Kritische Infrastrukturen
Die Regulierung Kritischer Infrastrukturen verpflichten Betreiber und Einrichtungen in Deutschland zu Cybersecurity, Resilienz und Pflichten. Damit soll die Versorgung der deutschen Gesellschaft und Wirtschaft durch kritische Dienstleistungen in NIS2 und KRITIS-Sektoren geschützt werden. Die Regulierung ändert sich ab 2025 in Deutschland und EU-weit deutlich mit NIS2 und CER.
Das KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz setzen EU-Regulierung in nationales Recht um. Eigentlich für 2024 geplant, wurde NIS2 erst 2025 umgesetzt, während das KRITIS-Dachgesetz im Frühling in 2026 in Kraft tritt. Die Anzahl betroffener Unternehmen steigt in Deutschland deutlich von 2.000 auf über 30.000 – einen großer Teil der Wirtschaft.
Schulungen zur Umsetzung von NIS2 und KRITIS in Unternehmen.
Summer School ∙ NIS2, KRITIS, ISMS, BCM ∙ 2026 im Rheinland
NIS2 verspätet sich – und nun?
Ausblick auf die neue NIS2 und KRITIS-Regulierung ab 2025
Deutsch ∙ PDF ∙ Februar 2025 ∙ OpenKRITIS-Briefing
Wer ist betroffen?
Sektoren
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz ändern sich Sektoren und Betreiber ab 2025, es kommen Tausende mittlere und Großunternehmen als Einrichtungen dazu.
- Energie
- Wasser
- Gesundheit
- Transport und Verkehr
- Digitale Infrastruktur
- Finanzwesen
- Sozialversicherung
- Weltraum
- Staat
- Ernährung
- Entsorgung
- Post und Kurier
- Chemie
- Verarbeitendes Gewerbe
- Digitale Dienste
- Forschung
- kritische Anlage - besonders wichtig - wichtig
Verschiedene Sektoren fallen unter weitere, sektor-spezifische Regulierung:
- Banken und Versicherungen: Finanzunternehmen fallen unter die DORA-Regulierung
- Energie: Betreiber von Energieanlagen und Netzen fallen auch unter das EnWG
- Telekommunikation: Anbieter von TK-Netzen und Diensten fallen auch unter das TKG
- Digitale Infrastruktur: Einige Internet- und Service-Provider fallen unter den EU Implementing Act
Unternehmen
Mit NIS2 gibt es in Deutschland mehrere Gruppen betroffener Unternehmen, die Pflichten wie Registrierung, Cybersecurity, Resilienz, Vorfallsmeldungen und Nachweise umsetzen müssen.
Die erste Gruppe umfasst die wichtigen und besonders wichtigen Einrichtungen (wE und bwE), die nach Unternehmensgröße identifiziert werden und mit NIS2 neu in die Regulierung kamen. Dazu gibt es eine Reihe an Sonderfällen, unabhängig der Größe, vor allem im IT und TK-Sektor.
Dazu kommt die Gruppe der Betreiber kritischer Anlagen, vormals KRITIS, die durch kritische Anlagen über Schwellenwerten (meist 500 Tsd. Personen) identifiziert werden. Zusätzlich ist die Bundesverwaltung auch in Teilen durch NIS2 reguliert.
| Einrichtung | Sektoren | Größe | Mitarbeiter | Umsatz und Bilanz |
|---|---|---|---|---|
| Besonders wichtig (bwE) | NIS2 1 | GGroßunternehmen GGroßunternehmen |
≥ 250 |
> 50 Mio + > 43 Mio EUR |
| Wichtig (wE) | NIS2 1 2 | M mittlere Unternehmen M mittlere Unternehmen |
≥ 50 | > 10 Mio + > 10 Mio EUR |
| Sonderfälle | NIS2 1 2 | U größenunabhängig U größenunabhängig |
bestimmte Ausnahmen bestimmte Ausnahmen |
|
| Betreiber kritischer Anlagen | KRITIS K | A Kritische Anlage (KRITIS) über Schwellenwert | ||
| Bundesverwaltung | Bund | Diverse Stellen des Bundes, Körperschaften | ||
Gesetze
Deutschland
Die Regulierung Kritischer Infrastrukturen in Deutschland besteht seit 2015 auf dem BSI-Gesetz (BSIG) und der KRITIS-Verordnung (KritisV), die den Rahmen Kritischer Infrastrukturen definieren. Ende 2025 trat in Deutschland NIS2 in Kraft und erweiterte die Regulierung deutlich.
NIS2
Das deutsche NIS2-Umsetzungsgesetz überführt die EU NIS2-Richtlinie in nationales Recht. Durch das angepasste BSIG von 2025 werde in Deutschland Einrichtungen und Betreiber kritischer Anlagen reguliert – in vielen alten und neuen Sektoren. Die Vorgaben sind umfangreich, von Registrierung und Meldepflichten bis zu Cybersecurity und Resilienz.
KRITIS
Die EU CER Richtlinie wird in Deutschland durch das KRITIS-Dachgesetz umgesetzt. Reguliert werden Betreiber kritischer Anlagen, vormals KRITIS-Betreiber, mit Vorgaben zu Resilienz, physischer Sicherheit und Prävention sowie Reaktion. Die Logik der Anlagen über KRITIS-Schwellenwerten bleibt erhalten. Das Dachgesetz wurde im März 2026 beschlossen.
EnWG
Am der deutschen Energieregulierung im EnWG gab es durch NIS2 und KRITIS umfangreiche Änderungen. Durch viele Ausnahmen im BSIG werden die meisten Energieunternehmen im EnWG und den IT-Sicherheitskatalogen der BNetzA reguliert
DORA
Für Finanzunternehmen gilt DORA als sektorspezifische Umsetzung von NIS2.
Verordnungen
Ein Kern der deutschen KRITIS-Regulierung sind die KRITIS-Verordnungen, welche Sektoren, kritische Anlagen und Schwellenwerte festlegen. Im Rahmen von NIS2 wurde die BSI-Kritisverordnung schon leicht angepasst, mit dem KRITIS-Dachgesetz muss es eine grundlegende Überarbeitung geben.
Europa
Die 2022 überarbeitete EU NIS2 Direktive erweitert die Sektoren und Regulierung Kritischer Infrastrukturen in der EU deutlich, ebenso Cybersecurity, Resilienz und EU-Aufsicht. Die Directive on Security of Network and Information Systems von 2016 war das erste EU-weite Gesetz über Cyber Security.
Neben NIS spielt die EU CER Direktive eine wichtige Rolle für Kritische Infrastrukturen in der EU. Die Directive on the resilience of critical entities reguliert speziell Anforderungen an die Betreiber Kritischer Infrastrukturen in der EU.
EU NIS2 und CER wurden Ende 2022 vom europäischen Parlament und Rat angenommen und müssen bis Oktober 2024 in nationales Recht überführt werden. RCE wird 2026 mit dem KRITIS-Dachgesetz umgesetzt, für EU NIS2 ist seit 2025 ein Umsetzungsgesetz in Kraft.
DORA gilt im Gegenzug zu NIS2 und CER als EU-Verordnung direkt in allen Mitgliedsstaaten und reguliert primär Finanzunternehmen mit umfangreicher digitaler operationaler Resilienz.
KRITIS bis 2025
Die bis 2025 gültige KRITIS-Regulierung des IT-Sicherheitsgesetz 2.0 aus 2021 definiert acht KRITIS-Sektoren in der Wirtschaft, in denen KRITIS-Betreiber kritische Dienstleistungen zur Versorgung der Allgemeinheit erbringen:
- Energie
- Wasser
- Ernährung
- Gesundheit
- Transport und Verkehr
- Entsorgung
- IT und TK
- Finanzen und Versicherungen
Die kritischen Dienstleistungen werden bei Betreibern in KRITIS-Anlagen erbracht, definiert in der KRITIS-Verordnung. Die Anlagen dienen Betreibern zur eigenen Identifikation der eigenen KRITIS-Betroffenheit und der Festlegung des Geltungsbereichs im Unternehmen.
Überschreitet ein Betreiber mit seinen KRITIS-Anlagen definierte Schwellenwerte der KRITIS-Verordnung, werden diese zur Kritischen Infrastruktur und er selbst zum KRITIS-Betreiber.
Aufsicht
Die wichtigste Behörde für Kritische Infrastrukturen in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Aufsichtsbehörde und das Bundesinnenministerium (BMI) als federführendes Ressort. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erhält ebenfalls Zuständigkeiten für Betreiber.
Der Staat verfügt über verschiedene Sanktionsmöglichkeiten gegenüber Einrichtungen und KRITIS-Betreibern, die mit NIS2 weiter anwachsen.