21.05.2026/

/ KRITIS-Anforderungen

Welche gesetzlichen Anforderungen gibt es an KRITIS Betreiber?

Kritische Infrastrukturen (KRITIS) bilden das Rückgrat unserer modernen Gesellschaft. Energieversorgung, Gesundheitswesen, Wasser, Informationstechnik oder Transport: Ein Ausfall oder eine Beeinträchtigung dieser Systeme kann weitreichende Folgen für Wirtschaft, Staat und Bevölkerung haben. Entsprechend hoch sind die gesetzlichen Anforderungen an KRITIS Betreiber.

Doch welche konkreten KRITIS Anforderungen ergeben sich aus dem neuen KRITIS Dachgesetz? Und welche organisatorischen, technischen und strategischen KRITIS Maßnahmen sind tatsächlich erforderlich, um den Schutz kritischer Infrastruktur nachhaltig sicherzustellen?

Für Betreiber kritischer Anlagen geht es dabei längst nicht nur um IT-Sicherheit im engeren Sinne. Gefordert ist ein ganzheitlicher Ansatz zur Resilienz – von der Risikoanalyse über angemessene technische und organisatorische Maßnahmen bis hin zu Meldepflichten und regelmäßigen Nachweisen. Der Schutz kritischer Infrastruktur ist damit eine unternehmerische Kernaufgabe, die strategisch verankert werden muss.

Das KRITIS-Dachgesetz ergänzt dabei andere regulatorische Vorgaben zur Cybersicherheit – insbesondere die europäische NIS2-Richtlinie. Während NIS2 vor allem Anforderungen an die IT- und Cybersicherheit vieler Unternehmen und Organisationen stellt, fokussiert das KRITIS Dachgesetz stärker auf die physische und organisatorische Resilienz kritischer Einrichtungen. Welche konkreten Anforderungen sich aus NIS2 ergeben, beleuchten wir in einem separaten Beitrag.

Besuchermanagement & Yard Management (nicht nur) für KRITIS-Unternehmen.

Jetzt beraten lassen

Sie möchten wissen, ob Sie von KRITIS betroffen sind?

Jetzt nachlesen

Besonders relevant: Die Verantwortung liegt nicht allein bei der IT-Abteilung oder beim Werksschutz. Die Geschäftsleitung ist verpflichtet, geeignete Organisationsmaßnahmen zu ergreifen, um die Sicherheit und Widerstandsfähigkeit der eigenen Systeme und Prozesse zu gewährleisten. Kommt sie dieser Pflicht nicht ausreichend nach, drohen nicht nur empfindliche Bußgelder von bis zu 1 Mio. Euro für das Unternehmen. Unter bestimmten Umständen kann auch eine persönliche Haftung der Geschäftsführung in Betracht kommen.

Hinzu kommt: Der finanzielle Schaden durch vermeidbare Sicherheitsvorfälle – etwa durch Produktionsausfälle, Reputationsverluste oder Vertragsstrafen – kann die gesetzlichen Geldbußen bei Weitem übersteigen.

Umso wichtiger ist es, die regulatorischen Anforderungen frühzeitig strukturiert zu analysieren und in belastbare, praxistaugliche Maßnahmen zu überführen. In diesem Beitrag erfahren Sie, welche gesetzlichen KRITIS Anforderungen derzeit gelten, welche KRITIS Maßnahmen nach dem Dachgesetz umzusetzen sind und wie Sie den Schutz kritischer Infrastruktur rechtskonform und zukunftssicher gestalten.

Registrierung von KRITIS-Unternehmen

Nach dem KRITIS-Dachgesetz müssen sich betroffene Unternehmen innerhalb von drei Monaten selbst registrieren. Zuständig ist dafür eine Registerstelle, die gemeinsam vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) betrieben wird. Etwa zwei Wochen nach der Registrierung wird dem Unternehmen die zuständige Aufsichtsbehörde mitgeteilt.

Das bedeutet: Unternehmen müssen zunächst selbst prüfen, ob sie als KRITIS-Betreiber gelten. Diese Einordnung erfolgt anhand definierter Schwellenwerte für einzelne Sektoren und Anlagen.

Risikoanalysen

Zu den zentralen KRITIS Anforderungen gehört die Erstellung strukturierter Risikoanalysen. Neben den individuellen Risiken des eigenen Betriebs müssen KRITIS-Unternehmen auch systemische Abhängigkeiten berücksichtigen.

Dazu gehören insbesondere:

Risiken aus den nationalen Risikoanalysen
Risiken aus Abhängigkeiten von anderen Betreibern, auch aus anderen Sektoren
Risiken, die sich daraus ergeben, dass andere Betreiber von der eigenen Infrastruktur abhängig sind

Beispielsweise kann ein Raffineriebetreiber von der Stromversorgung oder Transportkapazitäten für Rohöl abhängig sein. Gleichzeitig können Transportsektor oder Abfallwirtschaft auf die Produkte der Raffinerie angewiesen sein.

Die erste Risikoanalyse ist spätestens neun Monate nach der Registrierung zu erstellen. Anschließend muss sie mindestens alle vier Jahre aktualisiert werden.

Resilienz-Maßnahmen, Umsetzungsplan und Nachweise

KRITIS-Unternehmen sind verpflichtet, innerhalb von zehn Monaten nach der Registrierung geeignete KRITIS Maßnahmen umzusetzen und diese in einem Umsetzungsplan zu dokumentieren.

Ziel ist ein ganzheitlicher und belastbarer Schutz kritischer Infrastruktur – von der Prävention über die Reaktion bis zur Wiederherstellung der Leistungsfähigkeit.

Im Kern lassen sich die gesetzlichen Vorgaben in mehrere Handlungsfelder gliedern.

1. Prävention: Vorfälle systematisch verhindern

Ein wesentlicher Bestandteil der KRITIS Anforderungen ist die vorausschauende Notfallvorsorge. Betreiber müssen Risiken frühzeitig identifizieren, bewerten und geeignete Gegenmaßnahmen definieren.

Dazu zählen unter anderem:

strukturierte Risikoanalysen und Gefährdungsbewertungen
präventive Notfallpläne
klare Zuständigkeiten und Eskalationsmechanismen

Ziel ist es, Störungen, Angriffe oder Ausfälle bereits im Vorfeld zu vermeiden, frühzeitig zu erkennen oder deren Eintrittswahrscheinlichkeit deutlich zu reduzieren.

2. Physischer Schutz kritischer Anlagen und Liegenschaften

Der Schutz kritischer Infrastruktur beschränkt sich nicht auf Cyber-Sicherheit. Ebenso verpflichtend ist ein angemessener physischer Schutz von Gebäuden, Produktionsstätten, Servern, Lagern und technischen Anlagen.

Dazu gehören insbesondere:

bauliche, organisatorische und technische Sicherungsmaßnahmen (z. B. Perimeterschutz, gesicherte Zutrittspunkte, Objektschutz oder Yard Management)
klare Abgrenzung sicherheitsrelevanter Bereiche
Überwachung der Umgebung
Einsatz von Detektions- und Alarmsystemen
kontrollierte und dokumentierte Zugangskontrollen sowie Besuchermanagement

Diese KRITIS Maßnahmen dienen dazu, unbefugten Zutritt, Sabotage oder physische Manipulation zu verhindern. Gleichzeitig müssen KRITIS-Unternehmen auch möglichst robust gegenüber Naturereignissen oder Unfällen gestaltet sein.

3. Reaktion, Abwehr und Folgenbegrenzung bei Vorfällen

Trotz präventiver Maßnahmen können Vorfälle nicht vollständig ausgeschlossen werden. Deshalb verlangen die KRITIS Anforderungen belastbare Strukturen zur schnellen Reaktion und Schadensbegrenzung.

Erforderlich sind unter anderem:

ein etabliertes Risiko-Management-System
ein formalisiertes Krisenmanagement mit klar definierten Rollen
dokumentierte Krisenreaktionspläne und Alarmabläufe
regelmäßige Überprüfung und Aktualisierung der Protokolle

Die Fähigkeit, im Ernstfall strukturiert zu handeln, entscheidet maßgeblich über die Auswirkungen eines Vorfalls auf die Versorgungssicherheit und die Reputation des Unternehmens.

4. Wiederherstellung der kritischen Dienstleistung

Ein zentrales Element für den Schutz kritischer Infrastruktur ist die Sicherstellung der Betriebsfähigkeit – auch im Störungsfall. Unternehmen müssen Maßnahmen treffen, um ihre kritischen Dienstleistungen schnellstmöglich wiederherzustellen und Ausfallzeiten zu minimieren.

Dazu zählen:

Konzepte zur Aufrechterhaltung des Betriebs (z. B. Notstromversorgung, Redundanzen oder Backup-Systeme)
Notfall- und Wiederanlaufpläne
Identifikation und Absicherung alternativer Lieferketten

5. Sicherheitsmanagement für eigenes und externes Personal

Ein wirksames Sicherheitsmanagement umfasst nicht nur Technik und Prozesse, sondern auch den Faktor Mensch. Betreiber müssen sicherstellen, dass sowohl eigenes als auch externes Personal zuverlässig eingebunden und überprüft wird.

Dazu gehören beispielsweise:

definierte Sicherheitsanforderungen für Dienstleister
vertragliche Verpflichtungen zu Sicherheitsstandards
geregelte Berechtigungs- und Zugriffsmodelle

Gerade bei ausgelagerten Leistungen ist ein strukturiertes Governance-Modell essenziell, um die KRITIS Anforderungen vollständig zu erfüllen.

6. Schulungen, Übungen und Sensibilisierung

Regelmäßige Schulungen und praktische Übungen sind verpflichtender Bestandteil der KRITIS Maßnahmen. Mitarbeitende müssen für Risiken, Bedrohungsszenarien und Verhaltensregeln sensibilisiert werden.

Dazu zählen:

Awareness-Programme
Notfallübungen und Krisensimulationen
Trainings zu Sicherheits- und Meldepflichten

Nur wenn organisatorische, technische und personelle Maßnahmen ineinandergreifen, entsteht ein wirksamer Schutz kritischer Infrastruktur.

Verhältnis zu NIS2

Das KRITIS-Dachgesetz ergänzt die Anforderungen aus der NIS2-Richtlinie, ersetzt diese jedoch nicht. Viele Unternehmen können künftig beiden Regimen gleichzeitig unterliegen.

Während NIS2 vor allem Cybersecurity, IT-Risikomanagement und Meldepflichten für IT Sicherheitsvorfälle adressiert, konzentriert sich das KRITIS-Dachgesetz stärker auf die Resilienz kritischer Einrichtungen insgesamt – also auch auf physische Sicherheit, organisatorische Maßnahmen und betriebliche Notfallvorsorge.

Das KRITIS-Dachgesetz sieht dabei grundsätzlich keine Nachweispflichten vor, die über die Anforderungen von NIS2 hinausgehen. Die zuständigen Aufsichtsbehörden können jedoch zusätzliche Nachweise verlangen.

Welche Unternehmen von NIS2 betroffen sind und welche konkreten Sicherheitsanforderungen sich daraus ergeben, erläutern wir ausführlich in unserem Beitrag zu den NIS2-Anforderungen für Unternehmen.

Meldepflicht für Vorfälle

Bei einem Vorfall, der die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte, besteht für KRITIS-Unternehmen eine Meldepflicht.

Die Meldung muss innerhalb von 24 Stunden an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe erfolgen. Spätestens nach einem Monat ist außerdem ein ausführlicher Bericht einzureichen.

Für die Aufarbeitung solcher Vorfälle ist eine revisionssichere Dokumentation sicherheitsrelevanter Prozesse, etwa bei Zutrittskontrollen oder Besucherzugängen, häufig ein wichtiger Bestandteil.

Als ISO 27001–zertifizierter Software-Anbieter unterstützen wir Unternehmen gern bei Ihren Maßnahmen, insbesondere wenn es um KRITIS-konforme Zutrittskontrollen und KRITIS konformes Yard Management geht.

Sie möchten Ihre Situation mit uns durchsprechen?

Kontaktieren Sie uns, um sich beraten zu lassen und ein unverbindliches Angebot zu erhalten.