Kritische Komponenten

Situation ab 2025

Die Überführung von EU NIS2 und RCE in nationales Recht in Deutschland durch die NIS2-Umsetzung (BSIG-E) und KRITIS-Dachgesetz führt ab 2025 zu einer Veränderung der Regulierung kritischer Komponenten. Bislang im KRITIS-Kontext auf den Telekommunikationssektor beschränkt, können mit NIS2 kritische Komponenten in allen KRITIS-Sektoren bestimmt werden. §56 (4) BSIG-E

Die Einstufung kritischer Dienstleistungen und Anlagen erfolgt zweistufig:

• Das Bundesministerium des Innern (BMI) kann durch Rechtsverordnung im Einvernehmen mit den betroffenen Ressorts kritische Komponenten bestimmen.
• Darauf aufbauend kann das BMI durch § 41 BSIG-E im Benehmen mit den Ressorts den Einsatz konkreter kritischer Komponenten untersagen oder beschränken.

Mit der Öffnung des Geltungsbereiches aus § 41 BSIG-E können kritische Komponenten künftig in allen KRITIS-Sektoren wie in der Energiewirtschaft und anderen KRITIS-Sektoren bestimmt werden.

Neben den Änderungen im BSIG verankert inzwischen auch das novellierte EnWG eine Konkretisierung der Regulierung kritischer Komponenten. Nach §5c (6) EnWG-E legt die BNetzA mit dem BSI nach §29 (1) EnWG-E in einem Katalog für Energieversorgungsnetzen und Energieanlagen fest, welche Komponenten oder Funktionen nach §2 (23) BSIG-E kritisch sind.

Neuerungen für kritische Komponenten

In dem November-Gesetzesentwurf der NIS2-Umsetzung ergeben sich Änderungen für den Umgang mit kritischen Komponenten. Die bisherige Untersagungsbefugnis aus §9b BSIG wird in §41 BSIG-E in NIS2 überführt, Verschiebungen ergeben sich aus Definitionen und einem vereinfachten Ablauf.

• Entfernen der Garantieerklärung, vormals in §9b (3) BSIG, mit denen Hersteller eine Erklärung über seine Vertrauenswürdigkeit abgeben mussten.
• Wegfall der ex ante-Anzeigepflicht aus §9b Abs. 1 BSIG, nach der Betreiber den geplanten erstmaligen Einsatz kritischer Komponenten vorab beim BMI anzeigen mussten. Die bei einem Betreiber zum Einsatz kommenden Typen kritischer Komponenten werden künftig im Rahmen der Registrierung nach §33 BSIG gemeldet; Untersagungen erfolgen ex-post nach §41 BSIG-E
• Vereinfachte Begriffserklärung und Prüfmöglichkeit kritischer Komponenten: Nach §2 (23) BSIG-E sind kritische Komponenten IKT-Produkte, die in einer Rechtsverordnung nach §56 (7) BSIG-E bestimmt werden. Die Kriterien dafür bleiben nah an der Definition des alten BSIG in §2 (13)
• Umstellung der kritischen Komponenten von KRITIS-Sektorenen auf die kritische Dienstleistung.
• Anhaltspunkte für fehlende Vertrauenswürdigkeit, Verstöße gegen Garantie, falsche Angaben, mangelnde Unterstützung bei Tests, Umgang mit Schwachstellen, erhöhtes Gefährdungs­potenzial, versteckte technische Eigenschaften, sind in §2 (5) BSIG-E nahezu deckungsgleich mit BSIG (a.F.)
• Erweiterung der Drittstaatenregelung für kritische Komponenten in §41 (4) BSIG-E
• Eine Untersagung, die auf der (un-)mittelbaren Kontrolle des Herstellers durch einen Drittstaat sowie sicherheitsrelevanten Aktivitäten beruht, bleibt in §41 (2) BSIG-E inhaltlich unverändert.

Untersagungsbefugnisse

Im verabschiedeten Gesetzesentwurf des BSIG-E von November 2025 bleibt die Regelung zur Untersagung des Einsatzes kritischer Komponenten bei voraussichtlicher Beeinträchtigung der öffentlichen Ordnung oder Sicherheit fortbestehen. Das BMI darf Betreiber kritischer Anlagen den Einsatz kritischer Komponenten eines Herstellers untersagen. §41 (1) BSIG-E

Die bislang zentrale inhaltliche Prüfung der sicherheitspolitischen Relevanz bleibt bestehen und wird um ein Prüfungskriterium ergänzt. Nach § 41 (4) BSIG-E kann bei der Prüfung einer voraussichtlichen Beeinträchtigung der öffentlichen Ordnung oder Sicherheit insbesondere berücksichtigt werden, ob

1. der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird oder zur Zusammenarbeit mit staatlichen Stellen oder Streitkräften eines Drittstaates verpflichtet ist oder von dem Drittstaat hierzu verpflichtet werden kann,
2. der Hersteller an Aktivitäten beteiligt war oder ist, die geeignet waren oder sind, nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen zu haben,
3. (neu) hinreichende Anhaltspunkte dafür bestehen, dass der Hersteller aus sonstigen Gründen nicht vertrauenswürdig ist, oder
4. der Einsatz der kritischen Komponente im Einklang mit den sicherheitspolitischen Interessen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages steht.

In der Praxis knüpft diese Bewertung (Drittstaatenregelung) an Debatten um IKT-Anbieter aus Drittstaaten und deren Sicherheitsgesetze an, die Unternehmen zur Zusammenarbeit mit staatlichen Stellen verpflichten können. Während §9b (2) BSIG solche Kooperationspflichten nur mittelbar über das Kriterium der staatlichen Kontrolle erfasste, werden sie in § 41 (4) BSIG-E nun ausdrücklich genannt.

Anzeigepflicht

Mit der Novellierung entfällt die bisherige ex-ante-Anzeigepflicht für den erstmaligen Einsatz kritischer Komponenten nach §9b (1) BSIG inklusive der bisherigen Garantieerklärung. Statt einer vorgelagerten Einzelanzeige beim BMI melden Betreiber die Typen kritischer Komponenten nun im Rahmen der Registrierung nach §33 BSIG-E und über regelmäßige Aktualisierungen.

Für Betreiber bedeutet dies zwar eine Entlastung von formalen Anzeige- und Rückmeldeprozessen gegenüber dem BMI, andererseits entfällt ein frühzeitiger, formalisierter Austausch zwischen beiden.

In der Praxis müssen Betreiber eigenständig, in Zusammenarbeit mit Herstellern, prüfen, ob eingesetzte Komponenten unter die Definition kritischer Komponenten fallen und welche sicherheitspolitischen Risiken mit bestimmten Herstellern verbunden sind. Für den Einsatz verschiebt sich die Entscheidung von einer ex-ante-Anzeige hin zu einer ex-post-Kontrolle mit potenziell weitreichenden Folgen, sollte das BMI zu einer abweichenden Risikoeinschätzung gelangen als der Betreiber.

Garantieerklärung

Der November-Entwurf der NIS2-Umsetzung enthält in §41 BSIG-E keine Garantieerklärung mehr.

Die bisherige Prüfung der Vertrauenswürdigkeit von Herstellern und einzureichende Garantieerklärung aus früheren Fassungen besteht nicht mehr. Dies soll den Aufwand bei Betreiber und Herstellern reduzieren – die dadurch die Möglichkeit einer Prüfung vor Einsatz oder Vergabe verlieren.

Einsatz bei KRITIS-Betreibern

Situation bis 2025

Kritische Komponenten sind in der aktuellen KRITIS-Regulierung in §2 (13) BSIG definiert und müssen durch den Gesetzgeber explizit definiert und bestimmt werden — und gelten dann nur für ausgewählte Bereiche mit erhöhtem Schutzbedarf. Bis 2025 wurde dies nur für den KRITIS-Sektor Telekommunikation und in Umrissen für den Energiesektor vorgenommen.

• Kritische Komponenten sind IT-Produkte
• Einsatz in Kritischen Infrastrukturen, d.h. in KRITIS-Anlagen
• Störungen würden zum Ausfall oder erheblicher Beeinträchtigung der KRITIS-Anlage, oder
  zu Gefährdungen für die öffentliche Sicherheit führen
• Werden in einem Gesetz bestimmt, oder
  implementieren kritische Funktionen, die in einem Gesetz bestimmt werden

Meldung beim Innenministerium

KRITIS-Betreiber müssen den geplanten, erstmaligen Einsatz von kritischen Komponenten in ihren KRITIS-Anlagen beim Bundes­innenministerium anzeigen BSIG §9b (1). Bei nachfolgenden Einsätzen selbiger Komponenten für dieselben Zwecke ist keine erneute Meldung erforderlich. Im TK-Sektor müssen kritische Komponenten dazu noch zertifiziert werden.

Garantieerklärung

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers nach §9b (3) eingesetzt werden. Die Garantieerklärung muss die Anforderungen des Innenministeriums erfüllen und ist dem Innenministerium vor Einsatz vorzulegen.

Erlaubnis durch BMI

Das Innenministerium darf KRITIS-Betreibern den Einsatz kritischer Komponenten bei einer vorraussichtlichen Beeinträchtigung der öffentlichen Ordnung und Sicherheit nach §9b (2) BSIG untersagen. Dies kann der Fall sein, wenn der Hersteller von kritischen Komponenten

• von der Regierung, staatlichen Stellen oder Streitkräften eines Drittstaats kontrolliert wird oder
• an nachteiligen Aktivitäten gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, oder
• der Einsatz der kritischen Komponenten nicht mit den sicherheits­politischen Zielen Deutschlands, der EU oder NATO im Einklang ist.

Nach §9b (4) BSIG darf das BMI den Einsatz ebenfalls untersagen, wenn der Hersteller nicht vertrauenswürdig ist. Die (mangelnde) Vertrauenswürdigkeit ergibt sich dabei aus der Garantieerklärung des Herstellers, Sicherheitstests, Schwachstellen, Manipulationen, Mängeln und technischen Schwachstellen in den betreffenden Produkten.

Telekommunikation

Der Sektor Telekommunikation ist seit 2021 der erste Sektor mit formell definierten kritischen Komponenten. Im Rahmen vom IT-Sicherheitsgesetz 2.0 wurden im Nachgang das TKG und der Sicherheitskatalog der BNetzA angepasst und um kritischen Funktionen erweitert (5G-Netze).

Energiesektor

Mit dem IT-Sicherheitsgesetz 2.0 wurde in §11 (1g) EnWG die Pflicht verankert, dass die BNetzA im Einvernehmen mit dem BSI bis 2023 einen Sicherheitskatalog für den Betrieb von Energieversorgungsnetzen und Energieanlagen festlegt, der kritische Komponenten und Funktionen im Sinne §2 (13) BSIG bestimmt. §11 Abs. 1g EnWG war als sektorspezifische Ausgestaltung des §9b BSIG zu verstehen.

Dieser gesonderte Sicherheitskatalog wurde bis 2025 nicht veröffentlicht.

Telekommunikation

Seit 2021 gibt es im Sektor Telekommunikation formell definierte kritische Komponenten (5G-Netze), definiert durch das TKG und die BNetzA im IT-Sicherheitskatalog.

eigene Zusammenstellung, Stand Mai 2025

KRITIS-Sektor	Kritische Komponenten oder Funktionen
Telekommunikation (IKT) durch §167 (1) Nr. 2 TKG	Öffentliche 5G-Mobilfunknetze, davon: Core network functions NFV management and network orchestration (MANO) Management systems and supporting services Radio Access Network (RAN) Transport and transmission Internetwork exchanges

Energie

Im Energiesektor sind seit Anfang 2025 als Entwurf erstmals kritische Funktionen, die durch kritische Komponenten bereitgestellt werden, definiert (vgl. untenstehende Übersicht).

Die Festlegung kritischer Funktionen für den Betrieb von Energieversorgungsnetzen und Energieanlagen erfolgte im Rahmen der Überarbeitung der IT-Sicherheitskataloge durch die BNetzA im Juni 2025.

Mit dieser Festlegung kommt die BNetzA der Vorgabe des § 11 Abs. 1g S. 1 Nr. 2 EnWG nach und bestimmt eine zweistufige Einführung:

• Zunächst, mit Wirkung zum 25. Dezember 2025, gilt sie für Übertragungsnetzbetreiber hinsichtlich der Funktionen der Netz- und Systemsteuerung (Steuerung, Leittechnik und Netzschutz) von Hochspannungs-Gleichstrom-Übertragungs-(HGÜ)-Verbindungen sowie für Betreiber von Offshore-Windenergieanlagen.
• Ab dem Zeitpunkt des Wegfalls der Anzeigepflicht nach § 9b (1) BSIG gelten die im Katalog genannten Funktionen auch für Betreiber von Energieversorgungsnetzen und Energieanlagen.

eigene Zusammenstellung, Stand August 2025

KRITIS-Sektor	Kritische Komponenten oder Funktionen
Energiesektor durch §5c (12) EnWG-E	Steuerung, Leittechnik, Netzschutz Netz- und Anlagensteuerung (zentrale und dezentrale Prozess- und Netzleittechnik) Netz- und Systemsteuerung Offshore/HVDC Netzzustandserfassung und Störungsmeldungsverarbeitung Dynamische Grenzwertberechnung Netz schützen
	Netzführung, Schaltleitung EnWG-Kaskade Netzwiederaufbau
	Stationsbetrieb Infrastrukturbetrieb OT-Betrieb/dezentrale Leittechnik
	Systembilanz, Frequenzhaltung Leistungsfrequenzregelung Minutenreserve einsetzen Kapazitätsreserve
	Operatives Engpassmanagement Redispatchmaßnahmen
	IKT-Betrieb, Sachdatenverwaltung Betrieb des Nachrichtennetzes/TK-Betrieb Leitstellen-Telefonie Fernwartungszugänge

Mit der Umsetzung von NIS2-Umsetzung wird das EnWG um §5 c-e EnWG-E ergänzt und damit ein eigener, sektorspezifischer IT-Sicherheitsrahmen für Energieversorgungsnetze, Energieanlagen und digitale Energiedienste geschaffen.

Nach §5c (6) muss die Bundesnetzagentur im Einvernehmen mit dem BSI in einem Katalog für den Betrieb von Energieversorgungsnetzen und Energieanlagen festlegen, welche Komponenten bzw. Funktionen als kritische Komponenten bzw. kritisch bestimmte Funktionen“im Sinne der Begriffsbestimmungen gelten.

Betreiber, die zugleich eine kritische Anlage (KRITIS) nach BSIG-E betreiben, müssen die Vorgaben dieses Katalogs spätestens sechs Monate nach dessen Inkrafttreten erfüllen (vermutlich Mitte 2026).

Literatur

1. Fragen und Antworten zum Einsatz kritischer Komponenten, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.
2. Liste der kritischen Funktionen nach §109 Abs. 6 TKG für öffentliche Telekommunikations­netze und -dienste mit erhöhtem Gefährdungs­potenzial, Bundesnetzagentur (BNetzA), 18.08.2021
3. Festlegung des Kataloges von Sicherheits­anforderungen, BNetzA Pressemitteilung, 25.08.2021

Quellen

1. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
3. Festlegung kritischer Funktionen, BNetzA, vom 25. Juni 2025