SecureStay

Regulatorik

Was ist KRITIS? Definition, Sektoren und Pflichten

KRITIS bezeichnet kritische Infrastrukturen mit hoher volkswirtschaftlicher Bedeutung. Was zählt dazu, wer ist betroffen, welche Pflichten gelten 2026.

Patrick Devosse
Co-CEO, SecureStay Solutions UG
3 Min. Lesezeit

KRITIS ist die deutsche Sammelbezeichnung für kritische Infrastrukturen. Gemeint sind Organisationen, Anlagen und Systeme, deren Ausfall oder Beeinträchtigung die öffentliche Versorgung, die innere Sicherheit oder das wirtschaftliche Gemeinwesen erheblich gefährden würde. Wer sich in der Regulatorik zurechtfinden will, muss drei Dinge verstehen: welche Sektoren überhaupt erfasst sind, wann ein Unternehmen die Schwelle überschreitet, und welche Pflichten daraus erwachsen.

Die zehn KRITIS-Sektoren

Das Bundesinnenministerium und das BBK definieren KRITIS in zehn Sektoren:

  1. Energie (Strom, Gas, Mineralöl, Fernwärme)
  2. Wasser (öffentliche Wasserversorgung, Abwasserentsorgung)
  3. Ernährung (Versorgung mit Lebensmitteln, Großhandel)
  4. Informationstechnik und Telekommunikation
  5. Gesundheit (medizinische Versorgung, Arzneimittel, Labore)
  6. Finanz- und Versicherungswesen
  7. Transport und Verkehr (Luftfahrt, Schienen, Binnenschifffahrt, Seeschifffahrt, Logistik, ÖPV)
  8. Medien und Kultur
  9. Siedlungsabfallentsorgung
  10. Staat und Verwaltung

Das KRITIS-Dachgesetz (KRITIS-DachG), das am 17. Juli 2026 in Kraft tritt, erweitert die Liste sektorübergreifend und führt einheitliche physische Schutzpflichten ein. Damit endet die historische Trennung zwischen NIS2 (IT-Sicherheit) und KRITIS (physische Sicherheit) auf gesetzlicher Ebene.

Wer ist KRITIS-pflichtig?

Die Pflicht hängt nicht an der Branche allein, sondern am Schwellenwert. Jeder Sektor hat einen oder mehrere sektorspezifische Schwellen, die als Indikator für die volkswirtschaftliche Bedeutung dienen. Beispiele aus der KRITIS-Verordnung:

  • Energie: Stromnetze ab 500.000 versorgten Personen, Erzeugungsanlagen ab 420 MW
  • Wasser: Versorgungsanlagen ab 500.000 Personen
  • Transport und Verkehr: Häfen ab bestimmten Umschlagsmengen, Flughäfen ab Passagierzahlen, Logistikzentren ab Tonnage und Standortgröße
  • Gesundheit: Krankenhäuser ab 30.000 vollstationären Fällen pro Jahr

Ob Sie über der Schwelle liegen, prüfen Sie selbst. Es gibt keine Behörde, die proaktiv Unternehmen einstuft. Wer KRITIS-pflichtig ist und sich nicht registriert, riskiert Bußgelder und persönliche Haftung.

Die wichtigsten Pflichten im Überblick

Wer KRITIS-Betreiber ist, hat im Wesentlichen vier Pflichten:

1. Registrierung beim BBK

Innerhalb der gesetzlichen Frist (für das KRITIS-Dachgesetz: bis 17. Juli 2026 für bestehende Betreiber) muss eine Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe erfolgen. Dazu gehört die Benennung einer Kontaktstelle, die für Behörden 24/7 erreichbar ist.

2. Umsetzung angemessener Vorkehrungen

Die Maßnahmen müssen dem Stand der Technik entsprechen. Was das konkret heißt, hängt vom Sektor ab. Für IT-Sicherheit gibt § 8a BSIG den Rahmen vor, mit Anforderungen aus der BSI-Grundschutz-Methodik. Das KRITIS-Dachgesetz ergänzt physische Anforderungen, von Perimeter-Schutz über Zutrittskontrolle bis Notfallplänen.

3. Nachweispflicht

Alle zwei Jahre muss der Betreiber schriftlich nachweisen, dass die angemessenen Vorkehrungen umgesetzt sind. Der Nachweis erfolgt durch einen Audit-Bericht eines anerkannten Prüfers oder durch Zertifizierungen (etwa ISO 27001 mit branchenspezifischen Erweiterungen, IT-Grundschutz-Zertifikat, branchenspezifische Sicherheitsstandards B3S).

4. Meldepflicht bei Störungen

Erhebliche Störungen, die zu einem Ausfall oder einer Beeinträchtigung der kritischen Dienstleistung führen können, sind unverzüglich an das BSI (IT) oder das BBK (physisch) zu melden. Die Frist beträgt in vielen Fällen 24 Stunden, mit Detailmeldung innerhalb von 72 Stunden.

Verhältnis zwischen KRITIS, NIS2 und KRITIS-Dachgesetz

Die regulatorische Landschaft ist 2026 dreigleisig:

| Regelwerk | Fokus | Inkrafttreten | |---|---|---| | § 8a BSIG (alt) | IT-Sicherheit für KRITIS-Betreiber | seit 2015 | | NIS2-Umsetzungsgesetz | IT-Sicherheit, deutlich erweiterter Geltungsbereich | 6. Dezember 2025 | | KRITIS-Dachgesetz | Physische Sicherheit, alle KRITIS-Sektoren | 17. Juli 2026 |

NIS2 und KRITIS-Dachgesetz wirken gleichzeitig. Wer in beide Geltungsbereiche fällt, hat doppelte Pflichten, aber auch die Chance, beide Regelwerke koordiniert umzusetzen und Doppelarbeit zu vermeiden.

Was Geschäftsführer jetzt prüfen sollten

Aus unserer Begehungspraxis drei Fragen, die wir bei jedem Erstgespräch stellen:

  • Liegen wir über einer Schwelle? Antwort sollte nicht “wahrscheinlich nicht” sein, sondern eine berechnete Aussage mit Stand vom letzten Geschäftsjahr.
  • Haben wir die Registrierung schon angeschoben? Wenn ja: wann läuft die Frist? Wenn nein: warum noch nicht?
  • Wer ist im Haus für KRITIS-Themen verantwortlich, und kann diese Person 24 Stunden am Tag erreicht werden?

Wenn auch nur eine dieser Fragen unklar beantwortet wird, ist das ein Indikator für strukturierte Beratung statt für ein Word-Template.

Quellen und weiterführende Regelwerke

  • KRITIS-Dachgesetz (in Kraft 17.07.2026)
  • BSI-Gesetz in der aktuellen Fassung (BSIG), insbesondere § 8a (alt) und § 30 (NIS2-Umsetzung)
  • KRITIS-Verordnung (BSI-KritisV) mit den sektorspezifischen Schwellenwerten
  • Branchenspezifische Sicherheitsstandards (B3S) des BBK und des UP KRITIS

Häufige Fragen

Was Sie noch wissen wollen

Was bedeutet die Abkürzung KRITIS?

KRITIS steht für kritische Infrastrukturen. Das sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall eine nachhaltige Versorgungslücke, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen hätte.

Welche Sektoren zählen zu KRITIS?

Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Medien und Kultur, Siedlungsabfallentsorgung sowie Staat und Verwaltung. Das KRITIS-Dachgesetz erweitert diese Liste um weitere Branchen.

Ab wann ist ein Unternehmen KRITIS-pflichtig?

Die Pflicht entsteht durch Überschreiten eines sektorspezifischen Schwellenwertes, etwa Versorgungszahlen, Umschlagsmengen oder Patientenfallzahlen. Die Schwellenwerte stehen in der KRITIS-Verordnung. Bei Erreichen ist innerhalb gesetzlicher Fristen eine Registrierung beim BBK erforderlich.

Was muss ein KRITIS-Betreiber konkret tun?

Registrierung beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Benennung einer Kontaktstelle, Umsetzung angemessener organisatorischer und technischer Vorkehrungen, Meldung erheblicher Störungen und in vielen Sektoren ein Nachweis alle zwei Jahre (etwa nach § 8a BSIG).

Über den Autor

Patrick Devosse

Co-CEO, SecureStay Solutions UG

Über zehn Jahre Felderfahrung in Sicherheits-Auditierung und Compliance-Beratung. Co-Entwickler der S3-Methode und der zugehörigen Software-Werkzeuge Gemba Walk und S3:Analytics.

LinkedIn-Profil →

Passender Quick-Check

01 · Transport · Logistik

KRITIS Logistik

Begehung, Schwachstellen-Analyse und priorisierter Maßnahmenplan für KRITIS-pflichtige Logistikbetriebe.

2.900 € Quick-Check ansehen →

Weiterlesen