Kritische Infrastrukturen
Die Regulierung Kritischer Infrastrukturen verpflichten Betreiber und Einrichtungen in Deutschland zu Cybersecurity, Resilienz und Pflichten. Damit soll die Versorgung der deutschen Gesellschaft und Wirtschaft durch kritische Dienstleistungen in NIS2 und KRITIS-Sektoren geschützt werden. Die Regulierung ändert sich ab 2025 in Deutschland und EU-weit deutlich mit NIS2 und RCE.
Das KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz setzen ab Ende 2025 EU-Regulierung in nationales Recht um. Die Anzahl betroffener Unternehmen steigt in Deutschland deutlich von 2.000 auf über 30.000. Für Finanzunternehmen gilt DORA als sektorspezifische Umsetzung von NIS2. Die Umsetzung von NIS2 war 2024 geplant, verspätet sich in Deutschland bis Ende 2025.
Ein Austausch über NIS2 und KRITIS für regulierte Unternehmen.
Betreiberforum ∙ Workshops verschiedene Themen ∙ 2026 in Köln
Wer ist betroffen?
NIS2 und KRITIS
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz ändern sich Sektoren und Betreiber ab 2025, es kommen Tausende mittlere und Großunternehmen als Einrichtungen dazu.
- Energie
- Wasser
- Gesundheit
- Transport und Verkehr
- Digitale Infrastruktur
- Finanzwesen
- Sozialversicherung
- Weltraum
- Staat
- Ernährung
- Entsorgung
- Post und Kurier
- Chemie
- Verarbeitendes Gewerbe
- Digitale Dienste
- Forschung
- kritische Anlage - besonders wichtig - wichtig
Mit NIS2 gibt es in Deutschland mehrere Gruppen betroffener Unternehmen, die Pflichten wie Registrierung, Cybersecurity, Resilienz, Vorfallsmeldungen und Nachweise umsetzen müssen.
- Besonders wichtige Einrichtungen nach Größe des Unternehmens in NIS2-Sektoren
- Wichtige Einrichtungen nach Größe des Unternehmens in NIS2-Sektoren
- Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung und KRITIS-Dachgesetz fest
- Neben Einrichtungen werden auch Bundeseinrichtungen mit einigen Pflichten reguliert.
Verschiedene Sektoren fallen unter weitere, sektor-spezifische Regulierung:
- Banken und Versicherungen: Finanzunternehmen fallen unter die DORA-Regulierung
- Energie: Betreiber von Energieanlagen und Netzen fallen auch unter das EnWG
- Telekommunikation: Anbieter von TK-Netzen und Diensten fallen auch unter das TKG
KRITIS bis 2025
Die bis 2025 gültige KRITIS-Regulierung definiert acht KRITIS-Sektoren in der Wirtschaft, in denen KRITIS-Betreiber kritische Dienstleistungen zur Versorgung der Allgemeinheit erbringen:
- Energie
- Wasser
- Ernährung
- Gesundheit
- Transport und Verkehr
- Entsorgung
- IT und TK
- Finanzen und Versicherungen
Die kritischen Dienstleistungen werden bei Betreibern in KRITIS-Anlagen erbracht, definiert in der KRITIS-Verordnung. Die Anlagen dienen Betreibern zur eigenen Identifikation der eigenen KRITIS-Betroffenheit und der Festlegung des Geltungsbereichs im Unternehmen.
Überschreitet ein Betreiber mit seinen KRITIS-Anlagen definierte Schwellenwerte der KRITIS-Verordnung, werden diese zur Kritischen Infrastruktur und er selbst zum KRITIS-Betreiber.
Regulierung
Deutschland
Gesetze und Verordnungen
Die Regulierung kritischer Infrastrukturen in Deutschland beruht seit 2015 auf BSI-Gesetz (BSIG) und der KRITIS-Verordnung (KritisV), die den grundlegenden Rahmen Kritischer Infrastrukturen stellen. Ende 2025 trat in Deutschland NIS2 in Kraft und erweiterte die Regulierung deutlich. Zuvor änderte das IT-Sicherheitsgesetz 2.0 ebenfalls nach langem Vorlauf die Regulierung in Deutschland in 2021.
| NIS2-Umsetzung | KRITIS-Dachgesetz | |
|---|---|---|
| Fokus | Cybersecurity | Resilienz |
| Name | NIS2-Umsetzung | KRITIS-DachG |
| Hauptgesetz | ändert BSIG | eigenes Gesetz |
| - ändert noch | EnWG, TKG, usw. | EnWG |
| Unternehmen | Betreiber kritischer Anlagen Einrichtungen Bundesverwaltung |
Betreiber kritischer Anlagen Bundesverwaltung |
| Referentenentwürfe | viele | zwei |
| Tritt in Kraft | Dezember 2025 | 2026 |
| Behörde | BSI | BBK |
| Basiert auf | EU NIS2 | EU RCE |
Behörden
Die wichtigste Behörden für Kritische Infrastrukturen ist in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Aufsichtsbehörde und das Bundesinnenministerium (BMI) als federführendes Ressort. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) erhält ebenfalls Zuständigkeiten für Betreiber.
Der Staat verfügt über verschiedene Sanktionsmöglichkeiten gegenüber Einrichtungen und KRITIS-Betreibern, die mit NIS2 weiter anwachsen.
Der europäische Rahmen
Die deutsche KRITIS-Regulierung ist durch die EU NIS-Direktive in einen europäischen Kontext gebettet. Die Directive on Security of Network and Information Systems von 2016 war das erste EU-weite Gesetz über Cyber Security. Die überarbeitete EU NIS2 Direktive erweitert die Sektoren in der EU deutlich, ebenso Cyber Security Pflichten und EU-Aufsicht.
Neben NIS spielt die EU RCE Direktive eine wichtige Rolle für Kritische Infrastrukturen in der EU. Die Directive on the resilience of critical entities reguliert speziell Anforderungen an die Betreiber Kritischer Infrastrukturen in der EU.
EU NIS2 und RCE wurden Ende 2022 vom europäischen Parlament und Rat angenommen und müssen bis Oktober 2024 in nationales Recht überführt werden. RCE wird 2026 mit dem KRITIS-Dachgesetz umgesetzt, für EU NIS2 ist seit 2025 ein Umsetzungsgesetz in Kraft.
DORA gilt im Gegenzug zu NIS2 und RCE als EU-Verordnung direkt in allen Mitgliedsstaaten und reguliert primär Finanzunternehmen mit umfangreicher digitaler operationaler Resilienz.