Zum Inhalt springen

GlossarDefinition

Was ist KRITIS?

Zuletzt aktualisiert:

Kurz erklärt: KRITIS bezeichnet Kritische Infrastrukturen — Anlagen, Einrichtungen und Prozesse, deren Ausfall die öffentliche Sicherheit, Versorgung oder das Funktionieren des Staates nachhaltig gefährden würde. In Deutschland sind das aktuell zehn Sektoren (Energie, Wasser, Ernährung, IT/TK, Gesundheit, Finanzen, Transport, Medien/Kultur, Staat/Verwaltung, Siedlungsabfallentsorgung) — definiert über Schwellenwerte aus der BSI-KritisV. Betreiber müssen besondere Sicherheitsanforderungen erfüllen und schwerwiegende Vorfälle ans BSI melden. Mit dem KRITIS-Dachgesetz und der NIS2-Umsetzung wird der Kreis deutlich erweitert.

KRITIS ist die Abkürzung für Kritische Infrastrukturen — Einrichtungen, Anlagen und Prozesse, deren Ausfall oder erhebliche Beeinträchtigung die öffentliche Sicherheit, die Versorgung der Bevölkerung oder das Funktionieren des Staates nachhaltig gefährden würde. Der Begriff ist in Deutschland gesetzlich definiert (BSI-Gesetz, BSI-Kritisverordnung) und in der NIS2-Ära Teil eines mehrgliedrigen Regulierungs-Rahmens für Cybersicherheit und Resilienz kritischer Wirtschaftsbereiche.

Foundational Facts

  • Rechtsgrundlage Deutschland: BSI-Gesetz (BSIG), BSI-Kritisverordnung (BSI-KritisV)
  • EU-Rahmen: NIS2-Richtlinie (Cyber) + CER-Richtlinie EU 2022/2557 (physische Resilienz)
  • Sektoren in Deutschland: zehn definierte Sektoren
  • Schwellenwerte: Versorgungsgrade in der BSI-KritisV (z. B. 500.000 Einwohner-Versorgung bei Strom)
  • Zentrale Behörde: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Die zehn KRITIS-Sektoren in Deutschland

SektorBeispielhafte AnlagenSchwellenwerte (BSI-KritisV)
EnergieStrom-, Gas-, Öl-VersorgungVersorgung ab 500.000 Einwohner
WasserTrinkwasserversorgung, Abwasser-EntsorgungVersorgung ab 500.000 Einwohner
ErnährungLebensmittelhandel, -versorgungbestimmte Umsatz-/Mengen-Schwellen
Informationstechnik und TelekommunikationRechenzentren, Netzbetreiber, DNS, IXPstechnische Schwellen (Cores, Traffic)
GesundheitKrankenhäuser, Laborverbünde, ArzneimittelversorgungBettenzahl, Verbund-Größe
Finanz- und VersicherungswesenZahlungssysteme, Wertpapierabwicklungbranchenspezifisch
Transport und VerkehrFlughäfen, Häfen, Bahn, LogistikPassagier-/Fracht-Zahlen
Medien und KulturRundfunkanstalten, DrucknetzwerkeReichweite
Staat und VerwaltungBundesverwaltung, Bundeswehr-ITöffentliche Stellen
SiedlungsabfallentsorgungMüllabfuhr, AbfallaufbereitungVersorgungs-Schwellen

Wer die Schwellenwerte überschreitet, gilt automatisch als KRITIS-Betreiber und unterliegt dem BSIG.

Pflichten der KRITIS-Betreiber

KRITIS-Betreiber müssen einen sehr strengen Pflichtenkatalog erfüllen:

Technische und organisatorische Maßnahmen

Angemessene Sicherheitsmaßnahmen nach Stand der Technik — typischerweise umgesetzt über ein nach ISO 27001 auf Basis von BSI IT-Grundschutz zertifiziertes ISMS. Branchen-spezifisch existieren B3S — branchenspezifische Sicherheitsstandards, die das BSI als Stand der Technik anerkennt.

Nachweispflicht alle zwei Jahre

Alle 24 Monate muss der Betreiber dem BSI nachweisen, dass die Sicherheitsmaßnahmen wirksam sind. Üblich ist die Vorlage eines aktuellen ISO-27001-Zertifikats plus ergänzender Audits.

Meldepflichten

Schwerwiegende Sicherheitsvorfälle müssen unverzüglich an das BSI gemeldet werden. Eine Single-Point-of-Contact (SPOC) -Stelle muss benannt werden.

Systeme zur Angriffserkennung

Mit dem IT-Sicherheitsgesetz 2.0 (2021) wurde die Pflicht eingeführt, Systeme zur Angriffserkennung zu betreiben — typischerweise SIEM-Lösungen mit Anbindung an ein SOC. Hier ist die Anforderung wesentlich konkreter als in NIS2.

KRITIS, NIS2 und das KRITIS-Dachgesetz

Die Regulierung verschiebt sich aktuell durch das Zusammenspiel mehrerer EU- und nationaler Rechtsakte:

  • KRITIS (BSIG, BSI-KritisV): etablierter deutscher Rahmen, strengster Pflichtenkatalog
  • NIS2 (EU 2022/2555, in DE: NIS2UmsuCG): breiterer Sektoren-Kreis, leicht abgeschwächte Pflichten
  • CER / KRITIS-Dachgesetz (EU 2022/2557): ergänzt Cybersicherheit um physische und organisatorische Resilienz

Die Folge: viele Unternehmen, die heute knapp unter der KRITIS-Schwelle liegen, werden über NIS2 dennoch mit substanziellen Cybersicherheits-Pflichten erfasst. KRITIS bleibt parallel und gilt für die strengsten Anlagen.

Branchenspezifische Sicherheitsstandards (B3S)

Für die meisten KRITIS-Sektoren existieren vom BSI anerkannte B3S — branchenspezifische Sicherheitsstandards, die den „Stand der Technik” konkretisieren. Beispiele:

  • B3S Energie (Stromversorgung)
  • B3S Gesundheit (Krankenhäuser)
  • B3S Wasser (Trinkwasserversorgung)
  • B3S IT-Sicherheitskatalog Energie (BNetzA)

KRITIS-Betreiber können mit B3S-Konformität ihre Nachweispflicht erfüllen — eine pragmatische Brücke zur ISO-27001-Zertifizierung auf Basis von BSI IT-Grundschutz.

Bedeutung für KMU und Zulieferer

Direkte KRITIS-Pflichten greifen erst ab den hohen Schwellenwerten — die meisten KMU sind nicht KRITIS-pflichtig. Allerdings werden viele KMU als Zulieferer von KRITIS-Betreibern indirekt erfasst:

  • KRITIS-Betreiber müssen ihre Lieferkette absichern
  • Vertragsanforderungen umfassen oft ISO-27001-Nachweise, Audit-Rechte, Meldepflichten
  • Über die NIS2-Lieferketten-Sicherheits-Pflicht entsteht zusätzlicher Druck auf Zulieferer

Für mittelständische Zulieferer ist die strukturierte Cybersecurity-Aufstellung (idealerweise nach ISO 27001 oder mindestens CISIS12) faktisch die Voraussetzung dafür, KRITIS-Aufträge zu behalten.

Häufige Fragen

Welche Sektoren sind in Deutschland KRITIS?
In Deutschland sind aktuell zehn Sektoren als Kritische Infrastruktur klassifiziert — Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur, Staat und Verwaltung sowie Siedlungsabfallentsorgung. Die genaue Eingrenzung erfolgt über die BSI-Kritisverordnung (BSI-KritisV) mit branchenspezifischen Schwellenwerten, ab denen ein Betrieb als KRITIS-Betreiber gilt.
Was ist der Unterschied zwischen KRITIS und NIS2?
KRITIS ist die deutsche Klassifizierung Kritischer Infrastrukturen mit zehn Sektoren, NIS2 ist die EU-weite Regulierung für Cybersicherheit in 18 Sektoren — also breiter angelegt. Die NIS2-Umsetzung in Deutschland (NIS2UmsuCG seit 6. Dezember 2025) erweitert den Kreis der regulierten Unternehmen erheblich; viele bisher nicht-KRITIS-pflichtige Unternehmen werden über NIS2 nun ähnlich streng erfasst. KRITIS bleibt parallel bestehen und gilt für die strengsten Anlagen.
Was ist das KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz (formell „Gesetz zur Umsetzung der CER-Richtlinie und zur Stärkung der Resilienz kritischer Einrichtungen") setzt die EU-Richtlinie (EU) 2022/2557 (CER, Critical Entities Resilience) in deutsches Recht um. Es ergänzt den klassischen Cyber-Fokus von NIS2 um physische und organisatorische Resilienz-Anforderungen — etwa Schutz vor Sabotage, Spionage und Naturereignissen — und gilt für ähnliche Sektoren wie NIS2. Stand 2026 ist es noch nicht endgültig verabschiedet.
Welche Pflichten haben KRITIS-Betreiber?
KRITIS-Betreiber müssen angemessene technische und organisatorische Sicherheitsmaßnahmen nach Stand der Technik umsetzen, dies dem BSI alle zwei Jahre nachweisen (typisch über ISO-27001-Zertifizierung auf Basis von BSI IT-Grundschutz), schwerwiegende Vorfälle melden, branchenspezifische Sicherheitsstandards (B3S) einhalten und Systeme zur Angriffserkennung betreiben. Seit dem IT-Sicherheitsgesetz 2.0 sind die Anforderungen substanziell verschärft worden.
Welche Anforderungen gelten für KRITIS-Lieferanten?
Lieferanten von KRITIS-Betreibern werden zwar nicht direkt durch das BSIG erfasst, geraten aber indirekt über die Lieferketten-Sicherheits-Pflichten des Betreibers in den Fokus. Konkret werden Lieferanten oft per Vertrag zu ISMS-Standards (ISO 27001, BSI IT-Grundschutz), Audit-Rechten, Meldepflichten bei eigenen Vorfällen und Mindest-Sicherheitsstandards verpflichtet. Über die NIS2-Lieferketten-Anforderung entsteht zusätzlich Druck auf KMU-Zulieferer.
Kategorie