Kritische Infrastrukturen – kurz KRITIS – sind das Rückgrat unserer Gesellschaft. Sie gewährleisten, dass Strom fließt, Wasser aus der Leitung kommt, Gesundheitsversorgung funktioniert und Kommunikationsnetze stabil bleiben. Ob Stromnetzbetreiber, Krankenhaus oder IT-Dienstleister im öffentlichen Sektor: Wer zur KRITIS zählt, trägt eine besondere Verantwortung für die Aufrechterhaltung elementarer gesellschaftlicher Funktionen.
Um diese Infrastrukturen vor physischen und digitalen Gefahren zu schützen, hat der Gesetzgeber die KRITIS-Verordnung (BSI-KritisV) geschaffen. Sie definiert, welche Unternehmen und Einrichtungen als KRITIS gelten und welche Pflichten sie erfüllen müssen – insbesondere im Bereich der IT-Sicherheit.
Dabei geht es nicht nur um technische Maßnahmen, sondern auch um organisatorische und strategische Vorgaben, die in enger Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umgesetzt werden müssen.
Mit zunehmender Digitalisierung und hybriden Bedrohungsszenarien wird der Schutz kritischer Infrastrukturen zur Chefsache. Gleichzeitig stehen viele Verantwortliche vor der Frage: "Bin ich betroffen? Und wenn ja – was genau muss ich tun?"
In diesem Artikel geben wir einen strukturierten Überblick über die aktuelle Gesetzeslage, die konkreten Anforderungen an KRITIS-Betreiber und den Ausblick auf kommende Entwicklungen wie das KRITIS-Dachgesetz und NIS2 (Richtlinie für Netzwerk- und Informationssysteme). Ziel ist es, Verantwortlichen aus Technik, IT-Sicherheit und Geschäftsführung eine klare Orientierung zu bieten.
Die KRITIS-Verordnung (offiziell: BSI-Kritisverordnung, kurz BSI-KritisV) regelt, welche Organisationen und Anlagen in Deutschland als kritisch im Sinne der öffentlichen Versorgung gelten. Sie basiert auf dem IT-Sicherheitsgesetz (IT-SiG) und wurde mehrfach aktualisiert, zuletzt auch im Zuge der neuen Anforderungen durch NIS2.
Ziel ist es, den Ausfall kritischer Dienste zu verhindern oder dessen Auswirkungen zu minimieren. Betreiber in Sektoren wie Energie, Wasser, Ernährung, Transport, Gesundheit, IT und Telekommunikation unterliegen dieser Verordnung, sobald bestimmte Schwellenwerte überschritten werden, sie also für die Versorgung eine gewisse Relevanz haben. Diese Schwellenwerte definieren sich meist über Versorgungskapazitäten oder Nutzerzahlen.
Die KRITIS-Verordnung verpflichtet Betreiber zur Umsetzung von IT-Sicherheitsmaßnahmen gemäß dem Stand der Technik und zur regelmäßigen Nachweisprüfung durch das BSI.
Ob ein Unternehmen unter die KRITIS-Verordnung fällt, hängt von dessen Versorgungsrelevanz ab. Die Verordnung definiert für jeden Sektor spezifische Schwellenwerte. Beispiele dafür aus wichtigen Sektoren:
Erfüllt eine Organisation diese Kriterien, muss sie sich beim BSI registrieren und alle geforderten Sicherheitsmaßnahmen nachweisen.
KRITIS-Anlagen sind physische oder digitale Systeme, die eine zentrale Rolle für die öffentliche Versorgung spielen. Dazu gehören z. B.:
KRITIS-Einrichtungen umfassen alle Organisationen, die solche Anlagen betreiben oder steuern. Das kann auch Dienstleister oder Zulieferer betreffen, wenn sie für den KRITIS-Betrieb relevant sind.
Sobald eine Organisation unter die KRITIS-Verordnung fällt, gelten umfassende gesetzliche Pflichten zur Sicherstellung der IT-Sicherheit. Die rechtliche Grundlage bildet das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), insbesondere §8a. Dieser Paragraph verpflichtet Betreiber kritischer Infrastrukturen dazu, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme zu treffen – stets „nach dem Stand der Technik“.
Die zentralen Verpflichtungen für KRITIS-Betreiber im Überblick
Meldepflicht beim BSI
Betreiber müssen sich registrieren und erhebliche IT-Störungen oder Sicherheitsvorfälle unverzüglich melden.
Einführung eines Informationssicherheits-Managementsystems
Aufbau eines Informationssicherheits-Managementsystems (ISMS), z. B. nach ISO/IEC 27001, das alle kritischen Prozesse und Assets umfasst.
Branchenspezifische Sicherheitsstandards (B3S)
Umsetzung der vom BSI anerkannten branchenspezifischen Sicherheitsvorgaben – diese dienen als anerkannter Maßstab für angemessene Sicherheitsmaßnahmen.
Technische und organisatorische Maßnahmen (TOM)
Umsetzung von Schutzmaßnahmen zur Sicherstellung von Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der eingesetzten IT-Systeme.
Nachweisprüfung gemäß §8a BSIG
Alle zwei Jahre ist ein Nachweis über die Umsetzung der Sicherheitsmaßnahmen vorzulegen – dieser erfolgt durch eine qualifizierte Prüfstelle (z. B. TÜV, DEKRA) und wird dem BSI übermittelt.
Zertifizierung und Auditierung
Als anerkannte Nachweise gelten Zertifizierungen wie ISO/IEC 27001, TISAX oder BSI C5 – sofern sie auf die spezifische KRITIS-Umgebung angewendet wurden. Wichtig: Eine Zertifizierung allein reicht nicht aus. Entscheidend ist, dass sie die tatsächliche Wirksamkeit der Maßnahmen im Betrieb belegt.
Risikomanagement und Notfallplanung
Betreiber müssen Risiken systematisch identifizieren, bewerten und adressieren – inklusive Notfallplänen, Wiederherstellungsstrategien und regelmäßiger Tests.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fungiert als zentrale Aufsichts- und Koordinierungsstelle für KRITIS-Betreiber. Es definiert Mindeststandards, bewertet branchenspezifische Sicherheitsvorgaben (B3S), prüft eingereichte Nachweise und unterstützt Organisationen durch:
Das BSI spielt zudem eine aktive Rolle in der Weiterentwicklung der regulatorischen Rahmenbedingungen – etwa im Kontext der neuen NIS2-Richtlinie und des geplanten KRITIS-Dachgesetzes.
Welche konkreten Maßnahmen KRITIS-Betreiber umsetzen müssen, hängt stark von Branche, Größe und Kritikalität der jeweiligen Einrichtung ab. Dennoch gibt es übergreifende Sicherheitsstandards und Mindestanforderungen, die für alle Sektoren gelten. Diese orientieren sich am Prinzip der Verhältnismäßigkeit und am aktuellen Stand der Technik, wie er in §8a des BSI-Gesetzes (BSIG) gefordert wird.
Verlässliche Informationen und praxisnahe Leitlinien bietet u. a. das BSI selbst; Details finden sich etwa hier:
Zusätzlich bieten etablierte Prüfstellen wie der TÜV SÜD praxisnahe Orientierung zur Auditierung und Zertifizierung.
Anforderungen an die IT-Infrastruktur
Anforderungen an Backup und Cloud
Anforderungen an Rechenzentren und Serverräume
Anforderungen an Dienstleister und Lieferanten
Anforderungen an Software, Firewalls und Security
Anforderungen an Krankenhäuser, Energie & Hochwasserschutz
Anforderungen an den Nachweis und die Prüfung
Mit der anstehenden Umsetzung der EU-Richtlinie NIS2 und dem geplanten KRITIS-Dachgesetz steht Deutschland vor einer umfassenden Ausweitung der Pflichten rund um die Sicherheit kritischer und „wichtiger“ Infrastrukturen. Während NIS2 die digitale Resilienz in den Mittelpunkt stellt, ergänzt das KRITIS-Dachgesetz physische Schutzmaßnahmen für relevante Einrichtungen.
Aktueller Stand (Frühjahr 2025)
Das KRITIS-Dachgesetz wurde noch nicht verabschiedet. Die Bundesregierung arbeitet weiterhin an der nationalen Umsetzung der NIS2-Richtlinie sowie an der Ausgestaltung des Dachgesetzes. Ein genaues Inkrafttreten ist noch nicht bekannt – Experten rechnen mit einer Verabschiedung frühestens Ende 2025.
Zeitplan: NIS2-Umsetzung und KRITIS-Dachgesetz (voraussichtlich)
Aktuell gibt es noch keinen konkreten Zeitplan, wann mit der Umsetzung der NIS2-Richtlinie auf nationaler Ebene gerechnet werden kann. Sobald dies der Fall ist, werden neue gesetzliche Pflichten für „wesentliche“ und „wichtige“ Einrichtungen in Kraft treten – darunter auch viele Organisationen, die bisher nicht als KRITIS eingestuft waren.
Analog dazu gibt es auch noch keinen konkreten Termin für die Verabschiedung des KRITIS-Dachgesetzes – optimistisch wird dies im Laufe des Jahres 2025 noch zu erwarten sein. Es ergänzt die NIS2-Vorgaben um Anforderungen an die physische Sicherheit – etwa hinsichtlich Zugangsschutz, Redundanz kritischer Systeme oder baulicher Absicherung.
Sobald die jeweiligen Gesetze in Kraft treten, ist damit zu rechnen, dass in naher Zukunft, etwa ab 2026, die ersten Prüf- und Berichtspflichten greifen – insbesondere für Unternehmen, die neu unter den Geltungsbereich fallen.
Für diese neu verpflichteten Einrichtungen – beispielsweise mittelgroße Dienstleister, Labore, medizinische Versorgungszentren oder spezialisierte IT- und Cloud-Anbieter – ist eine Übergangszeit vorgesehen. In dieser Zeit müssen sie ihre internen Prozesse, Sicherheitsstrukturen und Nachweisfähigkeiten auf den geforderten Stand bringen.
Unternehmen, die voraussichtlich betroffen sein werden, sollten daher frühzeitig mit einer GAP-Analyse und der Einführung relevanter Maßnahmen beginnen, um rechtzeitig auditfähig zu sein und Haftungsrisiken zu vermeiden.
Wer ist betroffen?
Die neuen Regelungen beziehen sich nicht nur auf klassische KRITIS-Betreiber, sondern weiten den Kreis auf zusätzliche Akteure aus:
Ob Ihr Unternehmen voraussichtlich unter den Anwendungsbereich der NIS-2-Richtlinie der EU fallen wird, können Sie mit der NIS-2-Betroffenheitsprüfung unverbindlich und selbständig prüfen.
Was bedeutet die Übergangszeit konkret?
Für Unternehmen, die künftig unter die neuen Regelungen fallen, wird eine Übergangsfrist von 12 bis 18 Monaten gefordert, abhängig vom Sektor und nationaler Umsetzung. Spätestens in dieser Zeit ist es nötig, sich eilends um Vorbereitungen zu kümmern, um rechtzeitig auditfähig zu sein. Dazu gehören:
KRITIS-Betreiber stehen vor einer wachsenden Verantwortung, ihre IT-Systeme und physischen Anlagen resilient zu gestalten. Entscheidend ist ein strukturierter Ansatz:
Pointsharp unterstützt KRITIS-relevante Organisationen bei der sicheren Identitäts- und Zugriffsverwaltung, beim Schutz sensibler Daten sowie beim Aufbau konformer und widerstandsfähiger Infrastrukturen – für maximale Sicherheit in kritischen Umgebungen.
