Ein futuristisches, holografisches Schild schützt eine digitale Stadt mit Fabriken und Kommunikationsanlagen.

KRITIS: Was Betreiber kritischer Infrastrukturen wissen müssen

KRITIS steht für kritische Infrastrukturen – Einrichtungen und Anlagen, deren Ausfall die Versorgung der Bevölkerung erheblich gefährden würde. Welche Sektoren unter KRITIS fallen, welche Anforderungen KRITIS-Betreiber nach dem BSI-Gesetz erfüllen müssen und wer überhaupt als Betreiber kritischer Infrastrukturen gilt, zeigen wir in diesem Beitrag.

Beratungstermin vereinbaren

KRITIS auf einen Blick

Was ist KRITIS?

KRITIS steht für „kritische Infrastrukturen“. Dazu zählen Einrichtungen aus zehn Sektoren, die für das Gemeinwesen von hoher Bedeutung sind.

Anforderungen für KRITIS-Betreiber nach BSI-Gesetz

Betreiber müssen angemessene technische und organisatorische Maßnahmen umsetzen, Vorfälle an das BSI melden und regelmäßig Nachweise erbringen.

KRITIS-Sektoren im Überblick

Zu KRITIS zählen Energie, Wasser, Ernährung, IT und TK, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Siedlungsabfallentsorgung, Staat sowie Medien und Kultur.

Wer gilt als Betreiber kritischer Infrastrukturen?

Betreiber sind Unternehmen oder Einrichtungen, die bestimmte KRITIS-Schwellenwerte der BSI-Kritisverordnung erreichen und damit unter die Regulierung fallen.

Was ist KRITIS? Definition kritischer Infrastrukturen nach BSI-Gesetz

KRITIS ist die Abkürzung für „Kritische Infrastrukturen“. Gemeint sind Einrichtungen, Anlagen oder Teile davon, die für das Funktionieren des Gemeinwesens von hoher Bedeutung sind. Fällt eine solche Anlage aus, entstehen erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit.

Die gesetzliche Grundlage bildet das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Es wird durch die KRITIS-Verordnung (BSI-KritisV) konkretisiert, die sektorspezifisch festlegt, welche Anlagentypen und Schwellenwerte zur Einstufung als kritische Infrastruktur führen. Die Schwellenwerte orientieren sich in der Praxis häufig an der Versorgung von mindestens 500.000 Personen – etwa bei Trinkwasseranlagen oder Stromerzeugungsanlagen.

Wichtig für die Praxis: Die Einstufung als KRITIS-Betreiber erfolgt nicht auf Antrag, sondern ergibt sich unmittelbar aus dem Überschreiten der gesetzlichen Schwellenwerte. Betreiber sind verpflichtet, ihren Versorgungsgrad selbst zu ermitteln und zu überwachen.

Ein stilisiertes Schild mit einem Häkchen in sanften Blau- und Rosatönen, symbolisiert Sicherheit und Vertrauen.

Das KRITIS-Dachgesetz ist seit März 2026 in Kraft. Es ergänzt die bestehenden BSI-Gesetzesanforderungen um physische Resilienzpflichten, ein umfassendes Risikomanagement sowie erweiterte Aufsichts- und Sanktionsmechanismen. Bei Verstößen drohen Bußgelder von bis zu 1 Million Euro. Betreiber sollten ihren Umsetzungsstand daher dringend prüfen.

Welche Sektoren sind von KRITIS betroffen?

Das BSIG definiert in § 2 Nr. 24 insgesamt zehn KRITIS-Sektoren. Maßgeblich ist, ob die jeweilige Dienstleistung der Versorgung der Allgemeinheit dient und ihr Ausfall zu erheblichen Störungen führen würde:

  • Energie: Strom-, Gas- und Kraftstoffversorgung sowie Heizöl, Fernwärme und Fernkälte
  • Informationstechnik und Telekommunikation: Internet, Mobilfunk, Rechenzentren
  • Transport und Verkehr: Straße, Schiene, Luft- und Schifffahrt
  • Gesundheit – Krankenhäuser, Labore, Pharmaunternehmen
  • Wasser: Trinkwasserversorgung und Abwasserentsorgung
  • Ernährung: Lebensmittelproduktion und -verteilung
  • Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen
  • Siedlungsabfallentsorgung: Abfallwirtschaft
  • Weltraum: Satellitenbetrieb und weltraumgestützte Dienste mit Bodeninfrastrukturen
  • Leistungen der Sozialversicherung sowie der Grundsicherung: gesetzliche Kranken-, Pflege-, Renten- und Arbeitslosenversicherung

Die konkreten Anlagenkategorien und Schwellenwerte sind in den Anhängen der KRITIS-Verordnung sektorspezifisch geregelt. Entscheidend ist immer die Frage: Welchen Versorgungsbeitrag leistet die konkrete Anlage und überschreitet dieser den gesetzlichen Schwellenwert?

Wer gilt als Betreiber kritischer Infrastrukturen?

Als KRITIS-Betreiber gilt, wer eine Anlage betreibt, die einer der gesetzlich definierten Anlagenkategorien zuzuordnen ist und den jeweiligen sektorspezifischen Schwellenwert erreicht oder überschreitet (§ 1 Abs. 1 BSI-KritisV i.V.m. § 2 Abs. 10 BSIG). Betreiber kann ein privates Unternehmen, ein kommunales Unternehmen oder eine öffentliche Institution sein – die Rechtsform ist nicht entscheidend.

Welche Kriterien sind maßgeblich?

Die Schwellenwerte basieren auf quantitativen Parametern: z. B. die jährliche Energieabgabe in Gigawattstunden, die Anzahl versorgter Personen im Wassersektor oder die Produktionskapazität im Lebensmittelbereich. Betreiber müssen diese Werte für das zurückliegende Kalenderjahr eigenständig ermitteln – spätestens bis zum 31. März des Folgejahres.

Stehen mehrere Anlagen desselben Betreibers in einem engen räumlichen und betrieblichen Zusammenhang, werden sie als gemeinsame Anlage betrachtet. Ihre Versorgungsgrade werden dann zusammengerechnet. Das kann dazu führen, dass ein Unternehmen überraschend in den KRITIS-Anwendungsbereich fällt – etwa nach einer Unternehmensfusion oder Erweiterung bestehender Anlagen.

Warnsymbol in Form eines Dreiecks mit einem Ausrufezeichen und einem Punkt in der Mitte, in sanften Farben.

Neue Registrierungspflicht seit Januar 2026: KRITIS-Betreiber müssen sich seit dem 6. Januar 2026 zusätzlich zur bisherigen Registrierung als besonders wichtige Einrichtung im neuen BSI-Portal anmelden. Dazu ist ein Mein-Unternehmenskonto (MUK) erforderlich. Wer dieser Pflicht nicht nachkommt, riskiert Sanktionen. Bei Änderungen – z. B. durch neue Standorte oder Unternehmenszusammenschlüsse – muss die Registrierung aktualisiert werden.

Anforderungen für KRITIS-Betreiber nach dem BSI-Gesetz

Das BSI-Gesetz verpflichtet KRITIS-Betreiber zu einem klar definierten Pflichtenprogramm. Die zentralen Anforderungen im Überblick:

  1. Registrierung beim BSI
    Innerhalb von sechs Monaten nach Erreichen des Schwellenwerts müssen Betreiber ihre Anlage, Kontaktdaten und eine rund um die Uhr erreichbare Kontaktstelle (24/7) beim BSI registrieren – über das BSI-Meldeportal.
  2. Technisch-organisatorische Maßnahmen (TOM)
    Betreiber sind verpflichtet, angemessene Maßnahmen nach dem „Stand der Technik“ zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu verhindern. In der Praxis bedeutet das: Aufbau eines Informationssicherheitsmanagementsystems (ISMS), Risikomanagement, Zugangskontrollen und Incident-Response-Prozesse. Seit dem 1. Mai 2023 sind KRITIS-Betreiber zusätzlich verpflichtet, Systeme zur Angriffserkennung (SzA) einzusetzen. Diese müssen geeignete Parameter aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten – je nach Sektor ergänzt durch die Implementierung von Branchenstandards (B3S).
  3. Meldepflicht bei IT-Sicherheitsvorfällen
    Erhebliche Störungen der IT-Systeme sind unverzüglich dem BSI zu melden. Auch der Verdacht auf eine erhebliche Störung löst bereits die Meldepflicht aus. Für Betreiber, die personenbezogene Daten verarbeiten, besteht zudem eine parallele Meldepflicht gegenüber der Datenschutzaufsichtsbehörde nach Art. 33 DSGVO.
  4. Nachweis gegenüber dem BSI
    Alle drei Jahre müssen KRITIS-Betreiber nachweisen, dass ihre Sicherheitsvorkehrungen dem Stand der Technik entsprechen. Der Nachweis erfolgt durch unabhängige Prüfstellen – z. B. durch ein Audit nach ISO 27001 oder IT-Grundschutz. Das BSI kann Rückfragen stellen und Nachbesserungsfristen setzen.
  5. Benennung eines Informationssicherheitsbeauftragten (ISB)
    Die Bestellung eines Informationssicherheitsbeauftragten ist für KRITIS-Betreiber gesetzlich verpflichtend (§ 8a BSIG / BSI-KritisV), da diese einer Berichtspflicht unterliegen, die nur durch einen qualifizierten ISB erfüllt werden kann. Der ISB muss Fachkunde und Zuverlässigkeit mitbringen und über fundierte Kenntnisse der ISO 27000-Normenreihe verfügen. Unternehmen, denen intern die Ressourcen fehlen, können diese Funktion an externe Spezialisten auslagern – intersoft consulting stellt erfahrene externe Informationssicherheitsbeauftragte. 

    Wichtig: Die direkte Kommunikation mit dem BSI sowie die fristgerechte Einreichung von Nachweisen verbleiben dabei stets in der Verantwortung des Betreibers selbst.

KRITIS und NIS-2: Was sich für Betreiber ändert

Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft und hat das BSI-Gesetz grundlegend aktualisiert. Für KRITIS-Betreiber ergeben sich daraus erweiterte Pflichten: Sie gelten automatisch als „besonders wichtige Einrichtungen“ und unterliegen damit sowohl den allgemeinen NIS-2-Anforderungen als auch den spezifischen KRITIS-Verpflichtungen.

Neu ist insbesondere, dass der Nachweiszyklus von zwei auf drei Jahre verlängert wurde. Betreiber, die bereits vor Inkrafttreten des NIS-2-Umsetzungsgesetzes registriert waren, haben vom BSI neue Nachweisfristen mitgeteilt bekommen. Parallel dazu ist seit März 2026 das KRITIS-Dachgesetz in Kraft – es ergänzt die Cybersicherheitsanforderungen des BSIG um umfassende physische Resilienzpflichten: Betreiber müssen nun auch Risikomanagement für physische Bedrohungen, Krisenmanagement, Business Continuity Management (BCM) und Personalsicherheit nachweisen. Die Aufsicht wurde auf das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ausgeweitet.

Was bedeutet das konkret? Unternehmen, die bisher nur ihre IT-Sicherheit im Blick hatten, müssen jetzt auch physische Schutzmaßnahmen dokumentieren und Resilienzpläne entwickeln. Eine frühzeitige Gap-Analyse schafft Klarheit über den eigenen Handlungsbedarf.

Ein Mann in Anzug mit Krawatte, lächelt freundlich und steht mit verschränkten Händen vor einem transparenten Hintergrund.

Ralf Lüneburg

Consultant Informationssicherheit

Ich berate Sie gerne

Rufen Sie uns an oder schreiben Sie uns über das Kontaktformular.

+49 40 790 235 0
sales@intersoft-consulting.de
Termin vereinbaren

Häufige Fragen zu KRITIS

Was bedeutet KRITIS und wer ist betroffen?

KRITIS steht für „Kritische Infrastrukturen“ und bezeichnet Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde. Rechtlich definiert sind sie in § 2 Nr. 24 BSIG. Betroffen sind Betreiber von Anlagen in den zehn gesetzlich festgelegten Sektoren – von Energie und Gesundheit über Wasser und Transport bis hin zu Finanzwesen und Siedlungsabfallentsorgung –, sobald die jeweiligen Schwellenwerte der KRITIS-Verordnung erreicht oder überschritten werden. Die Einstufung erfolgt nicht auf Antrag, sondern ergibt sich unmittelbar aus dem Versorgungsbeitrag der Anlage.

Welche Anforderungen müssen KRITIS-Betreiber nach BSI-Gesetz erfüllen?

Das BSI-Gesetz verpflichtet KRITIS-Betreiber, angemessene technische und organisatorische Maßnahmen (TOM) nach dem Stand der Technik umzusetzen. Ziel ist es, die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu schützen, die für die Funktionsfähigkeit der kritischen Infrastruktur entscheidend sind.

Betreiber müssen zudem erhebliche Störungen der informationstechnischen Systeme unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Konkret umfasst dies Sicherheitsvorfälle, die zu einem Ausfall oder einer Beeinträchtigung der kritischen Dienstleistung führen können. Eine Kontaktstelle muss dauerhaft erreichbar sein.

Alle drei Jahre müssen KRITIS-Betreiber dem BSI nachweisen, dass die Anforderungen erfüllt sind – beispielsweise durch Audits, Prüfungen oder Zertifizierungen. Branchenspezifische Sicherheitsstandards (B3S) können als Maßstab dienen. intersoft consulting begleitet Unternehmen beim Aufbau eines normkonformen ISMS und bei der Vorbereitung auf die Nachweisprüfung.

Welche Pflichten haben KRITIS-Betreiber gegenüber dem BSI?

KRITIS-Betreiber haben gegenüber dem BSI mehrere gesetzliche Pflichten zu erfüllen: Sie müssen sich innerhalb von sechs Monaten nach Erreichen des Schwellenwerts registrieren, eine 24/7-erreichbare Kontaktstelle benennen, erhebliche IT-Sicherheitsvorfälle unverzüglich melden und alle drei Jahre den Nachweis erbringen, dass ihre Sicherheitsvorkehrungen dem Stand der Technik entsprechen. Darüber hinaus sind technisch-organisatorische Maßnahmen zur Sicherung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme sowie der Einsatz von Systemen zur Angriffserkennung (SzA) verpflichtend umzusetzen. Seit Januar 2026 ist zusätzlich eine Registrierung als besonders wichtige Einrichtung im neuen BSI-Portal erforderlich.

Müssen KRITIS-Betreiber einen Informationssicherheitsbeauftragten bestellen?

Ja. Für KRITIS-Betreiber ist die Bestellung eines Informationssicherheitsbeauftragten (ISB) nach § 8a BSIG in Verbindung mit der BSI-KritisV gesetzlich verpflichtend. Der Grund: KRITIS-Betreiber unterliegen einer Berichtspflicht gegenüber dem BSI, die nur durch einen qualifizierten ISB erfüllt werden kann. Der ISB muss Fachkunde und Zuverlässigkeit nachweisen, über fundierte Kenntnisse der ISO 27000-Normenreihe verfügen und in der Lage sein, ein funktionsfähiges ISMS zu implementieren und fortzuführen. Unternehmen, denen intern die Ressourcen fehlen, können diese Funktion an externe Spezialisten auslagern – intersoft consulting stellt erfahrene externe Informationssicherheitsbeauftragte. Die Betreiberpflichten und die direkte Verantwortung gegenüber dem BSI verbleiben dabei jedoch stets beim Unternehmen selbst.

Was droht bei Verstößen gegen KRITIS-Anforderungen?

Verstöße gegen die Pflichten aus dem BSI-Gesetz und dem KRITIS-Dachgesetz können mit empfindlichen Bußgeldern geahndet werden. Das KRITIS-Dachgesetz sieht Sanktionen von bis zu 1 Million Euro vor. Darüber hinaus tragen Geschäftsführungen und Vorstände eine persönliche Verantwortung für die Einhaltung der Anforderungen. Bei parallel vorliegenden Datenschutzverstößen – etwa wenn ein IT-Sicherheitsvorfall auch personenbezogene Daten betrifft – können zusätzlich Bußgelder nach der DSGVO anfallen. Eine frühzeitige, strukturierte Umsetzung der gesetzlichen Anforderungen ist daher nicht nur eine Frage der Compliance, sondern auch des unternehmerischen Risikomanagements.

Wie unterstützt intersoft consulting beim Aufbau eines ISMS für KRITIS?

intersoft consulting begleitet KRITIS-Betreiber beim Aufbau und Betrieb eines Informationssicherheitsmanagementsystems – von der Ersteinschätzung der KRITIS-Betroffenheit über die Lückenanalyse bis zur Vorbereitung auf die Nachweisprüfung nach § 8a BSI-Gesetz. Unsere Beraterinnen und Berater entwickeln ein ISMS passend zu Ihrer Branche und Unternehmensgröße, unterstützen bei der Auswahl eines geeigneten B3S oder der Zertifizierung nach ISO 27001 und stärken nachhaltig Ihre Compliance gegenüber BSI, NIS-2 und sektorspezifischen Aufsichtsbehörden.

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Ihre Angaben werden selbstverständlich vertraulich behandelt. intersoft consulting services sichert Ihnen zu, Ihre persönlichen Daten ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage zu nutzen und nicht an Dritte weiterzugeben. Die Datenübertragung erfolgt verschlüsselt.
Ein Mann in einem Anzug mit Krawatte steht vor einem modernen Bürogebäude und lächelt.

Über Ralf Lüneburg

  • Diplom-Ingenieur
  • langjährige Erfahrung als IT‑Sicherheits-Manager, Auditor und Berater
  • zertifizierter Auditor für ISO 27001/ IT‑Grundschutz, ISO 27001, ISO 22301
Weitere Beiträge vom Author

Wissenswertes zur Informationssicherheit

Wie Sie sensible Daten und Systeme zuverlässig schützen, fundiert erklärt und praxisnah aufbereitet.

Mehr Beiträge