Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Glossar-Übersicht

Glossar

KRITIS — Definition und Bedeutung für die Cybersicherheit

Was bedeutet KRITIS? Einfache Definition, NIS2-Relevanz und Praxisbeispiel für deutsche Unternehmen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20264 Min. Lesezeit

Kurzdefinition

KRITIS ist die Kurzbezeichnung für Kritische Infrastrukturen, also Einrichtungen, Anlagen oder Dienste, deren Ausfall die Versorgungssicherheit, öffentliche Sicherheit oder andere zentrale Gemeinwohlfunktionen erheblich beeinträchtigen würde.

Primaerquelle

BSI-KritisV, § 10 BSIG und Anhang I der NIS2-Richtlinie (EU) 2022/2555

Rechtsgrundlage ansehen

KRITIS — Definition und Bedeutung für die Cybersicherheit

KRITIS ist die Kurzbezeichnung für Kritische Infrastrukturen, also Einrichtungen, Anlagen oder Dienste, deren Ausfall die Versorgungssicherheit, öffentliche Sicherheit oder andere zentrale Gemeinwohlfunktionen erheblich beeinträchtigen würde. Für NIS2-betroffene Unternehmen bedeutet KRITIS, dass neben allgemeiner Cybersicherheit oft strengere Nachweis-, Resilienz- und Meldepflichten greifen.

Definition: Was ist KRITIS?

KRITIS beschreibt in Deutschland besonders schutzwürdige Infrastrukturen. Rechtlich relevant wird der Begriff vor allem dann, wenn eine Anlage nach der BSI-KritisV und dem dortigen Verweis auf § 10 BSIG als kritisch eingeordnet wird. Maßgeblich sind dabei nicht nur Branche und Funktion, sondern konkrete Schwellenwerte. Die Verordnung knüpft also nicht pauschal an den Sektor, sondern an kritische Dienstleistungen und deren Versorgungsgrad an.

Für die Praxis heißt das: KRITIS ist enger als der allgemeine Begriff „wichtige Infrastruktur“, aber schärfer reguliert. Wer als Betreiber kritischer Infrastruktur gilt, muss nachweisen können, dass informationstechnische Systeme, Komponenten und Prozesse angemessen abgesichert sind und Störungen früh erkannt, begrenzt und gemeldet werden.

Welche Sektoren gehören zu KRITIS?

In der deutschen KRITIS-Systematik werden regelmäßig zehn Sektoren unterschieden. Dazu zählen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung, Medien und Kultur sowie Siedlungsabfallentsorgung. Für die konkrete Regulierung ist aber entscheidend, welche kritischen Dienstleistungen und Schwellenwerte im jeweiligen Rechtsrahmen tatsächlich genannt sind.

Gerade dieser Punkt ist wichtig, weil in der Praxis oft zwei Ebenen vermischt werden:

  • Die strategische KRITIS-Systematik dient der sektoralen Einordnung und dem Kooperationskontext, etwa bei UP KRITIS.
  • Die operative Einordnung als KRITIS-Betreiber erfolgt rechtsverbindlich über Schwellenwerte und Anlagenkategorien der BSI-KritisV.

Deshalb reicht es nicht zu sagen: „Wir sind im Energiesektor, also sind wir KRITIS.“ Entscheidend ist, ob die konkrete Anlage oder Dienstleistung den relevanten Schwellenwert überschreitet.

Warum ist KRITIS für NIS2 wichtig?

KRITIS ist für NIS2 wichtig, weil KRITIS-Betreiber im deutschen Regulierungsmodell immer zum besonders strengen Aufsichtskern gehören. Während die NIS2-Richtlinie in Anhang I hochkritische Sektoren unionsweit vorgibt, arbeitet das deutsche KRITIS-Regime zusätzlich mit anlagen- und schwellenwertbezogenen Kriterien. Das Ergebnis ist eine Überlagerung beider Logiken.

Der praktische Unterschied lautet:

  • KRITIS fragt anlagenbezogen: Erbringt diese konkrete Anlage eine kritische Dienstleistung in relevantem Umfang?
  • NIS2 fragt stärker einrichtungsbezogen: Gehört das Unternehmen zu einem erfassten Sektor und überschreitet es die maßgeblichen Größenkriterien?

Für Unternehmen ist diese Unterscheidung zentral. Ein Unternehmen kann unter NIS2 fallen, ohne klassische KRITIS-Anlage zu sein. Umgekehrt gilt: Wer KRITIS-Betreiber ist, ist regulatorisch nie der „leichte Fall“. Genau deshalb wird KRITIS regelmäßig als Teilmenge oder besonders strenger Unterfall der NIS2-Welt verstanden. Wenn Sie die NIS2-Gesamtlogik einordnen möchten, ist die Übersicht zur NIS2-Richtlinie in Deutschland der richtige Einstieg. Für die begriffliche Einordnung helfen außerdem Wesentliche Einrichtung, NIS2-Richtlinie und BSI.

KRITIS vs. NIS2: Schwellenwerte und Größenklassen

KRITIS und NIS2 arbeiten mit unterschiedlichen Logiken. KRITIS knüpft an Schwellenwerte für kritische Dienstleistungen an, also typischerweise an die Frage, wie viele Menschen von einer Anlage oder einem Dienst abhängig sind. NIS2 knüpft demgegenüber häufig an Unternehmensgröße, Sektorzugehörigkeit und Rolle in der Wertschöpfung an. Diese Unterscheidung ist für Geschäftsführung, Compliance und Informationssicherheit entscheidend.

Die verkürzte Faustregel lautet deshalb: KRITIS ist schwellenwertbezogen, NIS2 ist größenklassenbezogen. Ein mittelgroßes Unternehmen kann NIS2-pflichtig sein, obwohl es keinen KRITIS-Schwellenwert erreicht. Ein KRITIS-Betreiber kann umgekehrt nicht mit dem Argument entlasten, dass das Unternehmen insgesamt kleiner sei, wenn die betroffene Anlage kritische Versorgung in erheblichem Umfang sicherstellt.

Nachweispflichten nach § 8a BSIG

Für KRITIS-Betreiber endet die Pflicht nicht bei einer einmaligen Betroffenheitsanalyse. Besonders relevant ist die Nachweislogik aus § 8a BSIG: Betreiber kritischer Anlagen müssen angemessene organisatorische und technische Vorkehrungen treffen und deren Umsetzung gegenüber dem BSI belegen. In der Praxis bedeutet das dokumentierte Sicherheitsmaßnahmen, belastbare Prozesse, Audit- oder Prüfunterlagen und eine nachvollziehbare Sicherheitsorganisation.

Damit unterscheidet sich KRITIS deutlich von rein abstrakten Sicherheitsleitlinien. Für NIS2-betroffene Unternehmen ist das ein wichtiger Hinweis: Wer heute schon KRITIS-reif sein muss, braucht nicht nur Policies, sondern auch Nachweise, Verantwortlichkeiten und eine funktionierende Meldepflicht.

UP KRITIS als Kooperationsplattform

UP KRITIS ist keine Aufsichtsbehörde, sondern eine öffentlich-private Kooperationsplattform. Dort arbeiten Betreiber, Verbände und staatliche Stellen zusammen, um branchenspezifische Risiken, Mindeststandards und Erfahrungen auszutauschen. Für Unternehmen ist das relevant, weil KRITIS-Compliance nicht nur aus Gesetzestexten besteht, sondern auch aus gelebter Sicherheitskooperation.

Wer KRITIS-Verantwortung trägt, sollte deshalb nicht nur die Rechtslage kennen, sondern auch sektorale Best Practices, BSI-Hinweise und bestehende Austauschformate nutzen.

Praxisbeispiel: Kommunaler Wasserversorger in Nordrhein-Westfalen

Ein kommunaler Wasserversorger in Nordrhein-Westfalen beliefert mehrere Städte mit zusammen mehr als 500.000 Einwohnern. Genau dadurch kann die Anlage die relevanten KRITIS-Schwellenwerte erreichen. Das Unternehmen muss dann nicht nur seine Wasserwerke technisch absichern, sondern auch dokumentieren, wie Angriffe erkannt, Störungen gemeldet, Notfallpläne aktiviert und kritische Prozesse aufrechterhalten werden.

Für NIS2 bedeutet das zusätzlichen Governance-Druck. Die Geschäftsleitung muss Rollen, Risikoentscheidungen und Eskalationswege sauber festlegen. Gleichzeitig muss das Unternehmen zwischen klassischer KRITIS-Nachweislogik und den weitergehenden Anforderungen an wesentliche Einrichtungen unterscheiden.

FAQ: KRITIS einfach erklärt

Was ist KRITIS?

KRITIS sind Kritische Infrastrukturen, also Einrichtungen oder Anlagen, deren Ausfall die Bevölkerung, staatliche Funktionen oder zentrale Versorgungsleistungen erheblich treffen würde. Rechtlich relevant wird der Begriff in Deutschland vor allem über die BSI-KritisV und die daran anknüpfenden Pflichten aus dem BSIG.

Warum ist KRITIS für NIS2 wichtig?

KRITIS ist für NIS2 wichtig, weil KRITIS-Betreiber besonders strenge Anforderungen an Cybersicherheit, Nachweisführung und Vorfallmanagement erfüllen müssen. Wer bereits KRITIS-pflichtig ist, muss NIS2 nicht separat ignorieren, sondern beide Regelungslogiken gemeinsam umsetzen.

Wenn Sie KRITIS, NIS2 und die daraus folgenden Rollen im Unternehmen strukturiert verstehen und dokumentieren möchten, ist eine fokussierte NIS2-Schulung ein sinnvoller nächster Schritt.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen