Regulierte Unternehmen
Unternehmen in NIS2 und KRITIS, Einrichtungen und Betreiber, fallen als regulierte Kritische Infrastruktur unter die deutsche NIS2 und KRITIS-Regulierung. Mit EU NIS2 vertiefen sich Cybersecurity-Anforderungen ab Ende 2025 deutlich, mit dem KRITIS-Dachgesetz die Resilienz-Vorgaben zusätzlich noch für Betreiber kritischer Anlagen.
Die Pflichten als KRITIS-Betreiber und NIS2-Einrichtung beginnen mit der Identifikation als Kritische Infrastruktur, gefolgt von Meldepflichten, der Umsetzung von Cybersecurity-Maßnahmen bis zu regelmäßigen Prüfungen und Nachweisen. Im eigenen Geltungsbereich müssen Unternehmen vom BSI vorgegebene Reifegrade umsetzen.
Pflichten von KRITIS-Betreibern
| Pflicht | Handlung | Verantwortlich (A) |
Durchführung (R) |
Dritte (C/I) |
Wann |
|---|---|---|---|---|---|
| Identifikation | Betroffenheit Einrichtung und Anlagen† | Geschäftsleitung | jährlich Änderungen |
||
| Registrierung | Registrierung Einrichtung und Anlagen† beim BSI/BBK | Geschäftsleitung | BSI BBK |
Identifikation Änderungen |
|
| Geltungsbereich | Anlagen und eigenen Scope definieren im Unternehmen | Geschäftsleitung | Stabsstelle CISO |
Identifikation Änderungen |
|
| Meldepflicht | Erhebliche Sicherheitsvorfälle Vorfälle† |
Geschäftsleitung | CISO SOC |
BSI BBK |
unverzüglich |
| Komponenten | Kritische Komponenten† | Geschäftsleitung | Stabsstelle CISO |
BMI | Registrierung |
| Cybersecurity | Maßnahmen umsetzen §30 BSIG | Geschäftsleitung | Fachbereiche CISO |
regelmäßig | |
| Resilienz | Maßnahmen umsetzen §30 BSIG Maßnahmen KRITIS-Dachgesetz† |
Geschäftsleitung | Fachbereiche CISO |
regelmäßig | |
| Angriffserkennung | Maßnahmen umsetzen §31 BSIG† und OH SzA† | Geschäftsleitung | SOC/CISO | regelmäßig | |
| Dokumentation | Nachweis Umsetzung in Einrichtung | Geschäftsleitung | CISO | (BSI) | regelmäßig |
| Prüfungen | Nachweis Umsetzung in Anlagen† | Geschäftsleitung | Prüfer | BSI | alle 3 Jahre |
| Reifegrade | Reifegrade nachweisen BSI RUN† | Geschäftsleitung | Fachbereiche CISO |
Prüfungen | |
| Betriebsführung | Betriebsführung in EnWG | Geschäftsleitung | Betriebsführer | konstant | |
| Bußgelder | Sanktionen bei Verstößen BSIG Sanktionen bei Versößen DachG† |
Geschäftsleitung | BSI BBK |
bei Anlaß |
Wie werde ich Betreiber?
Betreiber und Einrichtungen sind für die Identifikation und Feststellung der Betroffenheit ihrer Anlagen und Schwellenwerte selbst verantwortlich. Die Analyse beginnt bei den Dienstleistungen der KRITIS-Sektoren — Betreiber müssen mögliche KRITIS-Anlagen im eigenen Betrieb identifizieren und das Überschreiten von Schwellenwerten dabei selbst erkennen.
- Werden Schwellenwerte von Anlagen überschritten, müssen Betreiber diese Anlage beim BSI als Kritische Infrastruktur und sich selbst als KRITIS-Betreiber registrieren. Anlagen und Betreiber, die in KRITIS-Sektoren über 500 Tsd. Personen versorgen, sind meist KRITIS.
- Mit NIS2 kommen viele Unternehmen als regulierte Einrichtungen hinzu: Hier werden nicht einzelne Anlagen speziell reguliert, sondern die gesamte (betroffene und registrierte) Legaleinheit.
- Die Pflichten als Betreiber und Einrichtung beginnen unmittelbar nach Registrierung: (Meldungen und Maßnahmen und müssen (KRITIS) regelmäßig dem BSI durch Audits nachgewiesen werden.
- Im Energiesektor gibt es weiterhin Betreiber, die den operativen Betrieb und einige Verantwortungen an Betriebsführer ausgelagert haben. Hier gelten Vorgaben der BNetzA.
Gibt es Listen?
Nein. Die Listen registrierter Betreiber und Anlagen sind nicht öffentlich. Die Bundesverwaltung spricht 2025 von etwa 2.000 registrierten Betreibern und über 30.000 Einrichtungen.
Geltungsbereich
Der Geltungsbereich von regulierten Einrichtungen und Betreibern beschreibt in Unternehmen die notwendigen Prozesse und Technologien (IT und OT) und legt die Grenzen der Kritischen Infrastruktur fest: Bei Einrichtungen in der Regel das ganze Unternehmen, bei Betreibern die kritische Anlage (KRITIS). Der Geltungsbereich ist im weiteren Verlauf relevant für:
- Cybersecurity und Resilienz-Maßnahmen: Der Geltungsbereich definiert die Grenzen der notwendigen Sicherheitsvorkehrungen, durch angemessene und wirksame Maßnahmen.
- Nachweisprüfungen: Bei der Prüfung der Sicherheitsvorkehrungen in den kritischen Anlagen definiert der Geltungsbereich den Scope der Prüfung für den KRITIS-Prüfer.
Zum Geltungsbereich gehören weiterhin der Netzstrukturplan (NSP) der Anlage und eine Dokumentation der (externen) Schnittstellen und Datenflüsse.
Meldungen an das BSI
Nach der Registrierung unterliegen Einrichtungen und Betreiber einem Austausch mit dem BSI sowie Meldepflichten. Stören Angriffe oder Vorfälle die kritische Dienstleistung oder Versorgungssicherheit oder haben das Potenzial dazu, müssen Betreiber den Vorfall an das BSI melden. Bei Betreibern kritischer Anlagen muss zusätzlich an das BBK gemeldet werden.
Die Informationspflichten an das BSI haben seit 2021 mit dem IT-Sicherheitsgesetz 2.0 zugenommen — mit mehr Informationen zur IT/OT und noch tieferen Daten zu Angriffen und Schwachstellen. Ebenfalls müssen Betreiber bestimmter Sektoren den Einsatz von kritischen Komponenten in KRITIS-Anlagen vom BMI durch eine Garantieerklärung freigeben lassen.
Cybersecurity
Mit der Betroffenheit als Kritische Infrastruktur sind Einrichtungen und Betreiber für Cybersecurity und Resilienz in ihrem Geltungsbereich (Unternehmen oder Anlage) verantwortlich. Dazu müssen Unternehmen wirksame Cybersecurity und Resilienz-Maßnahmen umsetzen, unter anderem:
- Sicherheitsmanagement: Management-Systeme wie ISMS und Risikomanagement zur Steuerung von Cyber-Risiken in den KRITIS-Anlagen.
- Resilienz: Management-Systeme wie BCMS und Krisenmanagement zur Vorbereitung auf und Bewältigung von Notfällen.
- Technologie: Maßnahmen nach Stand der Technik schützen die IT, OT, Infrastruktur und Betriebsorganisation der KRITIS-Anlagen beim Betreiber.
- Angriffserkennung: Systeme und Prozesse zur Detektion wie SIEM und IDS aber auch CSIRT und SOC ermöglichen eine angemessene Reaktion auf Störungen und Angriffe.
- Reifegrade: Umsetzung von Security-Maßnahmen in definierten Reifegraden vom BSI (RUN).
Prüfungen und Nachweise
Betreiber kritischer Anlagen (KRITIS) müssen die Angemessenheit und Wirksamkeit der Schutzmaßnahmen in ihren Anlagen alle drei Jahre durch Prüfungen oder Audits nachweisen. Betreiber müssen die Prüfungen selbst planen und beauftragen.
In den Nachweisprüfungen untersuchen (in der Regel externe) Prüfer den KRITIS-Geltungsbereich, das dortige Risiko-Management und das Vorhandensein (Angemessenheit) und die Effektivität (Wirksamkeit) von Cybersecurity-Maßnahmen.
In regulierten Einrichtungen (NIS2) müssen die Maßnahmen wirksam umgesetzt und dokumentiert werden. Hier haben Aufsichtsbehörden Prüfbefugnisse.
Verstöße
Verstöße gegen NIS2 und KRITIS-Regularien ziehen als Ordnungswidrigkeiten Sanktionen nach sich — kommen Betreiber ihren Pflichten nicht nach, kann dies zu Bußgeldern führen.
Weitere Informationen
Quellen
- Gesetz zur Umsetzung der NIS-2-Richtlinie verkündet, 05.12.2025 Bundesgesetzblatt, BGBl.-Nr. 301
- Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist