Viele Unternehmen stehen vor derselben Frage: Wenn wir bereits unter KRITIS fallen – müssen wir dann noch NIS2 erfüllen? Die kurze Antwort lautet: ja. NIS2 ersetzt KRITIS nicht, sondern ergänzt es. Wer unter KRITIS fällt, unterliegt automatisch zusätzlichen NIS2-Pflichten. Wer unter NIS2 fällt, muss KRITIS-Anforderungen nur dann erfüllen, wenn die sektorspezifischen KRITIS-Schwellenwerte erreicht werden. Beide Regime laufen parallel – mit erheblichen Überschneidungen und einigen wichtigen Unterschieden.
Dieser Leitfaden erklärt, was KRITIS und NIS2 voneinander trennt, wo sie sich überlappen und welche konkreten Pflichten für Unternehmen entstehen, die beiden Regimen unterliegen. Als Grundlage dient das NIS2-Grundlagen-Leitfaden, der den Gesamtrahmen der Richtlinie erklärt.
Was ist KRITIS? Das deutsche Schutzkonzept für kritische Infrastrukturen
KRITIS – kurz für „Kritische Infrastrukturen“ – ist kein europäisches Konzept, sondern ein deutsches. Es wurde durch das IT-Sicherheitsgesetz 2.0 (2021) geprägt und in der BSI-KRITIS-Verordnung (BSI-KritisV) konkretisiert. Die BSI-KritisV definiert für neun Sektoren sektorspezifische Schwellenwerte, ab denen ein Betreiber als KRITIS-Betreiber gilt.
Die neun KRITIS-Sektoren sind: Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen, Siedlungsabfallentsorgung sowie Staat und Verwaltung. Ein typischer Schwellenwert lautet beispielsweise: Ein Wasserversorgungsunternehmen gilt als KRITIS-Betreiber, wenn es mindestens 500.000 Menschen versorgt. Für Kraftwerke liegt der Schwellenwert bei einer installierten Nennleistung ab 420 Megawatt. Diese sektorspezifischen, häufig technisch definierten Schwellen sind das entscheidende Merkmal von KRITIS.
Verantwortlich für KRITIS sind zwei Bundesbehörden: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist zuständig für die Cybersicherheits-Anforderungen der KRITIS-Betreiber. Das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) ist zuständig für die physische Resilienz und den Schutz vor nicht-digitalen Bedrohungen. Diese Zweiteilung hat direkte praktische Konsequenzen: KRITIS-Betreiber müssen bei beiden Behörden registriert sein und gegebenenfalls unterschiedliche Anforderungen erfüllen.
Derzeit gibt es in Deutschland rund 1.800 KRITIS-Betreiber. Dies ist eine relativ kleine, aber hochrelevante Gruppe: Energieversorger, Krankenhausnetzwerke, Trinkwasserbetriebe, Netzbetreiber, große Banken und ähnliche Einrichtungen, ohne die das gesellschaftliche und wirtschaftliche Leben nicht funktionieren würde.
Was regelt NIS2? Die europäische Dimension der Cybersicherheit
NIS2 (Richtlinie 2022/2555/EU) ist europäisches Recht – verabschiedet im Januar 2023, in Deutschland durch das NIS2UmsuCG umgesetzt. Das NIS2UmsuCG ändert unter anderem das BSIG (BSI-Gesetz) grundlegend und löst das bisherige IT-Sicherheitsgesetz 2.0 in vielen Teilen ab.
NIS2 unterscheidet sich von KRITIS in einem zentralen Punkt: Die Schwellenwerte sind größenbasiert statt sektorspezifisch. Eine Einrichtung unterliegt NIS2, wenn sie in einem der erfassten Sektoren tätig ist und die Größenschwellen erreicht:
- Wesentliche Einrichtungen (§28 Abs. 1 BSIG): ≥ 250 Mitarbeitende oder ≥ 50 Mio. Euro Jahresumsatz (in Anh.-I-Sektoren)
- Wichtige Einrichtungen (§28 Abs. 2 BSIG): ≥ 50 Mitarbeitende oder ≥ 10 Mio. Euro Jahresumsatz (in Anh.-II-Sektoren)
NIS2 greift damit deutlich früher als KRITIS und erfasst eine viel größere Zahl von Unternehmen. Schätzungen zufolge fallen in Deutschland rund 30.000 Einrichtungen unter NIS2 – das ist das 16-Fache der KRITIS-Population. Betroffen sind nicht nur große Konzerne, sondern auch mittelständische Unternehmen in den Bereichen Maschinenbau, Chemie, Lebensmittelverarbeitung, digitale Dienste und viele weitere. Eine detaillierte Analyse, wer betroffen ist, finden Sie im Anwendungsbereich-Leitfaden.
NIS2 vs. KRITIS: Die wesentlichen Unterschiede im Überblick
| Merkmal | KRITIS | NIS2 (Wesentlich / Wichtig) |
|---|---|---|
| Rechtsgrundlage | BSI-KritisV, §2 BSIG (alt), IT-SiG 2.0 | NIS2UmsuCG, §§28–44 BSIG (neu) |
| Anzahl betroffener Einrichtungen (DE) | ca. 1.800 Betreiber | ca. 30.000 Einrichtungen |
| Schwellenkriterium | Sektorspezifisch-technisch (z. B. 500.000 Versorgungsberechtigte) | Größenbasiert (≥50 MA oder ≥10 Mio. € Umsatz) |
| Erfasste Sektoren | 9 Sektoren (BSI-KritisV-Liste) | 18 Sektoren (Anh. I und II NIS2UmsuCG) |
| Zuständige Behörden | BSI (Cyber) + BBK (Physisch) + Sektorbehörden | BSI + Sektorbehörden (z. B. BNetzA, BaFin) |
| NIS2-Kategorie des KRITIS-Betreibers | Automatisch „Besonders wichtige Einrichtung“ (§28 Abs. 8 BSIG) | Je nach Sektorzugehörigkeit und Größe |
| Registrierungspflicht | BSI-Meldeportal + BBK-Registrierung | BSI-Registrierungsportal (NIS2) |
| Sicherheitsnachweis | Alle 2 Jahre Nachweis gegenüber BSI (§8a BSIG alt) | Alle 3 Jahre Aufsichtsmaßnahmen (§32–33 BSIG neu) |
| Büßgeldrahmen | bis 10 Mio. € (KRITIS-spezifisch) | bis 10 Mio. € (WE) / bis 7 Mio. € (WI) |
| Parallelbetrieb | Ja – KRITIS und NIS2 laufen gleichzeitig; KRITIS ersetzt NIS2 nicht | |
§28 Abs. 8 BSIG: KRITIS-Betreiber als „besonders wichtige Einrichtungen“
Die zentrale Schnittstelle zwischen KRITIS und NIS2 schafft §28 Absatz 8 des neuen BSIG. Diese Vorschrift stellt klar: Jeder KRITIS-Betreiber im Sinne der BSI-KritisV gilt automatisch als besonders wichtige Einrichtung nach NIS2 – unabhängig davon, ob er die größenbasierten NIS2-Schwellenwerte erreicht oder nicht.
Dies hat weitreichende Konsequenzen:
- Keine Prüfung der NIS2-Schwellenwerte nötig: Auch wenn ein KRITIS-Betreiber aus irgendeinem Grund unter den NIS2-Schwellenwerten liegen sollte, gilt er dennoch als besonders wichtige Einrichtung.
- Strengste NIS2-Aufsicht: Besonders wichtige Einrichtungen unterliegen der proaktiven Aufsicht des BSI (§32 BSIG) – also auch ohne konkreten Verdacht auf Verstöße. Wichtige Einrichtungen hingegen werden reaktiv geprüft (§33 BSIG).
- Höchster Büßgeldrahmen: Für besonders wichtige Einrichtungen gilt der höchste Sanktionsrahmen – bis zu 10 Mio. Euro oder 2 % des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist.
- Zusätzliche NIS2-Pflichten oben auf die KRITIS-Pflichten: KRITIS-Betreiber müssen alle NIS2-Anforderungen (insbesondere die 10 Sicherheitsmaßnahmen nach §30 BSIG) zusätzlich zu ihren bestehenden KRITIS-Pflichten erfüllen.
Praktisch bedeutet das: Ein Energieversorger, der als KRITIS-Betreiber eingestuft ist, muss sein bestehendes KRITIS-Sicherheitskonzept prüfen und um die NIS2-spezifischen Anforderungen ergänzen. Eine vollständige Aufstellung der Pflichten, die sich aus der deutschen Umsetzung ergeben, finden Sie im NIS2 Deutschland-Leitfaden.
Doppelte Registrierung: BSI und BBK für KRITIS-Betreiber
Ein praktisches Problem, das viele KRITIS-Betreiber unterschätzen, ist die doppelte Registrierungspflicht. Das Zusammenspiel von BSI und BBK führt zu unterschiedlichen Meldewegen und Portalen:
Registrierung beim BSI (Cybersicherheit)
Für die Cybersicherheitsanforderungen – sowohl nach KRITIS als auch nach NIS2 – ist das BSI zuständig. KRITIS-Betreiber registrieren sich im BSI-Meldeportal (§8b BSIG alt / §30 ff. BSIG neu). Diese Registrierung umfasst:
- Kontaktdaten des zuständigen KRITIS-Ansprechpartners (24/7 erreichbar)
- Angaben zur betroffenen kritischen Infrastruktur (Anlage, Standort, technische Parameter)
- Nachweise über umgesetzte Sicherheitsmaßnahmen (alle 2 Jahre, bisherige Regelung §8a BSIG)
Mit Inkrafttreten des NIS2UmsuCG überlappen sich KRITIS-Meldepflichten und NIS2-Registrierungspflichten. Das BSI konsolidiert diese schrittweise im neuen NIS2-Registrierungsportal. Dennoch: Bis zur vollständigen Integration sollten KRITIS-Betreiber sicherstellen, dass sie in beiden Systemen vollständig und aktuell registriert sind.
Registrierung beim BBK (physische Resilienz)
Das BBK hat ein eigenes Konzept für die physische Resilienz kritischer Infrastrukturen entwickelt. Im Rahmen des KRITIS-Dachgesetzes (das im Gesetzgebungsverfahren war und die physische Resilienz kritischer Infrastrukturen stärken soll) wird das BBK eine eigene Registrierungspflicht etablieren. KRITIS-Betreiber müssen dann auch die physische Absicherung ihrer Anlagen gegen Sabotage, Naturkatastrophen und andere nicht-digitale Bedrohungen nachweisen.
In der Praxis bedeutet dies: Ein Betreiber einer kritischen Infrastruktur hat möglicherweise gleichzeitig:
- Eine laufende BSI-Registrierung für KRITIS (Cyber)
- Eine künftige BBK-Registrierung für physische Resilienz
- Eine NIS2-Registrierung im BSI-Portal
- Sektorspezifische Meldepflichten (z. B. bei der BNetzA für Energieunternehmen)
Die Koordination dieser Meldewege erfordert klare interne Zuständigkeiten und ein strukturiertes Compliance-Management.
Welche Sektoren sind von beiden Regimen betroffen?
Es gibt eine erhebliche Überlappung zwischen KRITIS-Sektoren und NIS2-Sektoren, aber keine vollständige Deckungsgleichheit. Folgende Tabelle gibt einen Überblick:
| Sektor | KRITIS (BSI-KritisV) | NIS2 (NIS2UmsuCG) | Besonderheit |
|---|---|---|---|
| Energie | ✓ (ab 420 MW / 500.000 Versorgungsberechtigte) | ✓ Wesentlich (Anh. I) | NIS2 greift bei kleineren Versorgern ohne KRITIS-Schwelle |
| Trinkwasser / Abwasser | ✓ (ab 500.000 Versorgungsberechtigte) | ✓ Wesentlich (Anh. I) | KRITIS-Betreiber automatisch WE unter NIS2 |
| Gesundheit | ✓ (Krankenhäuser ab 30.000 stationären Fällen/Jahr) | ✓ Wesentlich (Anh. I) | Sehr viele Krankenhäuser NIS2-pflichtig ohne KRITIS |
| Finanzen / Versicherung | ✓ (große Banken / Börsen) | ✓ Wesentlich (Anh. I) | DORA ergänzt NIS2 für Finanzsektor |
| Transport / Verkehr | ✓ (Schienennetz, Wasserstraßen, Flughäfen ab Passagiervolumen) | ✓ Wesentlich (Anh. I) | Breite NIS2-Erfassung auch kleiner Logistiker |
| Maschinenbau / Produktion | ✗ | ✓ Wichtig (Anh. II) | Neuer NIS2-Sektor, kein KRITIS-Äquivalent |
| Chemikalien | ✗ | ✓ Wichtig (Anh. II) | Neuer NIS2-Sektor |
| Lebensmittel | ✓ (Ernährungssektor, große Versorger) | ✓ Wichtig (Anh. II) | Kleiner Ernährungssektor unter KRITIS, großer Lebensmittelsektor unter NIS2 |
| Digitale Infrastruktur / IKT | ✓ (TK-Netze ab bestimmtem Volumen) | ✓ Wesentlich (Anh. I) | Weitgehende Deckungsgleichheit |
Konkrete Handlungsempfehlungen: Was müssen betroffene Unternehmen tun?
Wenn Sie KRITIS-Betreiber sind:
- Prüfen Sie Ihren NIS2-Status: Gemäß §28 Abs. 8 BSIG sind Sie automatisch „besonders wichtige Einrichtung“. Sie unterliegen der proaktiven BSI-Aufsicht.
- Inventory bestehender Pflichten: Erstellen Sie eine Übersicht aller bestehenden KRITIS-Anforderungen und prüfen Sie, welche NIS2-Pflichten zusätzlich entstehen.
- Doppelte Registrierung sicherstellen: BSI-KRITIS-Registrierung aktual halten + NIS2-Registrierung im BSI-Portal + künftige BBK-Registrierung einplanen.
- Sicherheitskonzept um NIS2-Anforderungen ergänzen: Die 10 Sicherheitsmaßnahmen nach §30 BSIG müssen vollständig dokumentiert sein – auch wenn Ihr bestehendes KRITIS-Konzept bereits viele davon abdeckt.
- Geschäftsführungshaftung beachten: Art. 20 NIS2 / §38 BSIG verpflichtet das Leitungsorgan zur persönlichen Billigung und Überwachung der Sicherheitsmaßnahmen.
Wenn Sie unter NIS2 fallen, aber nicht unter KRITIS:
- KRITIS-Schwellenwerte prüfen: Obwohl KRITIS höhere Schwellen hat, sollten Sie sicherstellen, dass Sie die BSI-KritisV-Schwellen tatsächlich nicht erreichen.
- NIS2-Kategorie bestimmen: Sind Sie wesentliche oder wichtige Einrichtung? Das bestimmt Aufsichtsintensität und Büßgeldrahmen.
- BSI-Registrierung vorbereiten: Die Registrierungspflicht im BSI-Portal läuft. Aktuelle Informationen zum Stand der Registrierungsfristen finden Sie auf dem BSI-Portal.
Häufige Fragen zu NIS2 und KRITIS
Ersetzt NIS2 die KRITIS-Anforderungen komplett?
Nein. NIS2 und KRITIS laufen parallel. KRITIS-Betreiber müssen weiterhin alle KRITIS-spezifischen Anforderungen erfüllen und zusätzlich die NIS2-Pflichten. Es gibt kein „entweder/oder“ – es ist immer „sowohl als auch“.
Welche Behörde ist bei einem Sicherheitsvorfall mein Ansprechpartner?
Für Cybervorfälle ist das BSI zuständig (CERT-Bund). KRITIS-Betreiber haben eine Meldepflicht innerhalb von 24 Stunden (Erstmeldung), 72 Stunden (erster Bericht) und einem Monat (Abschlussbericht). Im Energiesektor ist zusätzlich die BNetzA zu informieren, im Finanzsektor die BaFin.
Muss ich mich beim BBK registrieren, auch wenn ich bereits beim BSI registriert bin?
Das KRITIS-Dachgesetz wird eine eigene BBK-Registrierung für die physische Resilienz von KRITIS-Betreibern einführen. BSI-Registrierung und BBK-Registrierung sind getrennte Prozesse für getrennte Schutzgüter (Cyber vs. Physisch). Beide werden nötig sein.
Gilt die NIS2-Registrierungspflicht auch für kleinere Zulieferer von KRITIS-Betreibern?
Zulieferer und Dienstleister von KRITIS-Betreibern unterliegen NIS2 nur, wenn sie selbst die Schwellenwerte erreichen und in einem erfassten Sektor tätig sind. Allerdings verpflichtet §30 Abs. 2 Nr. 4 BSIG betroffene Einrichtungen, Risiken in der Lieferkette zu managen – was Anforderungen an Zulieferer delegiert, auch wenn diese selbst nicht NIS2-pflichtig sind.
Sind die Bußgeldrahmen für KRITIS-Betreiber höher als für andere NIS2-Einrichtungen?
KRITIS-Betreiber gelten als „besonders wichtige Einrichtungen“ und unterliegen dem höchsten Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt das Maximum bei 7 Mio. Euro oder 1,4 % des globalen Umsatzes.
Gibt es eine Übergangsfrist für KRITIS-Betreiber bei NIS2?
Nein. NIS2 ist seit dem 17. Oktober 2024 geltendes Recht in Deutschland. Für KRITIS-Betreiber, die bereits zuvor ein strukturiertes Sicherheitsmanagement hatten, sind die Übergänge oft flüssiger – aber formale Übergangsfristen gibt es nicht. Offene Punkte betreffen häufig die Aktualisierung der Risikoanalyse, die formale Billigung durch das Leitungsorgan und die Registrierung im neuen BSI-Portal.
Quellen
- BSI: Kritische Infrastrukturen (KRITIS) – Bundesamt für Sicherheit in der Informationstechnik
- BBK: KRITIS-Dachgesetz – Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
- BSIG (neues BSI-Gesetz nach NIS2UmsuCG) – Bundesministerium der Justiz
- NIS2-Richtlinie 2022/2555/EU – Amtsblatt der EU
- OpenKRITIS – Informationsplattform zu KRITIS in Deutschland
Hinweis: Die Inhalte dieser Seite dienen ausschließlich der allgemeinen Information. Sie stellen keine Rechts-, Steuer- oder Fachberatung dar und ersetzen diese nicht. Für die Anwendung auf Ihren konkreten Fall konsultieren Sie bitte einen qualifizierten Berater.
