Informationssicherheit Datenschutz KI-Compliance Unternehmens-Compliance

KRITIS-Pflichten im Griff.

Scope, Registrierung, Meldewege und Sicherheitsnachweise strukturiert etablieren. Für Betreiber kritischer Infrastrukturen nach NIS2UmsuCG und KRITIS-DachG.

ISMS ISO 27001 NIS2
11
KRITIS-Sektoren nach KRITIS-DachG
2 Jahre
Nachweiszyklus
3 Monate
Frist zur Registrierung beim BBK-Portal ab 17. Juli 2026

Unsicher, ob Sie KRITIS-Betreiber sind?

Betroffenheit prüfen →
Hintergrund

KRITIS: besondere Pflichten für besondere Verantwortung.

Betreiber kritischer Infrastrukturen unterliegen einem doppelten Pflichtrahmen: Das NIS2UmsuCG setzt die EU-NIS2-Richtlinie um und regelt Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen. Das KRITIS-DachG (seit 11. März 2026) setzt daneben die EU-CER-Richtlinie um und adressiert die physische Resilienz kritischer Anlagen.

Wer die Schwellenwerte in einem der KRITIS-Sektoren überschreitet, muss sich beim BSI registrieren, angemessene Sicherheitsmaßnahmen nach Stand der Technik umsetzen und dies alle zwei Jahre nachweisen: durch Audits, Prüfungen oder Zertifizierungen. Daneben besteht eine Meldepflicht für erhebliche Sicherheitsvorfälle.

Aktueller Stand

Das Registrierungsportal für KRITIS-Betreiber nach KRITIS-DachG öffnet am 17. Juli 2026. Ab diesem Zeitpunkt läuft eine dreimonatige Frist zur Registrierung beim BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe). Eine verspätete oder unvollständige Registrierung kann mit einem Bußgeld von bis zu 500.000 Euro geahndet werden.

KRITIS-Grundpflichten

  • Registrierung innerhalb von 3 Monaten ab Portalöffnung (17. Juli 2026)
  • Angemessene Sicherheitsmaßnahmen nach Stand der Technik (NIS2UmsuCG)
  • Nachweis alle 2 Jahre durch Audits, Prüfungen oder Zertifizierungen
  • Einrichten einer Kontaktstelle für BSI-Kommunikation
  • Meldung erheblicher IT-Störungen
  • Umsetzung des B3S (Branchenspezifischer Sicherheitsstandard)
Leistungen

Was wir für Sie übernehmen.

Betroffenheitsprüfung

  • Sektorzuordnung und Schwellenwert-Prüfung
  • Abgrenzung der kritischen Dienstleistungen
  • Registrierungsprozess beim BSI
  • Kontaktstelleneinrichtung

Maßnahmen nach Stand der Technik

  • Gap-Analyse nach B3S, ISO 27001 oder NIS2UmsuCG-Anforderungen
  • Maßnahmenplan nach Stand der Technik
  • Technische und organisatorische Maßnahmen
  • Dokumentation und Nachweisvorbereitung

Nachweispflicht & Audit

  • Vorbereitung auf den 2-Jahres-Nachweis gegenüber dem BSI
  • Unterstützung bei Audits, Prüfungen und Zertifizierungen
  • Nachweisdokumentation für das BSI
  • Steuerung von Mängelberichten

Meldung & Krisenmanagement

  • Meldeprozess für erhebliche IT-Störungen
  • Kommunikationswege zum BSI einrichten
  • Business Continuity und Krisenmanagement
  • Integration mit NIS2-Meldepflichten
Branchenstandards

Branchenspezifische Sicherheitsstandards (B3S).

Neben ISO 27001 existieren für viele KRITIS-Sektoren vom BSI anerkannte Branchenspezifische Sicherheitsstandards (B3S), die von Branchenverbänden entwickelt wurden. Ein B3S definiert konkrete, sektorspezifische Anforderungen und kann als Nachweisgrundlage gegenüber dem BSI dienen. Viele B3S bauen dabei explizit auf ISO 27001 auf. Wer bereits zertifiziert ist, deckt einen Großteil der Anforderungen bereits ab und reduziert den Aufwand für den KRITIS-Nachweis erheblich.

Anerkannte B3S nach Sektor

  • Energie
    B3S Fernwärmenetze, B3S Aggregatoren
  • Ernährung
    B3S Lebensmittelhandel, B3S Ernährungsindustrie
  • Gesundheit
    B3S Krankenhaus, B3S Pharma, B3S GKV/PV
  • Finanz & Versicherung
    B3S GKV/PV, B3S Electronic Cash
    B3S Electronic Cash abgelaufen, Verlängerung ausstehend
  • Labor
    B3S Laboratoriumsdiagnostik
    Abgelaufen, Nachfolger noch nicht verabschiedet
  • Wasser/Abwasser
    B3S Wasser/Abwasser
  • IT & TK
    B3S Housing, Hosting, CDN
  • Entsorgung
    B3S Siedlungsabfallentsorgung
  • Transport & Verkehr
    B3S kommunaler Straßenverkehr, B3S Bundesautobahn
    B3S kommunaler Straßenverkehr abgelaufen, Verlängerung ausstehend

Unser Ansatz: Wir prüfen, ob für Ihren Sektor ein anerkannter B3S vorliegt, welche ISO 27001-Controls Sie bereits abdecken und planen den effizientesten Weg zum BSI-Nachweis: via B3S-Audit, ISO-Zertifizierung oder kombiniertem Ansatz.

Vorgehensweise

Von der Betroffenheit zum Nachweis.

01

Betroffenheit

Sektorzuordnung, Schwellenwerte und Registrierungspflicht klären.

02

Gap-Analyse

Stand der Technik, B3S und NIS2UmsuCG-Anforderungen abgleichen.

03

Maßnahmen

Sicherheitsmaßnahmen implementieren und dokumentieren.

04

Nachweis

Auditbegleitung und Nachweisführung gegenüber dem BSI: via B3S, ISO 27001 oder kombiniert.

FAQ

Häufige Fragen zu KRITIS-Compliance.

Verwandte Themen

KRITIS-Betreiber sind verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme umzusetzen. Kritische Vorfälle müssen unverzüglich an das BSI gemeldet werden. Alle zwei Jahre ist der Stand der Sicherheitsmaßnahmen durch Audits oder Zertifizierungen nachzuweisen und eine Kontaktstelle für die BSI-Kommunikation muss benannt sein.

Die Einstufung als KRITIS-Betreiber erfolgt anhand von Schwellenwerten, die in der BSI-KRITIS-Verordnung sektoren- und branchenspezifisch festgelegt sind. Unsere KRITIS-Checkliste hilft Ihnen bei der ersten Selbsteinschätzung.

NIS2 ist eine EU-Richtlinie, die wesentliche und wichtige Einrichtungen verpflichtet und in Deutschland durch das NIS2UmsuCG umgesetzt wird. KRITIS ist die deutsche Regelung für besonders kritische Infrastrukturen mit strengeren Anforderungen. Beide Regelwerke überschneiden sich, haben aber unterschiedliche Schwellenwerte und Anforderungen.

Grundlage ist ein vollständiges, dokumentiertes ISMS. Interne Audits und Risikobeurteilungen müssen bereits durchgeführt und sauber nachgewiesen sein. Auf dieser Basis wird der aktuelle Sicherheitsnachweis gegenüber dem BSI erstellt. Wir begleiten Sie durch den gesamten Prozess.

Die Kosten hängen von Sektor, Unternehmensgröße und Ausgangssituation ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

KRITIS-Nachweis: alle zwei Jahre sicher.

Sprechen Sie uns an. Wir klären Ihre Betroffenheit und strukturieren die Umsetzung.

Erstgespräch buchen