Kritische Sektoren

Die EU-Regulierung für Kritische Infrastrukturen erweitert deutsche KRITIS-Sektoren durch NIS2 und RCE. Mit der EU NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitern sich kritische Sektoren, Dienstleistungen und Betreiber ab 2025 deutlich. Neben den bisherigen KRITIS-Betreibern kommen mittlere und Großnternehmen als Einrichtungen in vielen Sektoren dazu.

Sektoren ab 2025
KRITIS bis 2024

Die KRITIS-Regulierung bis 2024 definiert in Deutschland acht KRITIS-Sektoren, in denen Betreiber die Allgemeinheit mit kritischen Dienstleistungen durch Kritische Infrastrukturen versorgen. Die einzelnen Sektoren sind im BSI-Gesetz, die Anlagen in der KRITIS-Verordnung definiert. Die bis 2025 verspätete NIS2-Umsetzung erweitert die Definition und Zahl der Sektoren.

Sektoren in Deutschland

Sektoren ab 2025

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz gibt es ab 2025 zwei Gruppen von Sektoren: Die besonders wichtigen und wichtigen Einrichtungen sind mittlere und große Unternehmen sowie die Betreiber kritischer Anlagen (KRITIS).

- kritische Anlage - besonders wichtig - wichtig

Einrichtungen

Die Sektoren für Einrichtungen sind in Anlage 1 und 2 des NIS2-Umsetzungsgesetzes definiert, die Zugehörigkeit als Einrichtung hängt an Unternehmensgröße, Teilsektor und Art.

Die Sektoren mit Betreibern kritischer Anlagen sind separat zu den Einrichtungen in der NIS2-Umsetzung und KRITIS-Dachgesetz definiert. Die kritischen Dienstleistungen und Anlagen müssen (teilweise) noch in einer Verordnung festgelegt werden.

eigene Zusammenstellung NIS2-Sektoren November 2024
BwE - besonders wichtige; WE - wichtige Einrichtung; KA - Kritische Anlage
G - Großunternehmen; M - mittlere Unternehmen; U - größenunabhängig; A - Anlagen
Sektor	BwE	WE	KA	NIS2-Bereiche	KRITIS-Dachgesetz
Energie	G	M	A	Stromversorgung Fernwärme/-kälte Kraftstoff/Heizöl Gas	Stromversorgung Erdgasversorgung Wasserstoffversorgung Mineralölversorgung
Transport/Verkehr	G	M	A	Luftverkehr Schienenverkehr Schifffahrt Straßenverkehr	Eisenbahnverkehr See- und Binnenschifffahrt Wasserstand/Gezeiten Straßenverkehr Wettervorhersage Luftverkehr
		GM		Post und Kurier	-
Finanzwesen	G	M	A	Banken Finanzmärkte	DORA-regulierte Dienstleistungen Sozialversicherung Grundsicherung
Gesundheit	G	M	A	Dienstleistungen Referenzlabore F&E Pharma Medizinprodukte	fehlt noch
Wasser	G	M	A	Trinkwasser Abwasser	fehlt noch
Digitale Infrastruktur	G U G G G U M G G	M M M M U U M M	A	IXPs DNS, TLD Cloud Provider RZ-Dienste CDNs (q) Trust Service TK-Anbieter Managed Services Security Services	Sprach- und Datenübertragung Datenspeicherung/verarbeitung öffentliche TK-Netze/Dienste
Digitale Dienste		GM		Marktplätze Suchmaschinen soziale Netzwerke	-
Staat	U		A	Bundesverwaltung	Bundeseinrichtungen
Weltraum	G	M	A	Bodeninfrastrukturen	Bodeninfrastrukturen
KRITIS-Sektoren	A	←	A	Kritische Anlagen	Kritische Anlagen
Lebensmittel		GM	A	Großhandel Produktion Verarbeitung	fehlt noch
Entsorgung		GM	A	Abfallbewirtschaftung	fehlt noch
Verarbeitendes Gewerbe		GM		Medizin/Diagnostika DV, Elektro, Optik Maschinenbau Kfz/Teile Fahrzeugbau NACE C 26-30	-
Chemie		GM		Herstellung Handel Produktion	-
Forschung		GM		Forschungseinrichtungen	-

KRITIS-Sektoren (bis 2024)

Unternehmen, die in KRITIS-Sektoren kritische Dienstleistungen auf definierten Anlagen erbringen und dabei Schwellenwerte überschreiten, werden zu KRITIS-Betreibern.

aus BSI-KritisV Stand 2023 und BSIG Stand 2021
KRITIS-Sektor	Kritische Dienstleistungen (kDL)
Energie	Stromversorgung: Erzeugung, Übertragung und Verteilung Gasversorgung: Förderung, Transport und Verteilung Kraftstoff- und Heizölversorgung: Förderung, Herstellung, Transport und Verteilung Fernwärmeversorgung: Erzeugung und Verteilung
Wasser	Abwasserbeseitigung: Siedlungsentwässerung, Abwasserbehandlung und Gewässereinleitung, Steuerung und Überwachung Trinkwasserversorgung: Gewinnung, Aufbereitung, Verteilung und Steuerung und Überwachung
Ernährung	Lebensmittelversorgung: Herstellung, Behandlung und Handel
Gesundheit	Stationäre medizinische Versorgung: Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung Versorgung mit lebenserhaltenden Medizinprodukten: Herstellung und Abgabe Versorgung mit Arzneien und Blut/Plasma: Herstellung, Vertrieb und Abgabe Laboratoriumsdiagnostik: Transport und Analytik
Transport und Verkehr	Personen-und Güterverkehr: Luftfahrt, Schienenverkehr, See- und Binnenschiffen, Straßenverkehr, ÖPNV und Logistik
Informationstechnik und Telekommunikation	Sprach- und Datenübertragung: Zugang, Übertragung, Vermittlung und Steuerung. Datenspeicherung und -verarbeitung: Housing, IT-Hosting und Vertrauensdienste.
Finanz- und Versicherungswesen	Bargeldversorgung: Abheben, Einbringen, Kundenkonten und Bargeldlogistik Kartengestützter Zahlungsverkehr: Autorisieren, Einbringen und Konten Konventioneller Zahlungsverkehr: Annahme, Einbringen und Konten Wertpapier- und Derivatgeschäfte: Verrechnung und Verbuchung Versicherungsdienstleistungen: Inanspruchnahme
Entsorgung	Entsorgung von Siedlungsabfällen: Abfallsammlung und -beförderung und Abfallverwertung und -beseitigung
Medien und Kultur	— Nicht im BSIG reguliert
Staat und Verwaltung	— Nicht im BSIG reguliert, ab 2024 teilweise in NIS2

Weitere Informationen

Quellen

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 17. Juli 2015 (IT-Sicherheitsgesetz), Bundesgesetzblatt Jahrgang 2015 Teil I Nr. 31, ausgegeben zu Bonn am 24. Juli 2015
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG), vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist
Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz - IT-SiG 2.0), Bundesministeriums des Innern, 2. Dezember 2020