LAGEBRIEFING · 14.07.2026 DEENFRES

Sicherheitslexikon

Was ist KRITIS? Betreiber, Pflichten und Schwellen

Von Alec Chizhik · 14. Juli 2026 · 5 Minuten Lesezeit

KRITIS-Pflichten beginnen nicht bei einem Etikett, sondern bei der Frage, welche Versorgung ein Ausfall gefährden würde und wie Betreiber das BSI informieren.

Was ist KRITIS? KRITIS steht für kritische Infrastrukturen, also Organisationen und Einrichtungen mit zentraler Bedeutung für das staatliche Gemeinwesen. Fällt ihr Betrieb aus oder wird er gestört, drohen nachhaltige Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit. Wer als Betreiber gilt, regelt in Deutschland das BSI-Gesetz zusammen mit der BSI-Kritisverordnung.

Das Wichtigste in Kürze

  • Wer betroffen ist: Betreiber in zehn Sektoren von Energie bis Staat und Verwaltung, sobald sie definierte Schwellenwerte überschreiten.
  • Kernpflicht: Angemessene technische und organisatorische Vorkehrungen nach dem Stand der Technik, plus Meldepflicht für erhebliche Störungen an das BSI.
  • Einordnung: KRITIS ist der deutsche Rahmen für Cybersicherheit in der Versorgung. NIS2 und das geplante KRITIS-Dachgesetz erweitern ihn, ersetzen ihn aber nicht.

Welche Sektoren KRITIS umfasst

Der Gesetzgeber ordnet kritische Infrastrukturen zehn Sektoren zu: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Siedlungsabfallentsorgung sowie Staat und Verwaltung und der Bereich Medien und Kultur. Entscheidend ist nicht die Branche allein, sondern die Versorgungsrelevanz der einzelnen Anlage.

Ob ein Unternehmen unter die Regeln fällt, hängt an Schwellenwerten. Die BSI-Kritisverordnung definiert je Anlagenart konkrete Grenzen, häufig gemessen an der Zahl der versorgten Personen. Als Orientierungsgröße dient der Regelschwellenwert von 500.000 versorgten Menschen. Wer darüber liegt, ist Betreiber im Sinne des Gesetzes.

10 Sektoren

Von Energie bis Staat und Verwaltung reicht die gesetzliche Einteilung kritischer Infrastrukturen in Deutschland

Quelle: BSI-Kritisverordnung

Welche Pflichten Betreiber trifft

Betreiber müssen angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer Systeme zu vermeiden. Der Maßstab ist der Stand der Technik. Diese Vorkehrungen sind gegenüber dem BSI regelmäßig nachzuweisen, in der Praxis alle zwei Jahre.

Dazu kommt die Meldepflicht. Erhebliche Störungen, die zu einem Ausfall oder einer Beeinträchtigung der kritischen Dienstleistung führen können, sind an das BSI zu melden. Das BSI bündelt diese Meldungen zu einem Lagebild und gibt Warnungen an andere Betreiber weiter.

Erste Schritte für mögliche Betreiber

  • Anlagen gegen die Schwellenwerte der BSI-Kritisverordnung prüfen
  • Kontaktstelle zum BSI benennen und registrieren
  • Nachweisverfahren nach Stand der Technik aufsetzen und dokumentieren
  • Meldeprozess für erhebliche Störungen etablieren und üben

Wie KRITIS, NIS2 und das Dachgesetz zusammenhängen

KRITIS regelt die Cybersicherheit der Versorgung seit Jahren. Die EU-Richtlinie NIS2 weitet den Kreis der regulierten Einrichtungen deutlich aus und verschärft Melde- und Führungspflichten. Deutschland setzt sie über das NIS2-Umsetzungsgesetz in nationales Recht um, das den bestehenden KRITIS-Rahmen einbindet.

Parallel adressiert das geplante KRITIS-Dachgesetz den physischen Schutz kritischer Infrastrukturen, etwa gegen Sabotage oder Naturereignisse. Cyber- und physische Resilienz wachsen damit zu einem gemeinsamen Pflichtenrahmen zusammen. Für Betreiber heißt das, sie sollten die drei Regelwerke als ein System betrachten statt als getrennte Projekte.

Was bei Verstößen droht

Die Pflichten aus dem KRITIS-Rahmen sind kein Papiertiger. Kommt ein Betreiber seinen Nachweis- oder Meldepflichten nicht nach, kann das BSI Anordnungen treffen und Bußgelder verhängen. Mit dem NIS2-Umsetzungsgesetz steigt der Rahmen der möglichen Sanktionen deutlich und orientiert sich an Umsatzgrößen, ähnlich wie es die Datenschutz-Grundverordnung vorgemacht hat.

Neu ist vor allem die Verantwortung der Führungsebene. NIS2 nimmt die Geschäftsleitung ausdrücklich in die Pflicht, Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Sicherheit wird damit vom reinen IT-Thema zur Leitungsaufgabe. Wer die Anforderungen früh strukturiert angeht, reduziert nicht nur das Cyberrisiko, sondern auch das persönliche Haftungsrisiko der Verantwortlichen.

Wie sich Betreiber strukturiert vorbereiten

Der Weg zur KRITIS-Konformität beginnt selten bei null. Viele Betreiber haben bereits ein ISMS, etwa nach ISO 27001 oder IT-Grundschutz, das als Grundlage dient. Sinnvoll ist ein ehrlicher Reifegrad-Abgleich: Wo erfüllt die vorhandene Sicherheitsorganisation die Anforderungen schon, wo bestehen Lücken bei Meldewegen, Nachweisen oder der Absicherung einzelner Anlagen?

Hilfreich ist der Austausch mit anderen Betreibern. Über die Plattform UP KRITIS arbeiten Staat und Wirtschaft branchenübergreifend zusammen und teilen Erfahrungen zu Bedrohungen und Schutzmaßnahmen. Wer diesen Rahmen nutzt, muss das Rad nicht allein neu erfinden und erfährt früh, welche Angriffe in der eigenen Branche gerade relevant sind.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Ab wann ist mein Unternehmen KRITIS-Betreiber?

Sobald eine Anlage die in der BSI-Kritisverordnung festgelegten Schwellenwerte überschreitet. Diese sind je Sektor und Anlagenart unterschiedlich und oft an der Zahl der versorgten Personen orientiert.

Was ist der Unterschied zwischen KRITIS und NIS2?

KRITIS ist der bestehende deutsche Rahmen für besonders kritische Anlagen. NIS2 ist die EU-Richtlinie, die den Kreis regulierter Einrichtungen erweitert und über das nationale Umsetzungsgesetz in deutsches Recht überführt wird.

Welche Behörde ist zuständig?

Für die Cybersicherheit kritischer Infrastrukturen ist das Bundesamt für Sicherheit in der Informationstechnik zuständig, kurz BSI. Dort laufen Nachweise und Störungsmeldungen zusammen.

Wie oft muss der Nachweis erbracht werden?

Betreiber weisen die getroffenen Vorkehrungen regelmäßig nach, in der Praxis alle zwei Jahre. Der Nachweis erfolgt etwa durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.

Was ist das KRITIS-Dachgesetz?

Ein geplantes Gesetz, das den physischen Schutz kritischer Infrastrukturen bündelt und die vorhandenen Cybersicherheitspflichten um Resilienz gegen physische Bedrohungen ergänzt.

Lesetipps der Redaktion

LesetippWelche Entscheidungsrechte des CISO schriftlich geregelt sein müssenLesetippLieferkettenrisiko ist ein Programm, keine Audit-ListeLesetippWas die Geschäftsführung unter NIS2 dokumentieren muss

Mehr aus dem MBF Media Netzwerk

Digital ChiefsGeopolitik trifft die Datacenter-Roadmap: Was CIOs jetzt absichernMyBusinessFutureEU AI Act: Was der Mittelstand kennzeichnen musscloudmagazinXFS4IoT trifft Cloud: Der Geldautomat wird Plattform

Bildquelle: KI-generiert (Juli 2026)

Weiterführende Lektüre

Sicherheitslexikon · 10. Juli 2026

Was ist Phishing? Definition, Formen und Schutz

Phishing einfach erklärt: wie die Angriffe funktionieren, welche Formen es von Spear-Phishing bis Quishing gibt und warum Passkeys der wirksamste Schutz sind.

Ein Magazin der Evernine Media GmbH