KRITIS Kritische Infrastrukturen schützen
Betreiber kritischer Anlagen unterliegen den verschärften Pflichten aus dem BSIG 2025 und – seit März 2026 – dem KRITIS-Dachgesetz. Wir bringen Sie registriert, prüfungssicher und resilient: IT-Sicherheit und physischer Schutz aus einer Hand.
KRITIS-Sektoren
Betreiber kritischer Anlagen
Nachweis-Turnus (§ 39 BSIG)
Meldefristen (§ 32 BSIG)
Die Grundlagen
Was sind kritische Infrastrukturen?
KRITIS sind Anlagen und Systeme, deren Ausfall zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde. In Deutschland definiert die BSI-Kritisverordnung sektorspezifisch, welche Anlagen als kritisch gelten – ihre Betreiber unterliegen besonderen Pflichten gegenüber BSI und BBK.
-
Versorgungskritisch
-
Anlagen aus zehn Sektoren, deren Ausfall die Versorgung der Allgemeinheit gefährdet – von Strom und Wasser bis Gesundheit und Verkehr.
-
Zwei Regelungsebenen
-
IT-Sicherheit nach dem BSIG 2025 (NIS-2-Umsetzung) und – seit März 2026 – physische Resilienz nach dem KRITIS-Dachgesetz (CER-Umsetzung).
-
Verschärfte Pflichten
-
Betreiber kritischer Anlagen sind zugleich besonders wichtige Einrichtungen – mit Zusatzpflichten wie Angriffserkennung und 3-Jahres-Nachweis.
-
BSI & BBK
-
Aufsicht durch das BSI (IT-Sicherheit) und das BBK (physischer Schutz). Registrierung künftig über eine gemeinsame Plattform.
Geltungsbereich
Die zehn KRITIS-Sektoren
Die BSI-Kritisverordnung benennt zehn Sektoren. Ob Ihre Anlage als kritisch gilt, entscheidet sich über sektorspezifische Schwellenwerte – Richtwert ist die Versorgung von rund 500.000 Personen.
Energie
Strom, Gas, Kraftstoff und Fernwärme
Wasser
Trinkwasserversorgung und Abwasser
Ernährung
Lebensmittelversorgung und -logistik
IT & Telekommunikation
Sprach-/Datenübertragung, IT-Hosting
Gesundheit
Stationäre Versorgung, Arzneimittel, Labore
Finanzwesen
Bargeld, Zahlungsverkehr, Wertpapierhandel
Sozialversicherung
Leistungen der Sozialversicherung
Transport & Verkehr
Luft, Schiene, Wasser, Straße, ÖPNV, Logistik
Weltraum
Bodeninfrastruktur – Schwellenwerte noch offen
Siedlungsabfallentsorgung
Entsorgung von Siedlungsabfällen
Im NIS-2-Kontext kommen weitere Sektoren wie Digitale Infrastruktur und Öffentliche Verwaltung hinzu – insgesamt 18 NIS-2-Sektoren nach BSIG 2025.
Das müssen Betreiber leisten
Kernpflichten nach BSIG 2025
Betreiber kritischer Anlagen tragen über die allgemeinen NIS-2-Pflichten hinaus zusätzliche, verschärfte Anforderungen. Die wichtigsten im Überblick – mit den maßgeblichen Paragraphen.
Registrierung & Kontaktstelle
Registrierung beim BSI und Benennung einer jederzeit erreichbaren Kontaktstelle.
Risikomanagement
Technische und organisatorische Maßnahmen auf erhöhtem Schutzniveau – inkl. BCM, Lieferkette und Kryptographie.
Systeme zur Angriffserkennung
Einsatz von Systemen zur Angriffserkennung (SzA) für maßgebliche IT-Systeme, gemäß BSI-Orientierungshilfe.
Nachweise alle 3 Jahre
Nachweis der Umsetzung gegenüber dem BSI alle drei Jahre – per Audit, Prüfung oder Zertifizierung.
Meldepflichten
Erhebliche Vorfälle gestuft melden: Erstmeldung in 24 h, Bewertung in 72 h, Abschlussmeldung binnen eines Monats.
Physische Resilienz
Seit März 2026: Resilienzmaßnahmen gegen physische Bedrohungen unter Aufsicht des BBK (CER-Umsetzung).
KRITIS, NIS 2 und das Dachgesetz
Wie die Regelungsebenen zusammenspielen
BSIG 2025 · IT-Sicherheit
- Setzt die EU-NIS-2-Richtlinie in deutsches Recht um
- In Kraft seit 6. Dezember 2025
- Betreiber kritischer Anlagen = besonders wichtige Einrichtungen
- Zusatzpflichten: Angriffserkennung (§ 31) und 3-Jahres-Nachweis (§ 39)
- Aufsicht: BSI · Bußgelder bis 10 Mio. € oder 2 % Umsatz
KRITIS-Dachgesetz · Physisch
Seit 2026- Setzt die EU-CER-Richtlinie in deutsches Recht um
- In Kraft seit März 2026 (BGBl. 2026 I Nr. 66)
- Schutz vor physischen Bedrohungen: Sabotage, Naturereignisse, Insider
- Resilienz, Risikoanalyse und Personalzuverlässigkeit
- Aufsicht: BBK gemeinsam mit BSI und Ländern
Beide Ebenen treffen dieselben Betreiber kritischer Anlagen – IT-Sicherheit und physischer Schutz gehören damit in ein gemeinsames Resilienz-Konzept.
Unsere Leistungen
Rundum-Betreuung für KRITIS-Betreiber
Von der Betroffenheitsanalyse bis zum laufenden Nachweis – wir begleiten Sie durch alle Pflichten.
Betroffenheitsanalyse
Prüfung, ob Sie die Schwellenwerte der BSI-Kritisverordnung erreichen.
- Sektor- und Anlagenidentifikation
- Schwellenwertberechnung
- Einstufung der NIS-2-Kategorie
Gap-Analyse BSIG 2025
Soll-Ist-Vergleich gegen die Anforderungen aus § 30 und § 31 BSIG.
- Mapping vorhandener Maßnahmen
- Lücken- und Risikobewertung
- Priorisierter Maßnahmenplan
Angriffserkennung (SzA)
Umsetzung der SzA-Pflicht nach § 31 BSIG und BSI-Orientierungshilfe.
- Anforderungsaufnahme nach OH SzA
- SIEM-/IDS-/OT-Monitoring-Auswahl
- Nachweisvorbereitung
B3S & Nachweise
Branchenstandards anwenden und das 3-Jahres-Nachweisverfahren bestehen.
- Einschlägigen B3S identifizieren
- Umsetzung & interne Audits
- Nachweisverfahren § 39 BSIG
Melde- & Krisenmanagement
Incident-Response-Prozess gemäß den Meldefristen des § 32 BSIG.
- Meldeprozess 24h/72h/1 Monat
- Anbindung an das BSI-Meldeportal
- Krisenübungen & Kommunikation
KRITIS-Dachgesetz-Compliance
Umsetzung der physischen Resilienzpflichten unter BBK-Aufsicht.
- Registrierung auf der BBK/BSI-Plattform
- Physische Risikoanalyse
- BCM & Personalzuverlässigkeit
Warum DLAU für KRITIS?
Regulatorische Tiefe
BSIG 2025, BSI-Kritisverordnung und KRITIS-Dachgesetz aus einer Hand
IT & physisch
Wir denken Cyber- und physische Resilienz gemeinsam
Prüfungssicher
Erfahrung mit BSI-Nachweisverfahren und Audits
Branchenkenntnis
Projekte in Gesundheit, Energie, Versorgung und Verwaltung
KRITIS-Pflichten gemeinsam erfüllen?
Wir prüfen Ihre Betroffenheit, schließen Lücken und begleiten Sie durch Registrierung, Nachweis und Meldewesen – bis Sie prüfungssicher sind.
Weiterführend: IT-Sicherheitsstandards · NIS 2 · IT-Grundschutz