KRITIS

KRITIS: Gilt das für Ihr Unternehmen – und was müssen Sie jetzt tun?

Unterstützung anfragen
Betroffenheit prüfen
Pflichten verstehen
Sicher umsetzen

Viele Unternehmen beschäftigen sich mit KRITIS erst dann, wenn ein Audit bevorsteht oder eine Behörde nachfragt. Das ist zu spät. Die Regulierung für kritische Infrastrukturen hat sich in den letzten Jahren grundlegend verändert – und der Kreis der Betroffenen ist deutlich größer geworden als bisher angenommen. Diese Seite hilft Ihnen, Ihre Situation einzuordnen. Sie erklärt, welche Kriterien entscheidend sind, welche Pflichten auf Sie zukommen – und wo der Unterschied zwischen KRITIS und NIS2 liegt. Die Einordnung hier ersetzt keine rechtliche oder fachliche Prüfung. Sie gibt Ihnen aber eine belastbare Grundlage, um die nächsten Schritte zu planen.

Was steckt hinter dem Begriff „Kritische Infrastrukturen"?

Einordnung

Kritische Infrastrukturen (KRITIS) sind Anlagen, Systeme und Einrichtungen, deren Ausfall oder Beeinträchtigung erhebliche Folgen für die öffentliche Versorgung hätte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert sie als Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen.

KRITIS ist kein Branchenlabel. Ob ein Unternehmen betroffen ist, hängt nicht allein davon ab, in welcher Branche es tätig ist. Entscheidend sind konkrete Anlagen, Dienstleistungen und Schwellenwerte.

KRITIS-Dachgesetz & CER-Richtlinie: Was sich konkret ändert

Rechtsgrundlage ist das KRITIS-Dachgesetz, dieses trat im März 2026 in Kraft und reguliert die Resilienz und die physische Sicherheit der Kritischen Infrastruktur in Deutschland. Zusammen mit der NIS2, die den Cybersecurity-Part abdeckt setzen die beiden Gesetze die EU CER Richtlinie (Critical Entities Resilience Directive) um. 

Die CER-Richtlinie der Europäischen Union verpflichtet die Mitgliedstaaten, kritische Einrichtungen widerstandsfähiger zu machen – nicht nur gegen Cyberangriffe, sondern gegen alle relevanten Risiken

Dadurch wird die bisherige KRITIS-Regulierung erweitert – unter anderem um neue Sektoren und Anlagenarten. Beide Regelwerke legen fest, wer als KRITIS-Betreiber gilt – und welche Pflichten daraus folgen.

Die wichtigsten Änderungen im Überblick:

Erweiterter Betreiberbegriff

Mehr Sektoren, mehr Einrichtungstypen fallen unter die Regulierung

Ausschlüsse

Manche Sektoren wurden aus dieser Regulierung ausgenommen, z.B. Finanzen und Versicherungen

Resilienz

Explizite Vorgaben für Risiko- und Krisenmanagement, Personal- und physische Sicherheit

Registrierungspflicht

Betroffene Einrichtungen müssen sich beim BSI registrieren

Behördenkoordination

BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) teilen sich die Zuständigkeiten

Die Übergangfristen laufen. Wer jetzt noch nicht geprüft hat, ob er betroffen ist, sollte das zeitnah nachholen.

Warum die neue KRITIS-Regulierung mehr Unternehmen erfasst als bisher

Lange galt KRITIS als Thema für Energieversorger, Wasserwerke und große Krankenhäuser. Diese Einschätzung ist überholt. Denn die Versorgungssicherheit der Bundesbevölkerung ist vielfältiger definiert. Das neue KRITIS-Dachgesetz erweitert den Anwendungsbereich erheblich. Die Konkretisierung der Anlagen und der Schwellenwerte erfolgt in der KRITIS-Rechtsverordnung (BSI-KritisV), die neue Version liegt seit Ende Mai 2026 als Entwurf vor.

In welchem Sektor sind Sie tätig? So ordnen Sie sich ein

Die KRITIS-Sektoren: Energie, Wasser, IT & TK, Gesundheitswesen, Transport und Verkehr, Ernährung, Finanzwesen, Sozialversicherung, Weltraum und Siedlungsabfallentsorgung

Die BSI-KritisV teilt kritische Infrastrukturen in zehn Sektoren ein. Innerhalb jedes Sektors gibt es definierte Branchen, Anlagentypen und Schwellenwerte. Erst wenn alle drei Kriterien zusammentreffen, gilt ein Unternehmen als KRITIS-Betreiber.

SektorTypische BranchenTypische Anlagen / EinrichtungenBeispiele
EnergieStrom, Gas, Fernwärme, Mineralöl, WasserstoffErzeugungsanlagen, Netze, Speicher, TankstellenStadtwerke, Übertragungsnetzbetreiber, Raffinerien
WasserTrinkwasser, AbwasserWasserwerke, Kläranlagen, PumpstationenKommunale Wasserversorger, Abwasserbetriebe
IT & TelekommunikationRechenzentren, Internetknoten, Sprach-/DatenübertragungServer-Infrastruktur, Netzknoten, DNSCarrier, Cloud-Anbieter, Betreiber digitaler Infrastruktur
GesundheitKrankenhäuser, Labore, Pharma, ForschungKrankenhäuser, Blutspendedienste, ArzneimittelversorgungUniversitätskliniken, Blutbanken, Großapotheken, Betriebs- und Lagerräume
Transport & VerkehrLuftfahrt, Schiene, Straße, Schifffahrt, Logistik, WettervorhersageFlughäfen, Bahnnetze, Häfen, LeitzentralenFlughafenbetreiber, DB Netz, Hafenbetreiber, Logistikzentren
ErnährungLebensmittelproduktion, -handelProduktionsanlagen, LogistikzentrenGroßmolkereien, Lebensmittelgroßhändler
Finanz- & VersicherungswesenZahlungsverkehr, Bargeldversorgung, WertpapierhandelZahlungssysteme, Handelsplattformen, ClearingstellenGeschäftsbanken, Zahlungsdienstleister, Börsen
SiedlungsabfallentsorgungAbfallentsorgung, Verwertung und BeseitigungMüllverbrennung, Recycling, FlottenmanagementMüllverbrennungsanlagen, Recyclinganlagen, Müllzerkleinerung
SozialversicherungSozialversicherung, Grundsicherung für ArbeitssuchendeVerwaltungssysteme der GKV und PV, ZahlungssystemeSozialversicherungen, Kranken- und Pflegeversicherungen
WeltraumBetrieb von BodeninfrastrukturKontrolle und Kommunikation von Start, Flug und Landung der “Weltraumgegenstände”PNT-Dienste, Erdbeobachtungsdienste, Transportkapazitätsdienste

Wenn Ihr Unternehmen in einem dieser Sektoren tätig ist, ist das ein erster Hinweis – aber noch keine Gewissheit. Entscheidend sind Anlagentyp und Schwellenwert.

Sie sind sich unsicher? Unterstützung anfragen.

Betreiber oder Dienstleister? Warum diese Unterscheidung entscheidend ist

Viele Unternehmen gehen davon aus, dass sie als Dienstleister nicht direkt betroffen sind. Das ist einer der häufigsten Irrtümer im KRITIS-Kontext. 

Die BSI-KritisV unterscheidet zwischen dem Betreiber einer kritischen Anlage und Unternehmen, die kritische Dienstleistungen für diesen Betreiber erbringen. Letztere können über NIS2 in die Pflicht genommen werden – auch wenn sie selbst keine KRITIS-Anlage betreiben.

 

Konkret:

Ein IT-Dienstleister, der die Netzleittechnik eines Energieversorgers betreut, ist kein KRITIS-Betreiber im klassischen Sinne. Er ist aber sehr wahrscheinlich als eine wichtige  oder eine besonders wichtige Einrichtung nach NIS2 einzustufen – mit eigenständigen Pflichten.

Beispiele

Wer in Ihrem Sektor typischerweise betroffen ist

Die Betroffenheit hängt nicht am Unternehmensname, sondern an der konkreten Tätigkeit. Einige Beispiele aus der Praxis:

Stadtwerke

Ein Stadtwerk, das mehr als 500.000 Personen mit Strom versorgt: KRITIS-Betreiber im Sektor Energie

Rechenzentren

Ein Rechenzentrum, das Hosting für mehrere Krankenhäuser betreibt: Potenziell KRITIS im Sektor IT & TK, zusätzlich NIS2-relevant

Logistikdienstleister

Ein mittelständischer Logistikdienstleister, der Arzneimittel für Apotheken und Kliniken transportiert: Prüfung auf NIS2-Relevanz empfohlen

IT-Systemhäuser

Ein IT-Systemhaus, das Fernwartung für Wasserwerke anbietet: Kein KRITIS-Betreiber, aber NIS2-relevant als wesentlicher Dienstleister

Falle ich unter KRITIS? Die entscheidenden Kriterien im Klartext

Schwellenwerte der KRITIS-Verordnung: Was konkret gemessen wird

Die BSI-KritisV legt für jeden Sektor und jede Branche konkrete Schwellenwerte fest. Erst wenn eine Anlage diesen Schwellenwert überschreitet, gilt ihr Betreiber als KRITIS-pflichtig. 

Die Schwellenwerte sind je nach Sektor unterschiedlich definiert:

Energie:Installierte Nennleistung (MW), Kapazität von Speicheranlagen, Anzahl versorgter Haushalte
Wasser:Menge des geförderten oder aufbereiteten Trinkwassers pro Tag (m³), Anzahl versorgter Personen
IT & TK:Anzahl der Nutzer eines Dienstes, Kapazität eines Rechenzentrums (Stellfläche, Anschlussleistung)
Gesundheit:Anzahl vollstationärer Fälle pro Jahr (Krankenhäuser), Menge verarbeiteter Blutspenden, Anzahl hergestellter oder in Verkehr gebrachter Mittel
Finanzwesen:Bilanzsumme, Transaktionsvolumen, Anzahl geführter Konten

Die genauen Schwellenwerte sind in der BSI-KritisV und den zugehörigen Anhängen festgelegt (Quelle: BSI-KritisV auf Gesetze-im-Internet). Sie werden regelmäßig aktualisiert – prüfen Sie daher immer die aktuelle Fassung.

Anlagentypen & Versorgungsrelevanz: Worauf es wirklich ankommt

KRITIS-Betroffenheit hängt nicht am Unternehmen als Ganzes, sondern an der einzelnen Anlage. Ein Unternehmen kann mehrere Standorte betreiben – und nur an einem davon die Schwellenwerte überschreiten.

Prüfen Sie für jede relevante Anlage: 

  1. Sektor & Branche: Fällt die Anlage unter einen der zehn KRITIS-Sektoren? 
  2. Anlagentyp: Entspricht die Anlage einem der in der BSI-KritisV definierten Anlagentypen? 
  3. Schwellenwert: Überschreitet die Anlage den festgelegten Schwellenwert (Kapazität, Durchsatz, Nutzerzahl)? 
  4. Versorgungsrelevanz: Würde ein Ausfall dieser Anlage die Versorgung einer erheblichen Anzahl von Personen beeinträchtigen?

Wenn Sie alle vier Fragen mit „Ja" beantworten können, ist eine KRITIS-Einstufung sehr wahrscheinlich.

Unsicher? Direkt Beratung anfragen.

Nahe am Schwellenwert? Warum Sie trotzdem handeln sollten

Unternehmen, die knapp unterhalb eines Schwellenwerts liegen, neigen dazu, das Thema zurückzustellen. Das ist riskant – aus zwei Gründen.

Erstens:

Schwellenwerte werden angepasst. Was heute noch außerhalb der KRITIS-Pflicht liegt, kann nach der nächsten Überarbeitung der BSI-KritisV darunterfallen.

Zweitens:

NIS2 greift unabhängig von KRITIS-Schwellenwerten. Viele Unternehmen, die knapp unter dem KRITIS-Schwellenwert liegen, fallen dennoch als wichtige oder besonders wichtige Einrichtung unter NIS2.

Drittens:

Bund und Länder können weitere Unternehmen als KRITIS-relevant einstufen, auch wenn diese die Schwellenwerte nicht erreichen.

Die Empfehlung lautet:

Wenn Sie nahe an einem Schwellenwert liegen, lassen Sie die Einstufung fachlich prüfen – bevor eine Behörde das tut.

Häufige Fehlannahme: „Wir sind nur Dienstleister" – und warum das trügt

Drei Irrtümer begegnen uns in der Praxis besonders häufig:

„Wir betreiben keine kritische Anlage selbst."

Stimmt möglicherweise – aber als Dienstleister für einen KRITIS-Betreiber können Sie unter NIS2 als wichtige oder besonders wichtige Einrichtung eingestuft werden. Die Pflichten sind dann vergleichbar.

„Wir sind zu klein für KRITIS."

Größe allein ist kein Schutz. KRITIS-Betroffenheit hängt an Anlagenkapazität und Versorgungsrelevanz – nicht an Mitarbeiterzahl oder Umsatz. Ein kleines Wasserwerk kann KRITIS-pflichtig sein, ein großer Konzern in einer anderen Branche nicht.

„NIS2 ersetzt KRITIS."

Nein. Beide Regelwerke existieren nebeneinander und folgen unterschiedlicher Logik. Wer KRITIS-relevant ist, kann gleichzeitig unter NIS2 fallen – mit zusätzlichen Pflichten.

KRITIS oder NIS2 – oder beides? So unterscheiden Sie die Regelwerke
KRITIS ≠ NIS2

Unterschiedliche Logik: Warum KRITIS & NIS2 nicht dasselbe sind

KRITIS und NIS2 verfolgen dasselbe Ziel – die Sicherheit kritischer Versorgungsstrukturen – aber über unterschiedliche Wege. 

KRITIS knüpft an konkrete Anlagen und Schwellenwerte an. Entscheidend ist, ob eine bestimmte Anlage einen definierten Kapazitätswert überschreitet. NIS2 hingegen knüpft an Einrichtungstyp und Unternehmensgröße an. Wer in einem der erfassten Sektoren tätig ist und bestimmte Größenkriterien erfüllt, fällt unter NIS2 als ganzes Unternehmen – unabhängig von einzelnen Anlagen.

KriteriumKRITISNIS2
RechtsgrundlageBSIG + BSI-KritisVNIS2-Richtlinie (EU) / NIS2UmsuCG (DE)
BetroffenheitslogikAnlage + SchwellenwertEinrichtungstyp + Unternehmensgröße
SchwellenwerteKapazität, Durchsatz, VersorgungsrelevanzMitarbeiterzahl, Umsatz/Bilanzsumme
Pflichten (Kern)ISMS, Risikoanalyse und Bewertung, Resilienzplan, Pflichten der GF, Audit §8a BSIG, Meldepflicht, RegistrierungRisikomanagement, Meldepflicht, Registrierungspflicht, Unterrichtungspflicht, Schulungspflicht für GF
Zuständige BehördeBSI (IT), BBK (physisch)BSI + sektorale Aufsichtsbehörden
SanktionenBußgelder bis 1 Mio. € je nach TatbestandBußgelder bis 10 Mio. € oder 2 % des Jahresumsatzes

Wer unter NIS2 fällt, wer unter KRITIS – & wo sich beides überschneidet

NIS2 unterscheidet zwischen besonders wichtigen Einrichtungen (höhere Anforderungen, proaktive Aufsicht) und wichtigen Einrichtungen (geringere Anforderungen, reaktive Aufsicht). 

Als besonders wichtige Einrichtung gilt, wer in einem der NIS2-Kernsektoren tätig ist und mehr als 250 Mitarbeitende oder mehr als 50 Mio. € Jahresumsatz und über 43 Mio. € Jahresbilanz hat. Als wichtige Einrichtung gilt, wer in einem der NIS2-Sektoren tätig ist und mehr als 50 Mitarbeitende oder mehr als 10 Mio. € Jahresumsatz und über 10 Mio. € Jahresbilanz hat. 

Überschneidungen entstehen dort, wo ein Unternehmen sowohl eine KRITIS-relevante Anlage betreibt als auch die NIS2-Größenkriterien erfüllt. In diesem Fall gelten beide Regelwerke – mit ihren jeweiligen Pflichten. Die KRITIS-Pflichten gehen in der Regel weiter und sind spezifischer.

CER-Richtlinie: Die europäische Dimension für KRITIS-Betreiber

Die EU-Richtlinie Critical Entities Resilience Directive (CER) ergänzt NIS2 um die physische Dimension. Während NIS2 auf Cybersicherheit fokussiert, adressiert die CER-Richtlinie die Widerstandsfähigkeit kritischer Einrichtungen gegen alle relevanten Risiken: Naturkatastrophen, Unfälle, Sabotage, Terrorismus

Deutschland setzt die CER-Richtlinie mit dem KRITIS-Dachgesetz um. Für betroffene Unternehmen bedeutet das: Neben IT-Sicherheitsmaßnahmen sind künftig auch physische Schutzkonzepte, Risikoanalysen und Notfallpläne nachzuweisen. Zuständig für die Umsetzung ist das BBK in enger Abstimmung mit dem BSI.

Betroffen? Beratung anfragen.

Was müssen KRITIS-Unternehmen konkret umsetzen?

Informationssicherheit nach §8a BSIG: ISMS, Audits & Nachweise

§8a des BSI-Gesetzes – in seiner aktuellen Fassung durch das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) verschärft – verpflichtet KRITIS-Betreiber, angemessene technische und organisatorische Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu treffen.

 

In der Praxis bedeutet das:

Informationssicherheitsmanagementsystem (ISMS):

Aufbau und Betrieb eines ISMS nach anerkanntem Standard (ISO/IEC 27001 oder BSI IT-Grundschutz)

Regelmäßige Audits:

Alle drei Jahre ist ein Nachweis gegenüber dem BSI zu erbringen – durch Audits, Prüfungen oder Zertifizierungen

Nachweis beim BSI:

Die Ergebnisse müssen dem BSI aktiv übermittelt werden. Das BSI kann bei Mängeln Maßnahmen anordnen

SIEM/SzA:

Etablierung von Systemen zur Angriffserklärung

Was Sie wann an wen melden müssen

KRITIS-Betreiber sind verpflichtet, erhebliche Störungen ihrer IT-Systeme unverzüglich an das BSI und BBK über eine zentrale Meldestelle zu melden. Als erheblich gilt eine Störung, die die Verfügbarkeit, Integrität oder Vertraulichkeit der Informationstechnik beeinträchtigt oder beeinträchtigen kann. 

Die Meldung erfolgt über das BSI-Meldeportal. Erhebliche Störungen müssen in der Regel innerhalb von 24 Stunden gemeldet werden – unabhängig davon, ob der Vorfall bereits vollständig analysiert ist. Fristen und Inhalte der Meldung sind im BSIG geregelt. Zusätzlich können sektorspezifische Meldepflichten gegenüber Fachaufsichtsbehörden bestehen – etwa gegenüber der Bundesnetzagentur im Energiebereich.

Fristen im Überblick: Was bis wann umgesetzt sein muss

PflichtFrist / TurnusZuständige BehördeHinweis
Registrierung beim BSI/BBKUnverzüglich nach Feststellung der BetroffenheitBSI/BBKKontaktstelle benennen, 24/7 erreichbar
ISMS aufbauenKeine starre Frist, aber Nachweis alle 3 JahreBSIISO 27001 oder BSI IT-Grundschutz empfohlen
Erster Nachweis nach §8a BSIGInnerhalb von 3 Jahren nach EinstufungBSIAudit, Prüfung oder Zertifizierung
Meldung erheblicher StörungenUnverzüglich (in der Regel innerhalb von 24 h)BSI/BBKÜber BSI-Meldeportal
Physische Risikoanalyse (KRITIS-Dachgesetz)Gemäß Umsetzungsfristen des KRITIS-DachgesetzesBBK / BSIFristen laufend – aktuellen Stand beim BSI prüfen
NIS2-Pflichten (sofern anwendbar)Seit Dezember 2025 in KraftBSI + sektorale BehördenParallele Pflichten prüfen

Hinweis: Fristen können sich durch Gesetzesänderungen verschieben. Prüfen Sie den aktuellen Stand auf bsi.bund.de und bbk.bund.de.

Von der Prüfung zum Nachweis: So gehen KRITIS-Betreiber strukturiert vor

  1. Schritt 1

    Betroffenheit feststellen & intern dokumentieren

    Bevor Sie Maßnahmen einleiten, brauchen Sie Klarheit über Ihre Einstufung. Das klingt selbstverständlich – in der Praxis fehlt diese Dokumentation jedoch häufig. 

    Prüfen Sie systematisch: Welche Anlagen betreiben Sie? In welchem Sektor? Welche Schwellenwerte gelten dort? Überschreiten Sie diese Werte? Halten Sie die Ergebnisse schriftlich fest – mit Datum und Datengrundlage. Diese Dokumentation ist Ausgangspunkt für alle weiteren Schritte und kann im Zweifelsfall gegenüber dem BSI vorgelegt werden.

  2. 2
    Schritt 2

    ISMS aufbauen oder auf KRITIS-Anforderungen anpassen

    Wenn Sie bereits ein ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz betreiben, ist das eine gute Basis. Prüfen Sie, ob Ihr bestehendes ISMS die spezifischen KRITIS-Anforderungen abdeckt – insbesondere in Bezug auf Verfügbarkeit und Notfallmanagement. 

    Wenn kein ISMS vorhanden ist, sollten Sie mit dem Aufbau beginnen, bevor der erste Audit-Termin ansteht. Ein ISMS ist kein Projekt mit Enddatum – es ist ein laufender Prozess. Je früher Sie starten, desto belastbarer ist Ihr Nachweis.

  3. 3
    Schritt 3

    Audit durchführen & Nachweis beim BSI einreichen

    Der Nachweis gegenüber dem BSI erfolgt alle drei Jahre. Zugelassen sind Audits durch qualifizierte externe Prüfer, Zertifizierungen (z. B. ISO 27001) oder Prüfungen nach BSI IT-Grundschutz. 

    Planen Sie ausreichend Vorlaufzeit ein. Ein KRITIS-Audit ist kein Standardaudit – Prüfer müssen die spezifischen Anforderungen der BSI-KritisV kennen. Wählen Sie Prüfdienstleister mit nachgewiesener KRITIS-Erfahrung.

Wo Unternehmen typischerweise scheitern – und wie Sie es besser machen

Aus der Praxis kennen wir wiederkehrende Stolperstellen:

Zu späte Einstufungsprüfung:

Unternehmen stellen erst kurz vor einem Audit fest, dass sie KRITIS-pflichtig sind. Dann fehlt die Zeit für einen ordentlichen ISMS-Aufbau.

Fehlende Dokumentation:

Die Betroffenheitsprüfung wurde mündlich besprochen, aber nicht dokumentiert. Das BSI akzeptiert keine mündlichen Aussagen.

ISMS ohne KRITIS-Fokus:

Ein ISO-27001-Zertifikat allein reicht nicht aus, wenn KRITIS-spezifische Anforderungen (z. B. Verfügbarkeit, Meldeprozesse) nicht explizit adressiert sind.

Kontaktstelle nicht erreichbar:

Die beim BSI registrierte Kontaktstelle ist im Urlaub oder hat das Unternehmen verlassen. Das BSI erwartet 24/7-Erreichbarkeit.

NIS2 wird übersehen:

Unternehmen, die ihre KRITIS-Pflichten erfüllen, vergessen, parallel die NIS2-Betroffenheit zu prüfen.

FAQ

Häufige Fragen zu KRITIS

Was passiert, wenn ich KRITIS-Pflichten nicht erfülle?

Das BSI kann bei Verstößen Bußgelder verhängen. Nach §14 BSIG sind Bußgelder von bis zu 20 Millionen Euro möglich. Hinzu kommen mögliche Reputationsschäden und haftungsrechtliche Konsequenzen – insbesondere wenn ein Sicherheitsvorfall auf fehlende Maßnahmen zurückzuführen ist. Das BSI hat in den letzten Jahren seine Aufsichtstätigkeit deutlich intensiviert.

Gilt KRITIS auch für kleinere Unternehmen?

Ja – wenn die Schwellenwerte der BSI-KritisV überschritten werden. Unternehmensgröße ist kein Schutzkriterium. Ein kleines Wasserwerk, das mehr als 500.000 Personen versorgt, ist KRITIS-pflichtig. Ein Konzern mit 10.000 Mitarbeitenden in einer nicht erfassten Branche ist es nicht. Entscheidend sind Anlage, Sektor und Schwellenwert.

Wie hängen KRITIS & ISO 27001 zusammen?

ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme. Das BSI akzeptiert eine ISO-27001-Zertifizierung als Bestandteil des KRITIS-Nachweises – aber nicht als vollständigen Ersatz. KRITIS-spezifische Anforderungen, insbesondere zu Verfügbarkeit, physischer Sicherheit und Meldeprozessen, müssen explizit im ISMS adressiert sein. Eine Zertifizierung ohne KRITIS-Fokus reicht nicht aus.

Wer ist zuständig – BSI, BBK oder die sektorale Aufsicht?

Die Zuständigkeit ist aufgeteilt. Das BSI ist für IT-Sicherheit und Cybervorfälle zuständig. Das BBK übernimmt im Rahmen des KRITIS-Dachgesetzes die Koordination für physische Resilienz. Daneben gibt es sektorspezifische Aufsichtsbehörden – etwa die Bundesnetzagentur für Energie und Telekommunikation oder die BaFin für den Finanzsektor. In der Praxis bedeutet das: KRITIS-Betreiber haben oft mehrere Behörden als Ansprechpartner.

Reicht NIS2-Konformität, wenn ich auch KRITIS-relevant bin?

Nein. NIS2 und KRITIS sind eigenständige Regelwerke mit unterschiedlichen Anforderungen. Wer beide Kriterien erfüllt, muss beide Pflichten erfüllen. KRITIS-Anforderungen – insbesondere der Nachweis nach §8a BSIG und die Registrierungspflicht – gehen über NIS2 hinaus und können nicht durch NIS2-Konformität ersetzt werden.

Unsicher, ob Ihr Unternehmen betroffen ist? Wir helfen Ihnen bei der Einordnung.

Die Frage, ob und in welchem Umfang KRITIS oder NIS2 für Ihr Unternehmen gilt, lässt sich selten pauschal beantworten. Sie hängt an konkreten Anlagen, Kennzahlen und Tätigkeiten – und manchmal an Details, die intern gar nicht bekannt sind. Axians begleitet Unternehmen bei der Betroffenheitsprüfung, beim Aufbau eines ISMS und bei der Vorbereitung auf KRITIS-Audits. Wir arbeiten mit IT-Verantwortlichen, Compliance-Teams und Geschäftsführungen – und sprechen dabei klar, ohne Behördensprache. Wenn Sie nach der Lektüre dieser Seite unsicher sind, ob Ihr Unternehmen betroffen ist: Sprechen Sie mit uns. Wir helfen Ihnen, die richtigen Fragen zu stellen – und die richtigen Antworten zu finden.

Stand: Mai 2026. Angaben basieren auf der BSI-KritisV, dem BSIG und dem KRITIS-Dachgesetz in der zum Zeitpunkt der Veröffentlichung gültigen Fassung. Gesetzliche Grundlagen können sich ändern – prüfen Sie den aktuellen Stand auf bsi.bund.de und gesetze-im-internet.de.

axians-secure.de | Branchen | KRITIS