Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 KRITISKRITIS-DachgesetzNIS2 kritische InfrastrukturNIS2 Sektoren

NIS2 und KRITIS — Was ändert sich für kritische Infrastrukturen?

NIS2 erweitert den KRITIS-Kreis auf 18 Sektoren. Erfahren Sie, welche neuen Pflichten gelten und wie KRITIS-Dachgesetz und NIS2 zusammenspielen.

Veröffentlicht: 20. März 2026Letzte Aktualisierung: 20. März 202612 Min. Lesezeit

NIS2 und KRITIS: Was ändert sich für kritische Infrastrukturen?

NIS2 löst das bisherige BSIG-/KRITIS-Regime für die Cybersicherheit nicht einfach eins zu eins ab, sondern überführt NIS2 KRITIS in ein deutlich breiteres System mit über 29.000 betroffenen Einrichtungen statt bisher rund 4.500, 18 Sektoren statt 10, Bußgeldern bis 10 Millionen Euro und einer 24-Stunden-Erstmeldung. Für Betreiber kritischer Infrastrukturen heißt das 2026 vor allem: mehr Regulierung auf Unternehmensebene, zusätzliche Registrierungspflichten, strengere Leitungs- und Nachweispflichten sowie parallel neue Anforderungen aus dem KRITIS-Dachgesetz für die physische Resilienz.

Letzte Aktualisierung: 20. März 2026

Die entscheidende Management-Antwort lautet deshalb: Wenn Sie heute als KRITIS-Betreiber eingestuft sind oder nahe an den Schwellenwerten operieren, müssen Sie Ihre Betroffenheit nicht nur nach alter BSI-Kritisverordnung prüfen, sondern nach dem Zusammenspiel von NIS2, nationalem Umsetzungsgesetz und KRITIS-Dachgesetz. Für angrenzende Pflichten helfen zusätzlich unsere Beiträge zu NIS2 Vorfallmeldung und Fristen, zum NIS2 Incident Response Plan, zu NIS2 vs. KRITIS und zur NIS2-Schulung.

Die wichtigste Veränderung ist der Wechsel von einer vor allem anlagenbezogenen Logik zu einem gestuften Regime. Bisher stand bei KRITIS häufig die einzelne kritische Anlage im Vordergrund. Unter NIS2 kommen Governance, Lieferkette, Leitungsverantwortung, dokumentierte Risikoentscheidungen und das Sicherheitsniveau der gesamten Einrichtung stärker in den Fokus. Wer früher nur auf § 8a BSIG und die BSI-Kritisverordnung geschaut hat, muss 2026 deutlich breiter denken.

Was ändert sich für KRITIS-Betreiber unter NIS2?

Für bestehende KRITIS-Betreiber ändern sich unter NIS2 fünf Dinge gleichzeitig: der Kreis der Betroffenen wird größer, der Regulierungsmaßstab verschiebt sich von der Anlage zur Einrichtung, Meldefristen werden schärfer, die Geschäftsleitung rückt stärker in die Haftungs- und Aufsichtslinie und das Zusammenspiel mit dem KRITIS-Dachgesetz erzeugt eine Doppelperspektive aus Cybersecurity und physischer Resilienz.

Die erste Änderung betrifft den Regelungsansatz. Das alte KRITIS-System nach BSIG war stark anlagenbezogen. Entscheidend war oft, ob eine konkrete Anlage einen kritischen Versorgungsgrad erreicht, etwa über den Schwellenwert von 500.000 versorgten Personen. NIS2 setzt zusätzlich auf eine einrichtungsbezogene Logik. Damit wird nicht nur gefragt, ob eine einzelne Anlage kritisch ist, sondern ob die Organisation als besonders wichtige oder wichtige Einrichtung reguliert wird.

Die zweite Änderung betrifft die Leitungsverantwortung. NIS2 verlangt ausdrücklich, dass Leitungsorgane die Cybersicherheitsmaßnahmen billigen, deren Umsetzung überwachen und sich schulen lassen. Für Geschäftsführer und Vorstände wird Cyberresilienz damit noch klarer zur Organpflicht. Wenn Sie diese Organperspektive vertiefen wollen, ist unser Beitrag zur Organhaftung bei IT-Sicherheit die passende Ergänzung.

Die dritte Änderung betrifft die Meldearchitektur. Wo im KRITIS-Regime teilweise andere Meldewege und Fristen praktiziert wurden, verlangt NIS2 bei erheblichen Vorfällen eine Frühwarnung innerhalb von 24 Stunden, eine weitergehende Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Diese Fristen müssen organisatorisch vorgeplant sein; improvisierte Ad-hoc-Meldungen reichen nicht mehr.

Die vierte Änderung betrifft den Nachweisdruck. Unter NIS2 reicht es nicht, technische Sicherheitsmaßnahmen abstrakt vorzuhalten. Unternehmen müssen Prozesse, Governance, Risikoanalysen, Verantwortlichkeiten, Lieferkettenentscheidungen und Schulungen strukturiert dokumentieren. Für KRITIS-Betreiber bedeutet das in der Praxis zusätzliche Evidenz gegenüber Aufsicht, Revision, Kunden und Versicherern.

Die fünfte Änderung betrifft die Doppelbelastung. KRITIS-Betreiber erfüllen 2026 nicht nur Cyberpflichten nach NIS2, sondern zusätzlich physische Resilienzpflichten nach dem KRITIS-Dachgesetz. Das ist der Kern der neuen NIS2-KRITIS-Lage in Deutschland: Wer kritische Infrastruktur betreibt, muss nicht nur Netz- und Informationssysteme schützen, sondern auch Sabotage, Naturgefahren, Ausfälle, Zugangsschutz und Wiederanlauf im All-Gefahren-Ansatz abdecken.

Die folgende Vergleichstabelle zeigt die Umstellung von KRITIS alt zu NIS2 neu in komprimierter Form:

VergleichspunktBisheriges KRITIS-/BSIG-RegimeNIS2-/neues KRITIS-Regime 2026
GrundlogikVor allem anlagenbezogenAnlagenbezogen plus einrichtungsbezogen
ReichweiteRund 4.500 betroffene EinrichtungenÜber 29.000 Einrichtungen in Deutschland
Sektoren10 KRITIS-Sektoren18 NIS2-Sektoren plus KRITIS-Fokus
SchwellenwerteVor allem kritische Versorgungsgrenzen, oft 500.000 PersonenGrößenkriterien plus sektorale Einordnung plus KRITIS-Schwellen
MeldungUnterschiedliche nationale KRITIS-Logik24h Frühwarnung, 72h Meldung, 1 Monat Abschlussbericht
GovernanceStark technisch geprägtGeschäftsleitung, Risiko-Governance, Lieferkette, Schulungen
BußgelderBisher niedrigerer RahmenBis 10 Mio. EUR oder 2 % Umsatz bei wesentlichen Einrichtungen
Physische ResilienzNur fragmentiert geregeltZusätzlich im KRITIS-Dachgesetz systematisch geregelt
AufsichtStark BSI-zentriert auf IT-SicherheitBSI für Cyber plus BBK/KRITIS-Dachgesetz für Resilienz

Die Tabelle zeigt, warum NIS2 kritische Infrastruktur kein reines Update bestehender Pflichten ist. Es geht nicht nur um neue Formulierungen, sondern um ein breiteres und tieferes Aufsichtssystem.

Welche Sektoren kommen durch NIS2 neu hinzu?

NIS2 erweitert den bisherigen KRITIS-Kreis deutlich. Während das traditionelle KRITIS-System in Deutschland mit einem begrenzten Satz klassischer Versorgungssektoren arbeitete, erfasst NIS2 18 Sektoren beziehungsweise Teilsektoren und zieht damit Unternehmen in die Regulierung, die bisher nicht oder nur am Rand als KRITIS wahrgenommen wurden.

Zu den klassischen KRITIS-Bereichen gehören weiterhin Energie, Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, IT und Telekommunikation sowie weitere kritische Infrastrukturbereiche. Neu oder deutlich aufgewertet werden unter NIS2 aber vor allem:

  1. Öffentliche Verwaltung als eigener regulierter Bereich.
  2. Abwasser und Abfallwirtschaft mit stärkerer ausdrücklicher Einordnung.
  3. Weltraum und bodengestützte Infrastruktur als eigenständiger Bereich.
  4. Digitale Dienste wie Rechenzentren, Cloud-Anbieter, Managed Services, DNS, Online-Marktplätze und Suchmaschinen.
  5. Post- und Kurierdienste, soweit sie in den NIS2-Sektorkatalog fallen.
  6. Herstellung bestimmter kritischer Produkte, etwa in gesundheits- oder versorgungsrelevanten Lieferketten.
  7. Forschungseinrichtungen in bestimmten Konstellationen.

Für KRITIS-Betreiber ist das deshalb relevant, weil neue Sektoren nicht nur den Kreis der Erstbetroffenen erweitern, sondern auch Lieferketten, Dienstleister und Konzerngesellschaften mit in die Regulierung ziehen. Ein bestehender Energie- oder Wasserversorger muss 2026 nicht nur die eigene Anlage betrachten, sondern auch stärker die eigene Unternehmensgruppe, digitale Dienstleister und Abhängigkeiten in angrenzenden Sektoren.

Gerade der Bereich digitale Infrastruktur ist ein Treiber des neuen NIS2-Rahmens. Rechenzentren, Cloud-Provider, Managed Security Service Provider und DNS-Dienstleister waren zwar schon vorher sicherheitsrelevant, werden unter NIS2 aber viel systematischer und expliziter erfasst. Das verändert auch die Anforderungen an klassische KRITIS-Betreiber, weil ihre kritischen Prozesse zunehmend von Drittparteien abhängen. Wer die Lieferkettenseite vertiefen möchte, sollte dazu auch NIS2 Lieferkettensicherheit lesen.

Für die praktische Betroffenheitsprüfung gilt deshalb ein neuer Grundsatz: Sie dürfen nicht mehr nur fragen, ob Ihr Unternehmen in einem „alten KRITIS-Sektor“ sitzt. Sie müssen fragen, ob Sie in einen der 18 NIS2-Sektoren fallen, ob Sie die Größenkriterien erreichen und ob Sie zusätzlich wegen kritischer Anlagen unter das KRITIS-Dachgesetz oder fortgeführte KRITIS-Logiken fallen.

KRITIS-Dachgesetz vs. NIS2-Umsetzungsgesetz — Zusammenspiel

Das Zusammenspiel von KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz ist der Kern der deutschen Sonderlage. NIS2 regelt die Cybersicherheit von wesentlichen und wichtigen Einrichtungen. Das KRITIS-Dachgesetz setzt parallel die CER-Richtlinie um und regelt die physische Resilienz kritischer Anlagen. Für Betreiber kritischer Infrastruktur gilt daher kein Entweder-oder, sondern ein Nebeneinander beider Regime.

Die Bundestagsdrucksache zum KRITIS-Dachgesetz beschreibt ausdrücklich, dass das neue Dachgesetz „neben“ die Regelungen zur IT-Sicherheit tritt und einen All-Gefahren-Ansatz für die physische Resilienz schafft. Gemeint sind also Risiken wie Sabotage, Naturgefahren, technische Ausfälle, Zugangsschutz, Notfallorganisation, Wiederherstellung und sektorübergreifende Abhängigkeiten. Genau darin liegt der Unterschied zur NIS2-Logik, die auf Cyberrisikomanagement, Incident Handling, Business Continuity, Lieferketten und Governance fokussiert.

Für die Praxis sollten Sie beide Gesetze wie folgt trennen:

  1. NIS2-Umsetzungsgesetz: Cybersecurity, Leitungsverantwortung, Risikomanagement, Meldepflichten, Lieferkette, Nachweise.
  2. KRITIS-Dachgesetz: Physische Resilienz, Resilienzpläne, Gefahrenanalysen, Schutz kritischer Anlagen, BBK-bezogene Registrierung und Nachweise.

Der Fehler vieler Unternehmen besteht darin, nur auf das „neue NIS2-Gesetz“ zu schauen. Für KRITIS-Dachgesetz-Themen reicht das nicht. Ein Wasserwerk, ein Stromnetzbetreiber oder ein Rechenzentrum kann 2026 zwar dieselbe Cyber-Governance wie eine wesentliche Einrichtung brauchen, muss aber darüber hinaus physische Schutzmaßnahmen, Gefahrenanalysen und Resilienzpläne für die kritische Anlage nachweisen.

Wichtig ist außerdem die Behördenlogik. Für Cybersicherheit bleibt das BSI zentral. Für die physische Resilienz kritischer Anlagen tritt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe stärker hinzu. Die im Gesetzentwurf vorgesehene gemeinsame digitale Plattform für Störungsmeldungen ist gerade deshalb wichtig, weil Betreiber sonst mehrere Behördenwege parallel managen müssten.

Für Unternehmen bedeutet dieses Zusammenspiel organisatorisch drei Dinge:

  1. Keine isolierten Silos: IT-Sicherheit, Notfallmanagement, Werkschutz, BCM und Compliance müssen enger zusammenarbeiten.
  2. Getrennte Nachweise, gemeinsame Steuerung: Cyber- und physische Resilienznachweise sind nicht identisch, sollten aber in einem gemeinsamen Governance-Modell geführt werden.
  3. Frühere Management-Einbindung: Weil beide Regime Leitungs- und Steuerungspflichten verschärfen, reicht ein rein technisches Sicherheitsprogramm nicht aus.

Bestandsschutz — Was bleibt für bestehende KRITIS-Betreiber?

Für bestehende KRITIS-Betreiber gibt es keinen vollständigen Neustart auf null. Ein Teil des alten Systems bleibt funktional erhalten, auch wenn Begriffe, Zuständigkeiten und Rechtsgrundlagen neu geordnet werden. Genau dieser Punkt ist für Bestandsbetreiber wichtig, weil er über Aufwand, Roadmap und Budget entscheidet.

Bestandsschutz bedeutet in diesem Zusammenhang nicht, dass alte Pflichten einfach verschwinden oder dass bisherige Sicherheitsmaßnahmen automatisch genügen. Bestandsschutz bedeutet vielmehr: Was Sie bereits belastbar aufgebaut haben, bleibt inhaltlich oft verwertbar, muss aber in die neue Regulatorik übersetzt werden.

Typischerweise weiter nutzbar sind:

  1. Vorhandene Risikoanalysen für KRITIS-relevante Systeme.
  2. Technische Sicherheitsmaßnahmen nach bisherigem Stand der Technik.
  3. Etablierte Audit- und Nachweisprozesse aus dem BSIG-Umfeld.
  4. Bereits vorhandene Notfall- und Wiederanlaufkonzepte.
  5. Kontakt- und Meldeprozesse zum BSI, soweit sie an neue Fristen angepasst werden.

Nicht weiter tragfähig ist dagegen die Annahme, dass alte KRITIS-Compliance automatisch NIS2-Konformität bedeutet. Dafür gibt es drei Gründe. Erstens verschiebt NIS2 den Fokus stärker auf die gesamte Einrichtung und ihre Governance. Zweitens werden Lieferketten, Managementverantwortung und Schulungen viel klarer adressiert. Drittens kommt mit dem KRITIS-Dachgesetz eine zusätzliche physische Resilienzebene hinzu, die im bisherigen IT-zentrierten KRITIS-Regime so nicht systematisch ausformuliert war.

Die realistische Haltung für Bestandsbetreiber lautet daher: Nutzen Sie vorhandene Sicherheitsarchitekturen als Startpunkt, aber planen Sie ein strukturiertes Mapping auf NIS2 und KRITIS-Dachgesetz. Ein Unternehmen, das heute bereits § 8a-BSIG-Prüfungen, technische Audits, BCM und einen Sicherheitsbeauftragten hat, startet besser als ein Neueinsteiger. Es ist aber trotzdem nicht automatisch fertig.

Besonders relevant ist dieser Punkt für Vorstände und Geschäftsführer. Wenn intern behauptet wird, man sei „ja schon KRITIS“ und deshalb müsse man nur wenige Formulare anpassen, ist das meist zu kurz gedacht. Der neue Rechtsrahmen verlangt keine kosmetische Aktualisierung, sondern eine belastbare Gap-Analyse.

Neue Pflichten: Registrierung, Meldung, Nachweise

Die sichtbarsten neuen Pflichten liegen in Registrierung, Meldung und Nachweisen. Gerade hier scheitern Unternehmen oft nicht an fehlender Technik, sondern an fehlender Prozessklarheit.

Registrierung ist 2026 keine Formalität mehr, sondern ein regulatorischer Trigger. NIS2 verlangt, dass betroffene Einrichtungen gegenüber den zuständigen Behörden Angaben zu Identität, Kontaktdaten, Sektorzuordnung und gegebenenfalls weiteren Informationen übermitteln und aktuell halten. Für KRITIS-Betreiber kommt je nach Regime zusätzlich die anlagenbezogene Registrierung nach dem KRITIS-Dachgesetz hinzu. Wer mehrere Standorte, Tochtergesellschaften oder hybride Infrastrukturen betreibt, braucht dafür eine saubere Governance-Matrix.

Meldung wird unter NIS2 deutlich stringenter. Für erhebliche Vorfälle gilt grundsätzlich:

  1. Innerhalb von 24 Stunden eine Frühwarnung.
  2. Innerhalb von 72 Stunden eine vertiefte Meldung.
  3. Innerhalb eines Monats ein Abschlussbericht.

Diese 24-Stunden-Logik ist für KRITIS-Betreiber eine der praktisch wichtigsten Änderungen. Die Organisation muss früh entscheiden können, ob ein Vorfall erheblich ist, wer meldet, welche Informationen freigegeben werden und wie parallel Betrieb, Forensik, Kommunikation und gegebenenfalls Datenschutz gesteuert werden. Für die operative Umsetzung ist unser Leitfaden zur NIS2 Vorfallmeldung die direkte Vertiefung.

Nachweise werden ebenfalls umfangreicher. Behörden und Prüfer erwarten nicht nur Technik, sondern belastbare Evidenz zu:

  1. Verantwortlichkeiten und Leitungsfreigaben.
  2. Risikoanalyse und Risikobehandlung.
  3. Incident- und Meldeprozessen.
  4. Lieferkettenprüfung und Drittparteiensteuerung.
  5. Schulungen für Leitung und Schlüsselrollen.
  6. Wiederherstellung, Kontinuität und Tests.

Für KRITIS-Betreiber kommt hinzu, dass Nachweise künftig häufig aus zwei Perspektiven geführt werden müssen: cyberbezogen für das NIS2-Regime und physisch-resilienzbezogen für das KRITIS-Dachgesetz. Aus Audit-Sicht bedeutet das einen deutlich höheren Dokumentationsaufwand als im klassischen Altregime.

Eine sinnvolle 90-Tage-Priorisierung für Bestandsbetreiber sieht so aus:

  1. Betroffenheitsprüfung aktualisieren.
  2. Rechtsregime je Gesellschaft und Anlage zuordnen.
  3. Registrierungsdaten zentralisieren.
  4. Meldefristen und Incident Playbooks anpassen.
  5. Management-Freigaben und Schulungsnachweise aufbauen.
  6. Bestehende KRITIS-Nachweise gegen NIS2- und Dachgesetz-Anforderungen mappen.

Schwellenwerte und Betroffenheitsprüfung

Die Betroffenheitsprüfung unter NIS2 Schwellenwerte ist anspruchsvoller als im alten KRITIS-System. Früher stand oft die Frage im Mittelpunkt, ob eine Anlage einen sektoralen KRITIS-Schwellenwert überschreitet, etwa die Versorgung von 500.000 Personen. Unter NIS2 kommen zusätzlich Größenkriterien und die sektorale Einordnung der Einrichtung hinzu.

Für die NIS2-Logik sind vor allem zwei Größenkorridore wichtig:

  1. Besonders wichtige Einrichtungen liegen typischerweise ab etwa 250 Beschäftigten oder mehr als 50 Mio. Euro Umsatz und mehr als 43 Mio. Euro Bilanzsumme vor.
  2. Wichtige Einrichtungen liegen typischerweise ab etwa 50 Beschäftigten oder mehr als 10 Mio. Euro Umsatz und mehr als 10 Mio. Euro Bilanzsumme in den erfassten Sektoren vor.

Für KRITIS-Betreiber bleibt daneben die anlagenbezogene Logik relevant. Das ist der entscheidende Unterschied zu einem reinen Größenmodell. Ein Unternehmen kann relativ klein sein, aber wegen einer einzelnen kritischen Anlage trotzdem hochreguliert sein. Umgekehrt kann ein größeres Unternehmen ohne KRITIS-Anlage dennoch als wesentliche oder wichtige Einrichtung unter NIS2 fallen.

Für die Betroffenheitsprüfung sollten Sie deshalb immer vier Fragen in genau dieser Reihenfolge beantworten:

  1. Fällt die Einrichtung in einen NIS2-Sektor?
  2. Erreicht die Einrichtung die Größenkriterien für wichtig oder besonders wichtig?
  3. Betreibt das Unternehmen zusätzlich eine kritische Anlage mit KRITIS-Schwellenwerten?
  4. Greifen sektorale Ausnahmen, Sonderzuordnungen oder gruppenbezogene Besonderheiten?

Ein praktikischer Prüfrahmen sieht so aus:

PrüffrageWarum sie wichtig istTypische Datenquelle
Welche Gesellschaft erbringt welche kritische oder digitale Leistung?NIS2 knüpft an die Einrichtung, nicht nur an die GruppeOrganigramm, Leistungsbeschreibung, Verträge
In welchem Sektor und Teilsektor liegt die Tätigkeit?Die Betroffenheit hängt an den Anhängen I und II sowie nationaler UmsetzungProdukt- und Serviceportfolio
Welche Mitarbeiter-, Umsatz- und Bilanzwerte gelten?Größenklassen steuern die EinstufungJahresabschluss, HR-Daten
Gibt es eine Anlage mit KRITIS-Schwellenwert?KRITIS bleibt anlagenbezogen relevantBetriebsdaten, Versorgungszahlen, Netzdaten
Welche Drittparteien sind geschäftskritisch?Lieferkette und Meldewege beeinflussen die Einstufung und MaßnahmenLieferantenregister, IT-Architektur

Diese Tabelle ist bewusst pragmatisch. Die größte Fehlerquelle liegt fast nie im Gesetzestext, sondern in fehlender interner Datengrundlage. Viele Unternehmen wissen zwar ungefähr, dass sie „kritisch“ sind, können aber auf Anhieb nicht sagen, welche Gesellschaft, welcher Standort oder welche Anlage die Regulierung tatsächlich auslöst.

Für KRITIS Verordnung 2026 und Schwellenwerte gilt außerdem: Nicht jeder Detailwert ist bereits operativ so stabil wie ein endgültiger Dauerzustand. Unternehmen sollten deshalb mit einer dokumentierten Betroffenheitsprüfung arbeiten, Annahmen festhalten und Aktualisierungen einplanen, statt auf eine vermeintlich endgültige Perfektion zu warten.

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen NIS2 und KRITIS?

KRITIS beschreibt in Deutschland traditionell besonders kritische Anlagen und Infrastrukturen, während NIS2 ein europäisches Cybersicherheitsregime für wesentliche und wichtige Einrichtungen schafft. Für KRITIS-Betreiber bedeutet das 2026: Die bisherigen KRITIS-Pflichten bleiben nicht isoliert bestehen, sondern werden durch NIS2-Governance, Meldepflichten und Aufsicht erweitert.

Ersetzt NIS2 das IT-Sicherheitsgesetz?

Für die Cybersicherheitsregulierung wird das bisherige BSIG/KRITIS-Regime weitgehend in das neue NIS2-Umsetzungssystem überführt. Praktisch heißt das aber nicht, dass alle bisherigen Pflichten verschwinden. Bestehende KRITIS-Anforderungen werden an vielen Stellen fortgeführt, ergänzt oder mit neuen Begriffen und Verfahren neu geordnet.

Welche KRITIS-Betreiber fallen unter NIS2?

Grundsätzlich fallen Betreiber kritischer Anlagen unter NIS2, weil sie in Deutschland regelmäßig als besonders wichtige Einrichtungen behandelt werden oder zusätzlich als KRITIS-Betreiber adressiert bleiben. Betroffen ist nicht nur die Anlage selbst, sondern künftig stärker auch die gesamte Organisation mit Governance-, Risiko- und Meldepflichten.

Brauche ich als KRITIS-Betreiber eine neue Registrierung?

Ja, in der Regel müssen KRITIS-Betreiber ihre Betroffenheit neu prüfen und zusätzlich zu bisherigen Meldewegen neue Registrierungs- und Aktualisierungspflichten erfüllen. Unter NIS2 erfolgt die Registrierung gegenüber dem BSI für die Cybersicherheitsaufsicht, während das KRITIS-Dachgesetz zusätzlich eine anlagenbezogene Registrierung für physische Resilienz vorsieht.

Gelten für KRITIS-Betreiber strengere NIS2-Regeln?

Ja. KRITIS-Betreiber tragen typischerweise einen höheren Aufsichts- und Nachweisdruck als wichtige Einrichtungen, weil sie neben NIS2-Cyberpflichten oft zusätzlich KRITIS-spezifische Anforderungen, wiederkehrende Prüfungen und physische Resilienzpflichten erfüllen müssen. Die Belastung ist deshalb meist höher als bei Unternehmen, die nur als wichtige Einrichtung gelten.

Fazit: NIS2 erweitert KRITIS, statt es nur umzubenennen

Für NIS2 KRITIS ist die entscheidende Schlussfolgerung klar: Bestehende KRITIS-Betreiber wechseln 2026 nicht bloß in ein neues Vokabular, sondern in ein dichteres Regime aus Cybersicherheit, Leitungsverantwortung, Meldepflichten, Registrierung und physischer Resilienz. Das bisherige KRITIS-System bleibt in Teilen erkennbar, wird aber durch NIS2 und das KRITIS-Dachgesetz strukturell erweitert.

Wenn Sie Betreiber kritischer Infrastruktur sind, sollten Sie jetzt keine Einzelpflicht isoliert optimieren, sondern eine vollständige Betroffenheits- und Gap-Analyse aufsetzen. Starten Sie mit der Einordnung Ihrer Einrichtungen und Anlagen, gleichen Sie bestehende KRITIS-Nachweise mit den neuen NIS2-Pflichten ab und bringen Sie Management, Informationssicherheit, BCM und Compliance in ein gemeinsames Steuerungsmodell. Für den Einstieg helfen unsere Beiträge zu NIS2 Vorfallmeldung und 24-Stunden-Frist, NIS2 vs. KRITIS, Organhaftung bei IT-Sicherheit und die NIS2-Schulung.

Quellen

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →