findet alle zwei Monate in Köln nach Anmeldung statt und richtet sich an direkt regulierte Einrichtungen in NIS2 und KRITIS.

Am Termin F26.2 am 26. März zu Prüfungen in NIS2 gibt es zwei Nachrückerplätze. Wir freuen uns über Nachmeldungen von Betreibern mit Interesse an und Erfahrungen in Prüfungen.

up

Schulungsprogramm im Sommer 2026

Von Paul Weissmann am 1. März 2026

OpenKRITIS Summer School

Die OpenKRITIS Summer School für regulierte Unternehmen im Sommer 2026 – unser Einstieg in die komplexe Welt der NIS2- und KRITIS-Umsetzung in Deutschland. In kleinen, intensiven Kursen behandeln wir in Kleingruppen interaktiv Themen rund um KRITIS und NIS2, ab Mai 2026 im Rheinland.

Die Schulungen richten sich an regulierte Unternehmen, die direkt von NIS2/KRITIS betroffen sind. In der OpenKRITIS Summer School werden NIS2, KRITIS und Cybersecurity interaktiv und mit Fragen erarbeitet – in einer Gruppe mit Gleichgesinnten. Dabei sollen eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Anmeldung und Buchung über unser Schulungsbüro.

Programm OpenKRITIS-Workshops Sommer 2026, Stand Februar 2026
ID Thema Plätze Termin
S26.1 Bootcamp NIS2 und KRITIS: ISMS und Resilienz
Dieses eintägige Bootcamp richtet sich an regulierte Unternehmen, die in KRITIS und NIS2 vor den Herausforderungen eines integrierten ISMS, BCMS und physischen Schutzanforderungen stehen. OpenKRITIS x 3-Core 		12 28 Mai 2026
9:30-15:30
Siegburg
S26.2 NIS2 im Energiesektor: BSI, BNetzA & EnWG
Mehrfache Regulierung mit NIS2 und KRITIS im Energiesektor: Sicherheit und Resilienz für Betreiber nach dem EnWG und den BNetzA IT-Sicherheits­kataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor. 		8 18 Juni 2026
10:00-16:00
Köln
S26.3
NEU		 Security-Programme und NIS2
Strategische Umsetzung von Cybersecurity und Compliance in Programmen: Steuerung, Streams, Methodik und Praxiserfahrungen in Unternehmen und Konzernstrukturen, die erfolgreich Regulierung meistern. OpenKRITIS x intcube 		8 2. Juli 2026
10:00-16:00
Köln
S26.4 NIS2 und KRITIS für Studierende
Grundlagen von NIS2 und KRITIS in Deutschland und der EU, Diskussion der Ziele staatlicher Regulierung Kritischer Infrastrukturen. Einblick in die praktische Umsetzung in der Wirtschaft. Offen für alle Fachrichtungen. 		10 16. Juni 2026
10:00-13:00
online

up

KRITIS-Dachgesetz im Bundesrat am 6. März

Von Paul Weissmann am 27. Februar 2026

Screenshot Bundesrat KRITIS

Das KRITIS-Dachgesetz ist am 6. März 2026 auf der Tagesordnung des Bundesrates. Eigentlich als Formalie gedacht, gibt es vorab erneut Klärungs- und Änderungswünsche – die anstatt einer Annahme (und baldigen Verkündung) einen Vermittlungsausschuss wahrscheinlich machen.

Das KRITIS-Dachgesetz tritt damit nicht kurzfristig in Kraft. Die verschiedenen Empfehlungen (81/1/26) des Bundesrats würden jedoch nochmalige Änderungen am Gesetz nach sich ziehen:

  • Senkung der (KRITIS) Schwellenwerte von 500 Tsd. auf 150 Tsd. versorgte Personen
  • Unklarheiten bei Betreiberpflichten und Rechtsverordnungen
  • Unklarheiten bei Einbindung und Zustimmungspflichten der Ministerien und Länder
  • Fehlende Sektoren Staat und Verwaltung sowie Medien und Kultur
  • Aufgliederung der Aufsicht für Eisenbahn zwischen EBA und Ländern
  • Umgehende Vorlage der (diversen) Rechtsverordnungen

Welche Möglichkeiten in der Überarbeitung der Vorgaben in der Gesetzgebung bleiben, ist unklar.

Das KRITIS-Dachgesetz ist deutlich überfällig – die Umsetzungsfrist der EU CER-Richtlinie war im Oktober 2024. Daneben ist auch noch eine neue KRITIS-Verordnung ausstehend, um die Sektor- und Anlagendefinitionen aus KRITIS, NIS2 und KRITIS-Dachgesetz zu vereinheitlichen.

up

Registrierungen unter NIS2 und KRITIS

Von Paul Weissmann am 26. Februar 2026

Screenshot BSI-Portal

Regulierte Unternehmen müssen sich unter NIS2 als Einrichtung oder Betreiber kritischer Anlagen beim BSI registrieren. Je nach Art des Unternehmens und Regulierung gibt es ab 2026 vielfältige Registrierungspflichten und Portale – die ersten Fristen enden schon am 6. März 2026.

Nach der Feststellung der Betroffenheit beginnt der Weg der Registrierung> Über ELSTER-Zertifikate müssen in einem Portal der Bundesverwaltung Zugänge für das BSI-Portal registriert werden, in dem NIS2-Registrierungen und Meldepflichten vorgenommen werden. Für bestimmte Einrichungen der digitalen Infrastruktur und Betreiber kritischer Anlagen bestehen zusätzliche Registrierungspflichten.

  1. NIS2-Einrichtungen registrieren sich nach §33 (1) BSIG beim BSI im neuen BSI-Portal registrieren, mit Angaben zur Einrichtung.
  2. Betreiber kritischer Anlagen, bisher KRITIS, müssen sich nach §33 (2) BSIG mit Anlage, Kontakt­stelle usw. registrieren, bisher im MIP (Melde- und Informationsportal), wird durch §8 ersetzt.
  3. Betreiber kritischer Anlagen müssen sich mit dem kommenden §8 KRITIS-Dachgesetz beim BBK und/oder BSI registrieren
  4. Besondere Einrichtungen im Sektor Digitale Infrastruktur müssen sich nach §34 BSIG mit Details zum Konzernverbund und weiteren Entitäten in der EU beim BSI registrieren.
  5. Auch die kritischen Komponenten müssen, wenn vorhanden, nach §33 (2) BSIG oder §8 KRITIS-Dachgesetz beim BBK und BSI registriert werden.

up

Das OpenKRITIS-Betreiberforum

Von Paul Weissmann am 23. Februar 2026

Forum OpenKRITIS

Das OpenKRITIS Betreiberforum ist ein interaktives Austauschformat für regulierte Unternehmen, die gemeinsam Fragen rund um NIS2 und KRITIS und aktuelle Themen diskutieren wollen.

Das Ziel ist Lernen von anderen Betreibern in einer Gruppe mit Gleichgesinnten. Dabei können eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Das Betreiberforum findet alle zwei Monate in Köln nach Anmeldung statt und richtet sich an direkt regulierte Einrichtungen in NIS2 und KRITIS.

Geplante Themen Betreiberforum, Stand Februar 2026
Anmeldung über unser Schulungsbüro.
ID Termin Schwerpunkt Format
F26.1 5. Februar 2026
durchgeführt		 NIS2-Programme
  • Zentrale Planung, dezentrale Umsetzung
  • Practices von NIS2-Programmen im Konzern
  • 8 Teilnehmer
  • In Person in Köln
F26.2 26. März 2026
voll besetzt		 Prüfungen in NIS2
  • Neue Prüferschulungen vom BSI
  • Wie wird in NIS2 ab 2026 geprüft?
  • 8 Teilnehmer
  • In Person in Köln
F26.3 21. Mai 2026 BCM in NIS2
  • Anforderungen NIS2 und BCM
  • Aufbau BCMS, Integration ISMS
  • 3 freie Plätze
  • In Person in Köln
F26.4 Juli 2026 Vorfälle und Sensorik
  • Sensorik im SOC und SIEM (SzA)
  • Meldepflichten
  • 6 freie Plätze
  • In Person in Köln
F26.5 Sommer 2026 EnWG und Sicherheitskataloge
  • In Planung

up

Implementing Act: Sicherheitsvorfälle

Von Paul Weissmann am 23. Februar 2026

EU Directive

Für bestimmte Einrichtungen der Digitalen Infrastruktur gibt es unter EU NIS2 nach Art. 23 einen EU Implementing Act, der definiert, wann Sicherheitsvorfälle erheblich sind. Diese EU-Durchführungsverordnung C(2024) 7151 ist seit 2024 in Kraft und betrifft viele Internet und IT-Provider.

Für andere Sektoren und Einrichtungen sind diese Vorgaben nicht verbindlich, können aber als Orientierung für Kriterien von erheblichen Sicherheitsvorfällen dienen. Die Kriterien Art. 2-14 betreffen die Feststellung von erheblichen Sicherheitvorfällen, die mindestens meldepflichtig sind.

* - 5% oder 1 Mio. Nutzer in der EU, je nachdem, welcher Wert kleiner ist
Einrichtungen
Digitale Infrastruktur		 Erhebliche Sicherheitsvorfälle NIS2 Implementing Act
Vorfälle mit folgenden (möglichen) Konsequenzen:
Alle Betreiber Art. 3
  • Finanzielle Verluste über 500 Tsd. EUR oder 5% vom Gesamtumsatz
  • Maliziöser Zugriff auf Netz- und Informationssysteme, Verlust von Geschäftsgeheimnissen
  • Tod, möglicher Tod oder schwere Gesundheitsschäden einer natürlichen Person
  • Wiederkehrende Vorfälle (Art. 4) oder Betreiber-spezifische Vorfälle (Art. 5-14)
  • Nicht: Geplante Wartungsfenster und Unterbrechungen
Wiederkehrende
Incidents Art. 4
  • Zweimal in den letzten sechs Monaten
  • Anscheinend dieselbe Root-Cause
  • Haben zusammen die Auswirkungen der o.h. finanziellen Verlusten
DNS-Provider Art. 5
  • Namensauflösung nicht erreichbar, Schutzziele (C/I/A) verletzt
TLD-Registries Art. 6
  • Namensauflösung nicht erreichbar, Schutzziele (C/I/A) verletzt
Cloud-Provider Art. 7
  • Cloud Computing Service limitiert oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Rechenzentren Art. 8
  • Rechenzentrumsdienst ausgefallen, nicht verfügbar, Schutzziele (C/I/A) verletzt*
  • Physischer Zugang zum Rechenzentrum ist kompromittiert
CDN-Betreiber Art. 9
  • Content Delivery Network eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
MSP und MSSP Art. 10
  • Managed Service eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Marktplätze Art. 11
  • Marktplatz eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Suchmaschinen Art. 12
  • Suchmaschine eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Social Media Art. 13
  • Soziales Netzwerk eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt*
Trust Services Art. 14
  • Trust Service eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt
  • Physischer Zugang sensiblen Netz- und Informationssystemen kompromittiert

up

KRITIS in Zahlen seit 2024

Von Paul Weissmann am 9. Februar 2026

Neue KRITIS in Zahlen vom BSI zum 4. Quartal 2025 – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden zu Ende Dezember 2025 aktualisiert: wenig Bewegung.

KRITIS data picture

Ende 2025 gab es 1.211 Betreiber mit 2.136 KRITIS-Anlagen mit leicht verbesserten Reifegraden im ISMS, BCMS und SzA. Weiterhin Verschiebungen durch Abmeldung von Reifegraden im Sektor Finanzen durch DORA.

Die Historie der KRITIS-Reifegrade seit Anfang 2024 bis Ende 2025 basierend auf öffentlichen Zahlen. Die in Prüfungen ermittelten Reifegrade veränderten sich in den letzten beiden Jahren nur leicht – und schwankten viel um den 3.0-Mittelwert mit leichten Ausschlägen nach oben und unten.

KRITIS data picture

An den Gesamtreifegraden der KRITIS-Betreiber im ISMS, BCMS und der Angriffserkennung hat sich tatsächlich nur im Nachkommabereich etwas geändert, auch wenn eine leichte Tendenz nach oben erkennbar ist. Die rote Laterne der Sektoren Gesundheit und Transport ist relativ konstant, während der Sektor Digitale Infrastruktur seit langem gut abschneidet.

Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben. Dopplungen möglich

up

EU Cybersecurity Act 2

Von Henri Jäger am 28. Januar 2026

EU Directive

Der EU Cybersecurity Act (CSA) ist das europäische Rahmenwerk für Cybersecurity. EU CSA legte 2019 die Grundsteine für umfangreiche Cybersecurity-Regulierung und Governance in der EU und wird 2026 mit dem CSA2 überarbeitet.

Mit EU CSA2 sollen ICT-Lieferketten in der EU gestärkt und geschützt werden, Zertifizierungen für und Compliance mit EU-Regulierungen erleichtert und vor allem die Rolle der ENISA gestärkt werden.

  1. ICT Toolbox: CSA2 führt ein EU-weites Rahmenwerk zum Schutz kritischer Lieferketten in den NIS2-Sektoren ein. Damit sollen kritische ICT-Supplier (IT-Provider, Cloud, ...) durch Bewertungen auf EU-Ebene identifiziert und geschützt (reguliert) werden können.
  2. Hoch-Risiko Lieferanten: Neue Mechanismen für Lieferanten und Dienstleister mit Sitz in oder Kontrolle durch Drittländern. Dafür soll es Listen und Kontrollmechanismen durch die EU geben. (Potenzielle Schnittmenge zu Kritische Komponenten und Souveränitätsdebatte.)
  3. European Cybersecurity Certification Framework: Die Nutzung von Zertifizierungen im Rahmen von EU CSA und EU-Regulierungen soll deutlich vereinfacht werden – mit (neuen) Zertifizierungs­schemata für Klassen von IT-Anbietern, Wirksamkeit, Cyber-Posture u.v.m.
  4. ENISA in CSA2: Die operativen Aufgaben und das Mandat der ENISA für Warnungen, Koordinieren von Schwachstellen, Support, und Tools und Plattformen für die Cyber Posture der EU.
  5. EU NIS2: Die 2023 in Kraft getretene EU NIS2 Richtlinie soll mit CSA2 überarbeitet werden

EU CSA2 wird aktuell als Vorschlag der Kommission zwischen Rat und EU Parlament verhandelt (im Trialog) – mit noch viel Abstimmungsbedarf und unterschiedlichen Positionen.

up

KRITIS-Dachgesetz in 2026

Von Paul Weissmann am 27. Januar 2026

KRITIS

Für das KRITIS-Dachgesetz gibt es Ende Januar 2026 eine neuerliche Änderungsversion der Regierungsfraktionen. Damit wird in Teilen auch auf die Kommentare des Bundesrats Ende 2025 eingegangen, dass die Schwellenwerte von 500.000 versorgten Bürgern zu hoch seien.

Die Änderungen in 2026 betreffen vor allem die Logik der Festlegung kritischer Anlagen – die deutlich um Länderzuständigkeiten erweitert wird.

  • Betreiber, die unterhalb von KRITIS-Schwellenwert kritisch werden, können neben dem BMI, falls der Sektor auf Bundesebene reguliert wird auch durch Länder (!) bestimmt werden.
  • Länder können Betreiber unterhalb von Schwellenwerten mittels einer neuer Rechtsverordnung bestimmen, falls die zuständige Behörde eine Landesbehörde ist.
  • Betreiber kritischer Anlagen, durch Landesbehörden mit anderen Nachweisen
  • Kritische Komponenten müssen bei der Registrierung mitgemeldet werden (an das BSI)
  • Anpassungen der Meldepflicht an das BBK: Weiterleitungen, Lagebilder
  • Erhöhung der Geldbußen auf bis zu 1 Mio. EUR
  • Anpassung der Definitionen kritische Anlagen (KRITIS-Anlagen) auch im BSI-Gesetz
  • Anpassung der Registrierung Betreiberm kritischer Anlagen auch im BSI-Gesetz
  • Fristen wurden entschärft – viele Daten liegen nun unbestimmter und/oder in der Zukunft: Nationale Risikoanalysen, Nationale Resilienzstrategie

Die Sektoren mit Zuständigkeit von Landesbehörden sind, nach den letzten Entwürfen: Gesundheitswesen, Wasser, Ernährung, Entsorgung, und einige noch unbestimmte Dienstleistungen. Die Anlagendefinitionen in einer neuen KRITIS-Verordnung fehlen allerdings noch.

Ein baldiges Inkrafttreten nun scheint möglich. Weitere Gesetze werden dann auch geändert.

OpenKRITIS auf LinkedInRSS FeedNews-ArchivZum Anfang