Kritische Komponenten

Energy switch picture

Betreiber kritischer Anlagen (KRITIS) müssen seit NIS2 den Einsatz bestimmer kritischer Komponenten mit der Registrierung an die Aufsichtsbehörden melden. Mit der Umsetzung von NIS2 wurde die Regulierung kritischer Komponenten in Deutschland erweitert und die Mechanismen für Betreiber kritischer Anlagen angepasst.

  1. Komponenten ab 2026
  2. Registrierung
  3. Einsatz
  4. TK
  5. Energie

Die Umsetzung von EU NIS2 und CER in Deutschland durch die NIS2-Umsetzung und KRITIS-Dachgesetz führte ab 2025 zu einer Veränderung der Regulierung kritischer Komponenten. Bislang im KRITIS-Kontext auf den Telekommunikationssektor beschränkt, können mit NIS2 kritische Komponenten in allen KRITIS-Sektoren bestimmt werden, begonnen im Energiesektor.

Situation ab 2026

Umgang mit kritischen Komponenten

Mit der Öffnung des Geltungsbereiches aus § 41 BSIG können kritische Komponenten künftig in allen KRITIS-Sektoren wie in der Energiewirtschaft und anderen KRITIS-Sektoren bestimmt werden.

  • Das Bundesministerium des Innern (BMI) kann durch Rechtsverordnung im Einvernehmen mit den betroffenen Ressorts kritische Komponenten bestimmen.
  • Darauf aufbauend kann das BMI durch § 41 BSIG im Benehmen mit den Ressorts den Einsatz konkreter kritischer Komponenten untersagen oder beschränken.

Neuerungen durch NIS2

In der finalen NIS2-Umsetzung ergeben sich Änderungen für den Umgang mit kritischen Komponenten. Die bisherige Untersagungsbefugnis aus §9b BSIG wird in §41 BSIG in NIS2 überführt, Verschiebungen ergeben sich aus Definitionen und einem vereinfachten Ablauf.

  • Entfernen der Garantieerklärung, vormals in §9b (3) BSIG, mit denen Hersteller eine Erklärung über seine Vertrauenswürdigkeit abgeben mussten.
  • Wegfall der ex ante-Anzeigepflicht aus §9b Abs. 1 BSIG, nach der Betreiber den geplanten erstmaligen Einsatz kritischer Komponenten vorab beim BMI anzeigen mussten. Die bei einem Betreiber zum Einsatz kommenden Typen kritischer Komponenten werden künftig im Rahmen der Registrierung nach §33 BSIG gemeldet; Untersagungen erfolgen ex-post nach §41 BSIG
  • Vereinfachte Begriffserklärung und Prüfmöglichkeit kritischer Komponenten: Nach §2 (23) BSIG sind kritische Komponenten IKT-Produkte, die in einer Rechtsverordnung nach §56 (7) BSIG bestimmt werden. Die Kriterien dafür bleiben nah an der Definition des alten BSIG in §2 (13)
  • Umstellung der kritischen Komponenten von KRITIS-Sektorenen auf die kritische Dienstleistung.
  • Erweiterung der Drittstaatenregelung für kritische Komponenten in §41 (4) BSIG
  • Eine Untersagung, die auf der (un-)mittelbaren Kontrolle des Herstellers durch einen Drittstaat sowie sicherheitsrelevanten Aktivitäten beruht, bleibt in §41 (2) BSIG inhaltlich unverändert.

Sektoren

Neben den Änderungen im BSIG verankert das novellierte EnWG eine Konkretisierung der Regulierung kritischer Komponenten im Energiesektor. Nach §5c (6) EnWG legt die BNetzA mit dem BSI nach §29 (1) EnWG in einem Katalog für Energieversorgungsnetzen und Energieanlagen fest, welche Komponenten oder Funktionen nach §2 (23) BSIG kritisch sind.

up

Registrierung

Definitionen

Kritische Komponenten werden als Begriff in §2 (23) BSIG definiert als IKT-Produkte, die in einer Rechtsverordnung nach §56 (7) BSIG bestimmt werden. Diese Komponenten kann es in allen kritischen Sektoren mit kritischen Dienstleistungen geben.

Anzeigepflicht

Mit der Novellierung entfällt die bisherige ex-ante-Anzeigepflicht für den erstmaligen Einsatz kritischer Komponenten nach §9b (1) BSIG inklusive der bisherigen Garantieerklärung. Statt einer vorgelagerten Einzelanzeige beim BMI melden Betreiber die Typen kritischer Komponenten nun im Rahmen der Registrierung nach §33 (2) BSIG und über regelmäßige Aktualisierungen.

Für Betreiber bedeutet dies zwar eine Entlastung von formalen Anzeige- und Rückmeldeprozessen gegenüber dem BMI, andererseits entfällt ein frühzeitiger, formalisierter Austausch zwischen beiden.

In der Praxis müssen Betreiber eigenständig, in Zusammenarbeit mit Herstellern, prüfen, ob eingesetzte Komponenten unter die Definition kritischer Komponenten fallen und welche sicherheitspolitischen Risiken mit bestimmten Herstellern verbunden sind. Für den Einsatz verschiebt sich die Entscheidung von einer ex-ante-Anzeige hin zu einer ex-post-Kontrolle mit potenziell weitreichenden Folgen, sollte das BMI zu einer abweichenden Risikoeinschätzung gelangen als der Betreiber.

Registrierungsweg

Kritische Komponenten müssen seit 2026 mit der Registrierung als Betreiber kritischer Anlagen nach §33 (2) BSIG an das BSI übermittelt werden, konkret die zum Einsatz kommenden Typen von kritischen Komponenten. Der Übermittlungsweg und dessen Form ist dabei noch offen.

Das KRITIS-Dachgesetz erweitert die Regulierung von Betreibern kritischer Anlagen und ändert in dem Zuge auch die Registrierung dieser Betreiber in §33 (2) BSIG, welche dann auf §8 KRITIS-DachG verweist. Dort müssen sich Betreiber beim BBK und BSI registrieren, und kritische Komponenten nach §8 (1) Nr. 7 KRITIS-DachG melden.

Änderungen müssen innerhalb von zwei Wochen mitgeteilt werden. §8 (6) KRITIS-DachG

Der tatsächliche Weg zur Übermittlung im Portal ist noch unklar, das Dachgesetz spricht von einer gemeinsam vom BSI und BBK eingerichteten Registrierungsmöglichkeit.

up

Einsatz

Untersagungsbefugnisse

Im verabschiedeten Gesetzesentwurf des BSIG von November 2025 bleibt die Regelung zur Untersagung des Einsatzes kritischer Komponenten bei voraussichtlicher Beeinträchtigung der öffentlichen Ordnung oder Sicherheit fortbestehen. Das BMI darf Betreiber kritischer Anlagen den Einsatz kritischer Komponenten eines Herstellers untersagen. §41 (1) BSIG

Die bislang zentrale inhaltliche Prüfung der sicherheitspolitischen Relevanz bleibt bestehen und wird um ein Prüfungskriterium ergänzt. Nach § 41 (4) BSIG kann bei der Prüfung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit insbesondere berücksichtigt werden, ob

  1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird oder zur Zusammenarbeit mit staatlichen Stellen oder Streitkräften eines Drittstaates verpflichtet ist oder von dem Drittstaat hierzu verpflichtet werden kann,
  2. der Hersteller an Aktivitäten beteiligt war oder ist, die geeignet waren oder sind, nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen zu haben,
  3. (neu) hinreichende Anhaltspunkte dafür bestehen, dass der Hersteller aus sonstigen Gründen nicht vertrauenswürdig ist, oder
  4. der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Interessen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages steht.

In der Praxis knüpft diese Bewertung (Drittstaatenregelung) an Debatten um IKT-Anbieter aus Drittstaaten und deren Sicherheitsgesetze an, die Unternehmen zur Zusammenarbeit mit staatlichen Stellen verpflichten können. Während §9b (2) BSIG solche Kooperationspflichten nur mittelbar über das Kriterium der staatlichen Kontrolle erfasste, werden sie in § 41 (4) BSIG nun ausdrücklich genannt.

Garantieerklärung

Der finale NIS2-Umsetzung enthält in §41 BSIG keine Garantieerklärung mehr.

Die bisherige Prüfung der Vertrauenswürdigkeit von Herstellern und einzureichende Garantieerklärung aus früheren Fassungen besteht nicht mehr. Dies soll den Aufwand bei Betreiber und Herstellern reduzieren – die dadurch die Möglichkeit einer Prüfung vor Einsatz oder Vergabe verlieren.

up

Kritische Komponenten in Sektoren

Telekommunikation

Seit 2021 gibt es im Sektor Telekommunikation formell definierte kritische Komponenten (5G-Netze), definiert durch das TKG und die BNetzA im IT-Sicherheitskatalog.

eigene Zusammenstellung, Stand Mai 2025
Sektor Kritische Komponenten und Funktionen
Telekommunikation (IKT)
durch §167 (1) Nr. 2 TKG		 Öffentliche 5G-Mobilfunknetze, davon:
  • Core network functions
  • NFV management and network orchestration (MANO)
  • Management systems and supporting services
  • Radio Access Network (RAN)
  • Transport and transmission
  • Internetwork exchanges

up

Energie

Im Energiesektor sind seit 2025 kritische Funktionen definiert, die durch kritische Komponenten realisiert werden. Diese Komponenten müssen ab 2026 bei der Registrierung und bei Änderungen an Behörden gemeldet werden.

Die Festlegung kritischer Funktionen für den Betrieb von Energieversorgungsnetzen und Energieanlagen erfolgte im Rahmen der Überarbeitung der IT-Sicherheitskataloge durch die BNetzA im Juni 2025. Mit dieser Festlegung kommt die BNetzA der Vorgabe des § 11 Abs. 1g S. 1 Nr. 2 EnWG nach und bestimmt eine zweistufige Einführung ab 2025.

eigene Zusammenstellung, Stand August 2025
Sektor Kritische Komponenten und Funktionen
Energiesektor
durch §5c (12) EnWG		 Steuerung, Leittechnik, Netzschutz
  • Netz- und Anlagensteuerung
    (zentrale und dezentrale Prozess- und Netzleittechnik)
  • Netz- und Systemsteuerung Offshore/HVDC
  • Netzzustandserfassung und Störungsmeldungsverarbeitung
  • Dynamische Grenzwertberechnung
  • Netz schützen
Netzführung, Schaltleitung
  • EnWG-Kaskade
  • Netzwiederaufbau
Stationsbetrieb
  • Infrastrukturbetrieb
  • OT-Betrieb/dezentrale Leittechnik
Systembilanz, Frequenzhaltung
  • Leistungsfrequenzregelung
  • Minutenreserve einsetzen
  • Kapazitätsreserve
Operatives Engpassmanagement
  • Redispatchmaßnahmen
IKT-Betrieb, Sachdatenverwaltung
  • Betrieb des Nachrichtennetzes/TK-Betrieb
  • Leitstellen-Telefonie
  • Fernwartungszugänge

Mit der Umsetzung von NIS2-Umsetzung wird das EnWG um §5c-e EnWG ergänzt und damit ein eigener, sektorspezifischer IT-Sicherheitsrahmen für Energieversorgungsnetze, Energieanlagen und digitale Energiedienste geschaffen.

Nach §5c (6) muss die Bundesnetzagentur im Einvernehmen mit dem BSI in einem Katalog für den Betrieb von Energieversorgungsnetzen und Energieanlagen festlegen, welche Komponenten bzw. Funktionen als kritische Komponenten bzw. kritisch bestimmte Funktionen“im Sinne der Begriffsbestimmungen gelten.

up

Weitere Informationen

Literatur

  1. Fragen und Antworten zum Einsatz kritischer Komponenten, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  2. Liste der kritischen Funktionen nach §109 Abs. 6 TKG für öffentliche Telekommunikations­netze und -dienste mit erhöhtem Gefährdungs­potenzial, Bundesnetzagentur (BNetzA), 18.08.2021
  3. Festlegung des Kataloges von Sicherheits­anforderungen, BNetzA Pressemitteilung, 25.08.2021

Quellen

  1. Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) von 2016, geändert 2025
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und die Sicherheit in der Informationstechnik von Einrichtungen, BSI-Gesetz vom 2. Dezember 2025
  3. Festlegung kritischer Funktionen, BNetzA, vom 25. Juni 2025