21.05.2026/

/ KRITIS Unternehmen

Kritische Infrastruktur: Strenge Regeln für KRITIS Unternehmen

Aus dem KRITIS-Dachgesetz ergeben sich strengere Anforderungen an die physische Sicherheit für Betreiber kritischer Infrastruktur. Das Gesetz definiert, welche Einrichtungen als kritische Infrastruktur besonders schützenswert sind. In der Praxis werden viele KRITIS-Unternehmen jedoch nicht aktiv darüber informiert, dass sie betroffen sind.

Kritische Infrastruktur wie diese Raffinerie in Wesseling und der Rhein als Schifffahrtstraße brauchen besonderen Schutz. Daher gelten für KRITIS-Unternehmen besondere Regeln.

KRITIS-Betreiber müssen daher selbst prüfen, ob ihre Organisation als Unternehmen der kritischen Infrastruktur gilt und ob sie sich registrieren sowie die entsprechenden Sicherheitsvorschriften einhalten müssen.

Während das KRITIS-Dachgesetz vor allem den physischen Schutz kritischer Anlagen und Einrichtungen regelt, adressieren andere Regelwerke – insbesondere die EU-Richtlinie NIS2 – stärker die Cybersicherheit von Unternehmen und Organisationen. Welche Unternehmen von NIS2 betroffen sind, erläutern wir in einem separaten Beitrag.

Was ist kritische Infrastruktur? Was sind KRITIS-Unternehmen?

Die rechtliche Grundlage für die Einordnung als kritische Infrastruktur bildet in Deutschland das sogenannte KRITIS-Dachgesetz. Es definiert, welche Einrichtungen und Organisationen aufgrund ihrer zentralen Bedeutung für das Gemeinwesen als systemrelevant gelten.

Gemäß dieser kritische Infrastruktur Definition zählen dazu Anlagen, Systeme und Dienstleistungen, deren Ausfall oder erhebliche Beeinträchtigung zu nachhaltigen Versorgungsengpässen, Störungen der öffentlichen Sicherheit oder anderen schwerwiegenden Auswirkungen auf Staat, Wirtschaft und Gesellschaft führen würde.

KRITIS-Unternehmen beziehungsweise KRITIS-Betreiber sind Organisationen, die in einem der gesetzlich definierten Sektoren tätig sind und eine bestimmte Versorgungsrelevanz erreichen. Maßgeblich ist in der Regel eine Versorgungsschwelle von mindestens 500.000 versorgten Personen. Für einzelne Sektoren wird diese Schwelle teilweise über technische Kennzahlen – etwa Produktionsmengen oder Kapazitäten – bestimmt.

Darüber hinaus können zuständige Behörden ein Unternehmen unabhängig von dieser Schwelle als Unternehmen der kritischen Infrastruktur einstufen, wenn dessen Bedeutung für die Funktionsfähigkeit des Gemeinwesens dies erfordert.

Das KRITIS-Dachgesetz ordnet die kritische Infrastruktur folgenden Sektoren zu:

  • Energie (Stromversorgung, Erdgasversorgung, Wasserstoffversorgung, Mineralölversorgung)
  • Wasser
  • Gesundheit
  • Transport und Verkehr (Eisenbahnverkehr, See- und Binnenschifffahrt, Wasserstand und Gezeiten, Straßenverkehr, Wettervorhersage, Luftverkehr)
  • Digitale Infrastruktur (Sprach- und Datenübertragung, Datenspeicherung und verarbeitung, öffentliche Telekommunikationsnetze und -dienste)
  • Finanzwesen (DORA-Dienstleistungen)
  • Sozialversicherung
  • Weltraum (Bodenstationen)
  • Staat
  • Ernährung
  • Entsorgung

Nicht alle staatlichen Einrichtungen oder Akteure des Finanzwesens fallen automatisch unter die allgemeinen KRITIS-Regelungen, da sie teilweise durch eigene regulatorische Rahmenwerke erfasst sind.

Unternehmen der kritischen Infrastruktur tragen damit eine besondere Verantwortung für die Stabilität und Resilienz zentraler Versorgungs- und Verwaltungsstrukturen. Ihre Leistungen bilden die Grundlage für wirtschaftliche Leistungsfähigkeit, gesellschaftliche Sicherheit und staatliche Handlungsfähigkeit – entsprechend hoch ist ihre systemische Relevanz innerhalb des gesetzlichen Rahmens.

Ein wichtiger Unterschied zu Regelwerken wie NIS2 besteht darin, dass das KRITIS-Dachgesetz primär auf besonders kritische Einrichtungen mit hoher Versorgungsrelevanz abzielt. NIS2 erweitert den Kreis der regulierten Organisationen deutlich und bezieht auch viele mittelständische Unternehmen aus wichtigen Wirtschaftssektoren ein.

Strengere Sicherheitsanforderungen für KRITIS-Unternehmen

Normale Unternehmen können weitgehend selbst entscheiden, wie gut sie sich gegen Sabotage, Datendiebstahl, Katastrophen und andere Gefahren schützen und wie sie zwischen den Kosten für Sicherheit und den Sicherheitsrisiken abwägen. Betreiber der kritischen Infrastruktur dagegen müssen sich zumindest an die KRITIS-Anforderungen für ihre Sicherheitsmaßnahmen halten. Details dazu haben wir in einem weiteren Beitrag zusammengestellt.

Im Mittelpunkt steht dabei vor allem die physische Sicherheit: Überwachungssysteme, Zäune, Wachpersonal, sichere Türen und Tore mit effektiven Zutrittskontrollen sowie weitere Maßnahmen zum Schutz kritischer Anlagen.

Regelungen zur Cybersicherheit finden sich dagegen stärker in anderen regulatorischen Rahmenwerken, insbesondere in der EU-Richtlinie NIS2. Während KRITIS vor allem den Schutz kritischer Infrastruktur selbst adressiert, verpflichtet NIS2 eine deutlich größere Zahl von Unternehmen zu strukturierten IT-Sicherheitsmaßnahmen.

Für die konkrete Umsetzung vieler Sicherheitsanforderungen verweisen die Regelwerke auf den „Stand der Technik“. Eine wichtige Orientierung bietet hier beispielsweise die DIN EN ISO/IEC 27001.

Wir von VISIT unterstützen ISO 27001 konforme Zutrittskontrollen mit unseren Systemen für Besuchermanagement und Yard Management. Details dazu finden Sie in unseren Beiträgen zu KRITIS & Besuchermanagement sowie KRITIS & Yard Management.

Sie möchten wissen, wie wir Sie bei Ihrer physischen Sicherheit unterstützen können?

Kontaktieren Sie uns, um sich beraten zu lassen.

Sollen wir Sie zurückrufen? Dann geben Sie bitte Ihre Telefonnummer sowie den gewünschten Zeitraum an.
Die mit * markierten Felder sind Pflichtfelder