Was ist KRITIS?


Kritische Infrastrukturen (KRITIS) sind Einrichtungen, Anlagen oder Teile davon, die für das Funktionieren unseres Gemeinwesens von zentraler Bedeutung sind. Dazu zählen Sektoren wie Energie, Informationstechnik, Telekommunikation, Gesundheit, Wasser, Ernährung, Transport, Verkehr sowie das Finanz- und Versicherungswesen. Ein Ausfall oder eine Beeinträchtigung dieser Infrastrukturen kann erhebliche Versorgungsengpässe, Störungen der öffentlichen Sicherheit oder andere gravierende Folgen nach sich ziehen.


Wer ist betroffen?
KRITIS-relevant sind Unternehmen und Organisationen, deren Dienstleistungen oder Produkte für die Versorgung der Bevölkerung und das Funktionieren der Wirtschaft unverzichtbar sind, etwa Energieversorger, Krankenhäuser, Wasserwerke, Verkehrsbetriebe, Banken und viele mehr. Ob Ihr Unternehmen von den KRITIS-Regelungen betroffen ist, wird anhand gesetzlicher Schwellenwerte und Sektorzuordnungen geprüft.

 

Was ist NIS2?


Die NIS2-Richtlinie („Network and Information Security Directive 2“) ist die umfassendste europäische Cybersicherheitsrichtlinie und ersetzt die bisherige NIS1-Richtlinie. Sie legt einheitliche Mindeststandards für die Informationssicherheit in 18 kritischen Sektoren in der gesamten EU fest und erweitert den Geltungsbereich auf deutlich mehr Unternehmen als zuvor. Ziel ist es, das allgemeine Niveau der Cybersicherheit in der EU zu verbessern, Risiken von Cyberangriffen zu mindern und die Resilienz kritischer Dienste zu stärken.

Wer ist betroffen?
NIS2 betrifft nicht nur klassische KRITIS-Betreiber, sondern auch viele weitere Unternehmen, darunter kleine und mittlere Unternehmen mit besonderer Bedeutung für die Versorgungssicherheit. Die Einstufung erfolgt anhand von Sektorzugehörigkeit und Unternehmensgröße. Auch Lieferketten und Partnerunternehmen außerhalb der EU können betroffen sein, wenn sie mit EU-Unternehmen zusammenarbeiten.

Die folgende Tabelle stellt die Unterschiede und Gemeinsamkeiten von KRITIS und NIS2 gegenüber:

Thema KRITIS NIS2
Geltungsbereich Bestimmte Sektoren, Schwellenwerte, nationale Regelungen 18 Sektoren, mehr Unternehmen, EU-weit, keine festen Schwellenwerte
Grundlage(n) BSI-Gesetz (BSIG), BSI-Kritisverordnung, ab 2025 KRITIS-Dachgesetz EU-Richtlinie 2022/2555 (NIS2), NIS2-Umsetzungsgesetz (NIS2UmsuCG)
Sicherheitsmaßnahmen ISMS nach ISO 27001/B3S, Stand der Technik, branchenspezifische Vorgaben Umfassende technische und organisatorische Maßnahmen, Risikomanagement, Lieferkettensicherheit, Cyberhygiene, Schulungen, Multi-Faktor-Authentifizierung
Meldepflichten Meldung von Sicherheitsvorfällen an das BSI, alle 2 Jahre Nachweis Strengere und schnellere Meldepflichten (24h/72h/30 Tage), umfassende Berichtspflichten
Nachweise/Audits Regelmäßige Nachweise, Audits durch BSI Registrierungspflicht, Nachweise, Audits und Stichproben durch BSI, Dokumentationspflicht
Risiken bei Nicht-beachtung/ Sanktionen Bußgelder, Reputationsschäden, Haftungsrisiken Deutlich höhere Bußgelder, striktere Durchsetzung und Kontrolle
Zusammenarbeit Nationale Behörden, BSI EU-weite Zusammenarbeit, Informationsaustausch, Harmonisierung

 

Wie können wir Sie unterstützen?

Wir freuen uns darauf, mit Ihnen darüber zu sprechen, welche Ziele Sie haben und wie wir Sie bei der Erreichung unterstützen können. Dazu beantworten wir gerne Ihre Fragen rund um KRITIS und NIS2 und inwiefern Sie davon betroffen sind - oder zukünftig betroffen sein könnten. Kontaktieren Sie uns einfach für ein kostenloses Orientierungsgespräch!