KRITIS-Dachgesetz Mapping

Mapping picture

Das KRITIS-Dachgesetz nach der EU CER fordert Resilienzmaßnahmen von betroffenen Betreibern kritischer Anlagen. Die Anforderungen aus den Paragraphen des KRITIS-DachG beschreiben Maßnahmen nach Stand der Technik und eine Steuerung durch BCM (Resilienzmanagement), Risikomanagement und Krisenmanagement.

Die Paragraphen und Anforderungen des KRITIS-Dachgesetzes (DG.) ordnet das OpenKRITIS Mapping Security-Standards als Orientierung zu:

Alle Angaben ohne Gewähr der Vollständigkeit und Korrektheit. Wird regelmäßig aktualisiert.

KRITIS-Dachgesetz und Standards

Dieses Mapping und die Zuordnungen sind nicht vollständig und nur eine Orientierung.

Eigene Zusammenstellung ∙ Entwurf 20260504 ∙ Ohne Gewähr der Vollständigkeit und Korrektheit
Nr. KRITIS
DachG		 Anforderung ISO 27001
2022		 ISO 22301
2019		 NIS2
DVEU		 NIS2
BSIG
DG.1 §8 (1) Registrierung als Betreiber kritischer Anlagen A.5.5
A.5.31		 4.2.2 - NS.33
DG.2 §8 (6) Aktualisierung der Registrierungsdaten A.5.5 4.2.2 - NS.33
DG.3 §12 (1) Risikoanalyse und Risikobewertung Betreiber 4.3
6.1
8.2
8.3
A.5.4
A.5.29
A.5.30		 4
6.1
8.2.3		 2.1.2 NS.1
NS.3
DG.4 §13 (1) Maßnahmen zur Gewährleistung Resilienz - 4.4 (4) (NS.7)
DG.5 §13 (2) Verhältnismässigkeit und Stand der Technik 6.1
8.2
8.3
A.5.29
A.5.30		 6.1
6.2
8.2		 - NS.1
NS.3
DG.6 §13 (3) 1 Notfallvorsorge (A.5.30) 6 4 (NS.7)
(NS.9)
DG.7 §13 (3) 2 a) Objektschutz, Sicherung, Grenzen, Fassaden A.7.1
A.7.2
A.7.3
A.7.5
A.7.6
A.7.7
A.7.8
A.7.12		 - 13.2
13.3		 NS.25
DG.8 §13 (3) 2 b) Überwachung der Umgebung A.7.4 - 13.2.2 NS.25
DG.9 §13 (3) 2 c) Detektionsgeräte (A.7.4) - 13.3.2 NS.25
DG.10 §13 (3) 2 d) Zugangskontrollen A.7.1
A.7.2		 - 13.3 NS.25
DG.11 §13 (3) 3 a) Risiko- und Krisenmanagement 4.1-10.2
-		 6.1
8
-		 3
4.3		 NS.4
NS.10
DG.12 §13 (3) 3 b) Abläufe im Alarmfall (Vorfallsmanagement) (A.5.30)
(A.5.26)		 8.4.2
8.4.3		 3
4		 NS.6
DG.13 §13 (3) 4 a) Aufrechterhaltung des Betriebs (A.5.30)
A.8.14		 8.2
8.3
8.4.4		 4.1
4.2.4		 NS.7
DG.14 §13 (3) 4 b) Alternative Lieferketten - 8.3.4
(8.3.2)		 (5.1.2)
(5.1.3)		 (NS.11)
DG.15 §13 (3) 5 Sicherheitsmanagement Personal und Externe7.2
7.3
A.5.8
A.5.14
A.5.20
A.6.1
A.6.2
A.6.3
A.6.4
A.6.5
A.6.6		 - 10 NS.22
DG.16 §13 (3) 6 Schulungen, Übungen und Awareness 7.2
7.3
9
A.6.3
A.6.5
A.7.7		 7.2
7.3
7.4		 8.1
8.2		 NS.19
NS.20
DG.18 §13 (4) Resilienzplanz Betreiber tw
6.1.3
7.5
8.3
A.5.31		 7.5
4
8		 - (≈NS.2)
DG.19 §16 (1)(3) (Übersendung der) Nachweise durch Audits 9.2
10.1
A.5.35
A.5.36
A.5.37
A.8.34		 4.2.2
7.5		 2.3.1 NS.39
DG.20 §16 (2) Weitere Nachweise, Resilienzplan an Behörde (Kontrolle) A.5.5
A.5.31
A.5.28
A.5.37		 4.2.2
7.5		 (2.3.3) NS.40
DG.21 §16 (4) Audits durch Behörde A.5.5
A.5.31		 (4.2.2) NS.42
DG.22 §16 (5) Vorlage Mängelbeseitigungsplan an Behörde A.5.5
A.5.31		 (4.2.2)
10.1		 (2.3.3) NS.40
DG.23 §18 (1) Meldepflicht Vorfälle 24h A.5.24
A.5.31		 -
(4.2)		 3.3.1
3.5.3		 ≈NS.31
DG.24 §18 (2) Informationen zu Meldungen A.5.24
A.5.31		 4.2 3.5.3 ≈NS.31
DG.25 §18 (9) Information Öffentlichkeit A.5.31 -
(4.2)		 3.5.3 ≈NS.36
DG.26 §20 (1) Verantwortung Geschäftsleitungen 5.1
A.5.31		 5 2.1.2
2.2		 ≈NS.37

up

Weitere Informationen

Literatur

  1. NIS2-Mapping auf ISO 27001, OpenKRITIS 2026
  2. NIS2 Implementing Act-Mapping auf ISO 27001, NIS2, KRITIS, OpenKRITIS 2026
  3. KRITIS-Branchen­standards auf OpenKRITIS
  4. KRITIS-Standards für Management-Systeme auf OpenKRITIS

Quellen

  1. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2)
  2. Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen, KRITIS-Dachgesetz vom 11. März 2026 (BGBl. 2026 I Nr. 66)
  3. ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements
  4. ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements