Pflichten regulierter Einrichtungen
Wie werde ich Betreiber?
Betreiber und Einrichtungen sind für die Identifikation und Feststellung der Betroffenheit ihrer Anlagen und Schwellenwerte selbst verantwortlich. Die Analyse beginnt bei der Unternehmensgröße als regulierte Einrichtung (NIS2) oder möglichen KRITIS-Anlagen im eigenen Betrieb.
- Werden Schwellenwerte von Anlagen überschritten, müssen Betreiber diese Anlage beim BSI als Kritische Infrastruktur und sich selbst als KRITIS-Betreiber registrieren. Anlagen und Betreiber, die in KRITIS-Sektoren über 500 Tsd. Personen versorgen, sind meist KRITIS.
- Mit NIS2 kommen viele Unternehmen als regulierte Einrichtungen hinzu: Hier werden nicht einzelne Anlagen speziell reguliert, sondern die gesamte (betroffene und registrierte) Legaleinheit.
Gibt es Listen?
Nein. Die Listen registrierter Betreiber und Anlagen sind nicht öffentlich. Die Bundesverwaltung spricht 2025 von etwa 2.000 registrierten Betreibern und über 30.000 Einrichtungen.
Reguliert – und nun?
Die Pflichten als Betreiber und Einrichtung beginnen unmittelbar nach Registrierung: Meldung von Sicherheitsvorfällen, Umsetzung der Maßnahmen und sowie Nachweise und Audits (KRITIS).
| Pflicht | Handlung | Verantwortlich (A) (R) |
Dritte (C/I) |
Wann | |
|---|---|---|---|---|---|
| Identifikation | Betroffenheit Einrichtung Betroffenheit Anlagen† |
GF | jährlich bei Änderungen |
||
| Registrierung | Registrierung Einrichtung beim BSI Registrierung Anlagen† beim BSI/BBK |
GF | BSI BBK |
nach Identifikation bei Änderungen |
|
| Geltungsbereich | Anlagen und eigenen Scope definieren im Unternehmen | GF | Stabsstelle CISO |
nach Identifikation bei Änderungen |
|
| Meldepflicht | Erhebliche Sicherheitsvorfälle Vorfälle† |
GF | CISO SOC |
BSI BBK |
unverzüglich |
| Komponenten | Freigabe Kritische Komponenten† | GF | Stabsstelle CISO |
BMI | vor Einsatz |
| Cybersecurity | Maßnahmen §30 BSIG umsetzen | GF | Fachbereiche CISO |
regelmäßig | |
| Resilienz | Maßnahmen §30 BSIG umsetzen Maßnahmen DachG umsetzen† |
GF | Fachbereiche CISO |
regelmäßig | |
| Angriffserkennung | Maßnahmen §31 BSIG und OH SzA† | GF | SOC/CISO | regelmäßig | |
| Dokumentation | Nachweis Umsetzung BSIG | GF | CISO | (BSI) | regelmäßig |
| Prüfungen | Audit Umsetzung BSIG in Anlagen† Audit Umsetzung DachG in Anlagen† |
GF | Prüfer | BSI BBK |
alle 3 Jahre |
| Reifegrade | Reifegrade BSI RUN† | GF | Prüfer | BSI | Prüfungen |
| Betriebsführung | Betriebsführung im EnWG | GF | Betriebsführer | BNetzA | konstant |
| Bußgelder | Sanktionen Verstöße BSIG Sanktionen Verstöße DachG† |
GF | BSI BBK |
bei Anlaß | |
Geltungsbereich
Der Geltungsbereich von regulierten Einrichtungen und Betreibern beschreibt in Unternehmen die notwendigen Prozesse und Technologien (IT und OT) und legt die Grenzen der Kritischen Infrastruktur fest: Bei Einrichtungen in der Regel das ganze Unternehmen, bei Betreibern die kritische Anlage (KRITIS). Der Geltungsbereich ist im weiteren Verlauf relevant für:
- Cybersecurity und Resilienz-Maßnahmen: Der Geltungsbereich definiert die Grenzen der notwendigen Sicherheitsvorkehrungen, durch angemessene und wirksame Maßnahmen.
- Nachweisprüfungen: Bei der Prüfung der Sicherheitsvorkehrungen in den kritischen Anlagen definiert der Geltungsbereich den Scope der Prüfung für den KRITIS-Prüfer.
Zum Geltungsbereich gehören weiterhin der Netzstrukturplan (NSP) der Anlage und eine Dokumentation der (externen) Schnittstellen und Datenflüsse.
Meldungen an das BSI
Betroffene Unternehmen müssen sich beim BSI über das BSI-Portal registrieren.
Nach der Registrierung unterliegen Einrichtungen und Betreiber einem Austausch mit dem BSI sowie Meldepflichten. Stören Angriffe oder Vorfälle die kritische Dienstleistung oder Versorgungssicherheit oder haben das Potenzial dazu, müssen Betreiber den Vorfall an das BSI melden. Bei Betreibern kritischer Anlagen muss zusätzlich an das BBK gemeldet werden.
Die Informationspflichten an das BSI haben zugenommen — mit mehr Informationen zur IT/OT und tieferen Daten zu Angriffen und Schwachstellen. Ebenfalls müssen Betreiber bestimmter Sektoren den Einsatz von kritischen Komponenten im Betrieb vom BMI freigeben lassen.
Die Informationspflichten an Kunden und die Öffentlichkeit haben mit NIS2 ebenfalls zugenommen.
Cybersecurity
Mit der Betroffenheit als Kritische Infrastruktur sind Einrichtungen und Betreiber für Cybersecurity und Resilienz in ihrem Geltungsbereich (Unternehmen oder Anlage) verantwortlich. Dazu müssen Unternehmen wirksame Cybersecurity und Resilienz-Maßnahmen umsetzen, unter anderem:
- Sicherheitsmanagement: Management-Systeme wie ISMS und Risikomanagement zur Steuerung von Cyber-Risiken in den KRITIS-Anlagen.
- Resilienz: Management-Systeme wie BCMS und Krisenmanagement zur Vorbereitung auf und Bewältigung von Notfällen.
- Technologie: Maßnahmen nach Stand der Technik schützen die IT, OT, Infrastruktur und Betriebsorganisation der KRITIS-Anlagen beim Betreiber.
- Angriffserkennung: Systeme und Prozesse zur Detektion wie SIEM und IDS aber auch CSIRT und SOC ermöglichen eine angemessene Reaktion auf Störungen und Angriffe.
- Reifegrade: Umsetzung von Security-Maßnahmen in definierten Reifegraden vom BSI (RUN).
Prüfungen und Nachweise
Betreiber kritischer Anlagen (KRITIS) müssen die Angemessenheit und Wirksamkeit der Schutzmaßnahmen in ihren Anlagen alle drei Jahre durch Prüfungen oder Audits nachweisen. Betreiber müssen die Prüfungen selbst planen und beauftragen.
In den Nachweisprüfungen untersuchen (in der Regel externe) Prüfer den KRITIS-Geltungsbereich, das dortige Risiko-Management und das Vorhandensein (Angemessenheit) und die Effektivität (Wirksamkeit) von Cybersecurity-Maßnahmen.
In regulierten Einrichtungen (NIS2) müssen die Maßnahmen wirksam umgesetzt und dokumentiert werden. Hier haben Aufsichtsbehörden Prüfbefugnisse.
Verstöße
Verstöße gegen NIS2 und KRITIS-Regularien ziehen als Ordnungswidrigkeiten Sanktionen nach sich — kommen Betreiber ihren Pflichten nicht nach, kann dies zu Bußgeldern führen.